Wprowadzenie do ładu aplikacji w Defender for Cloud Apps
Rozwiązania ładu aplikacji wymagają głębokiego zrozumienia zachowania aplikacji w środowisku w celu identyfikowania i rozwiązywania działań, które mieszczą się w poziomie tolerancji, który wymaga dokładniejszego przeglądu w celu oceny złośliwych intencji. Po utworzeniu warstwy na Defender for Cloud Apps ład aplikacji zapewnia szczegółowe zarządzanie przed ryzykownym zachowaniem aplikacji w środowisku.
W tym artykule opisano, jak rozpocząć korzystanie z funkcji ładu aplikacji w Microsoft Defender for Cloud Apps.
Wymagania wstępne
Jeśli jeszcze tego nie zrobiono, utwórz konto w celu zapewnienia ładu aplikacji i wykonaj kroki dodawania ich do dzierżawy. Po zarejestrowaniu się w celu zapewnienia ładu aplikacji musisz poczekać do 10 godzin na wyświetlenie i użycie produktu.
Aby uzyskać więcej informacji, zobacz Włączanie ładu aplikacji dla Microsoft Defender for Cloud Apps.
Konto logowania musi mieć obsługiwaną rolę administratora ładu aplikacji , aby wyświetlić wszystkie dane ładu aplikacji.
Aby korzystać z pełnej funkcjonalności alertów dotyczących ładu aplikacji, musisz aprowizować zarówno Defender for Cloud Apps, jak i Microsoft Defender XDR, uzyskując co najmniej raz dostęp do odpowiednich portali.
Krok 1. Uzyskiwanie wglądu i szczegółowych informacji
Zacznij od poniższych kroków, aby uzyskać wgląd i szczegółowe informacje o aplikacjach:
Zaloguj się: w przeglądarce przejdź do strony ładu aplikacji Microsoft Defender XDR > Cloud Apps>.
Określanie stanu zgodności: użyj danych na karcie Omówienie ładu > aplikacji , aby ocenić stan zgodności aplikacji i zdarzeń w dzierżawie. Wyświetl szczegóły, takie jak liczba nadmiernie uprzywilejowanych aplikacji w dzierżawie, liczba aktywnych zdarzeń, łączny interfejs Graph API dostęp do danych i nie tylko.
Porada
Możesz również wyświetlić zalecenia związane z ładem aplikacji w sekcji Wskaźnik bezpieczeństwa, aby ułatwić całościowe zarządzanie stanem.
Wyświetlanie aplikacji: posortuj dane na kartach Ład aplikacji według aplikacji z wysokim użyciem danych lub liczbą udzielonych zgody lub filtruj według aplikacji o wysokich uprawnieniach, aplikacji z nieużywanymi uprawnieniami lub niezweryfikowanego wydawcy i nie tylko.
Użyj tych opcji sortowania i filtrowania, aby uzyskać dokładniejszy wgląd w aplikacje OAuth, w tym odpowiednie metadane aplikacji i dane użycia.
Uzyskaj szczegółowe informacje o aplikacji: na kartach Ład aplikacji wybierz aplikację w siatce, aby wyświetlić stronę szczegółów aplikacji. Zbadaj użycie danych konta o priorytecie dla określonej aplikacji, prześledzić dokładnie, do których danych jest uzyskiwany dostęp, które uprawnienia są używane i które uprawnienia nie są używane.
Aby uzyskać więcej informacji, zobacz Wprowadzenie do widoczności i szczegółowych informacji.
Krok 2. Implementowanie zasad aplikacji
Ład aplikacji używa algorytmów wykrywania opartych na uczeniu maszynowym do wykrywania nietypowego zachowania aplikacji w środowisku, a następnie generuje alerty, które można wyświetlać, badać i rozwiązywać.
Poza tą wbudowaną funkcją wykrywania użyj zestawu domyślnych szablonów zasad lub utwórz własne zasady aplikacji do generowania innych alertów.
Zasady dotyczące wzorców i zachowań aplikacji oraz użytkowników mogą chronić użytkowników przed używaniem niezgodnych lub złośliwych aplikacji oraz ograniczać dostęp ryzykownych aplikacji do danych dzierżawy.
Ład aplikacji obsługuje następujące typy zasad:
| Typ zasad | Opis |
|---|---|
| Wstępnie zdefiniowane zasady | Ład aplikacji jest wyposażony w zestaw wstępnie zdefiniowanych zasad dostosowanych do danego środowiska. Wstępnie zdefiniowane zasady umożliwiają rozpoczęcie monitorowania aplikacji jeszcze przed skonfigurowaniem jakichkolwiek zasad. Użyj wstępnie zdefiniowanych zasad, aby upewnić się, że otrzymasz powiadomienie o wszelkich anomaliach aplikacji na wczesnym etapie. |
| Zasady zdefiniowane przez użytkownika | Oprócz wstępnie zdefiniowanych zasad administratorzy mogą również używać dostępnych warunków, aby utworzyć swoje zasady niestandardowe lub wybrać z dostępnych zalecanych zasad. |
Aby wyświetlić listę bieżących zasad ładu aplikacji, przejdź do karty zasady ładu > aplikacji w chmurze Microsoft Defender XDR>.>
Uwaga
Wbudowane zasady wykrywania zagrożeń nie są wyświetlane na stronie Ład aplikacji . Aby uzyskać więcej informacji, zobacz Badanie alertów wykrywania zagrożeń.
Aby zaimplementować zasady aplikacji:
Praca ze wstępnie zdefiniowanymi zasadami: ład aplikacji zawiera zestaw nieaktywnych zasad w celu wykrywania nietypowych zachowań aplikacji. Te zasady są domyślnie aktywowane, ale możesz je dezaktywować, jeśli zechcesz.
Tworzenie zasad aplikacji: Ład aplikacji oferuje ponad 20 warunków zasad i szablonów do użycia. Zasady ładu aplikacji ułatwiają:
Określ warunki, według których ład aplikacji może ostrzegać o zachowaniu aplikacji w celu automatycznego lub ręcznego korygowania.
Zaimplementuj zasady zgodności aplikacji dla organizacji.
Zarządzanie zasadami aplikacji: aby być na bieżąco z najnowszymi aplikacjami używanymi przez organizację, reagować na nowe ataki oparte na aplikacjach i wprowadzać bieżące zmiany w wymaganiach dotyczących zgodności aplikacji, może być konieczne zarządzanie zasadami aplikacji w następujący sposób:
Tworzenie nowych zasad przeznaczonych dla nowych aplikacji
Zmienianie stanu istniejących zasad (aktywny, nieaktywny, tryb inspekcji)
Zmienianie warunków istniejących zasad
Zmienianie akcji istniejących zasad w celu autoremedyzowania alertów
Aby uzyskać więcej informacji, zobacz Informacje o zasadach aplikacji.
Krok 3. Wykrywanie i korygowanie zagrożeń aplikacji
Zarządzanie aplikacjami umożliwia monitorowanie alertów zagrożeń generowanych przez wbudowane metody wykrywania ładu aplikacji dla złośliwych działań aplikacji i alertów opartych na zasadach generowanych przez utworzone zasady aktywnej aplikacji.
Te alerty mogą wskazywać anomalie w działaniu aplikacji oraz w przypadku użycia niezgodnych, złośliwych lub ryzykownych aplikacji. Wzorców w alertach można również używać do tworzenia nowych zasad aplikacji lub modyfikowania ustawień istniejących zasad dla bardziej restrykcyjnych akcji.
Alerty można również korygować ręcznie po zbadaniu lub automatycznie za pomocą ustawień akcji w aktywnych zasadach aplikacji.
Wykonaj dowolne z następujących kroków, aby wykryć i skorygować zagrożenia:
Wprowadzenie do wykrywania i korygowania zagrożeń aplikacji: Ład aplikacji zbiera alerty zagrożeń generowane przez wbudowane metody wykrywania ładu aplikacji oparte na uczeniu maszynowym. Alerty dotyczące zagrożeń są oparte na złośliwych działaniach aplikacji i alertach opartych na zasadach generowanych przez tworzone zasady aktywnej aplikacji.
Monitorowanie aplikacji z nietypowym użyciem danych i reagowanie na nie: Ład aplikacji udostępnia informacje o użyciu danych, które mogą pomóc w identyfikacji niechcianych i potencjalnie złośliwych działań aplikacji.
Zbadaj alerty wykrywania anomalii: Ład aplikacji zapewnia wykrywanie zabezpieczeń i alerty dla złośliwych działań. Celem tego przewodnika jest dostarczenie ogólnych i praktycznych informacji na temat każdego alertu, aby pomóc w badaniu i korygowaniu zadań.
Korygowanie zagrożeń aplikacji: Korygujesz szkodliwe działanie aplikacji i aplikacji identyfikowane przez alerty ładu aplikacji w Microsoft Defender XDR.
Aby uzyskać więcej informacji, zobacz Dowiedz się więcej na temat wykrywania i korygowania zagrożeń aplikacji.