Udostępnij za pośrednictwem

Kontrolowanie aplikacji w chmurze za pomocą zasad

  • Artykuł

Zasady umożliwiają definiowanie sposobu zachowania użytkowników w chmurze. Umożliwiają one wykrywanie ryzykownych zachowań, naruszeń lub podejrzanych punktów danych i działań w środowisku chmury. W razie potrzeby można zintegrować przepływy pracy korygowania, aby osiągnąć całkowite ograniczenie ryzyka. Istnieje wiele typów zasad, które korelują z różnymi typami informacji, które chcesz zebrać na temat środowiska chmury, oraz typami akcji korygowania, które warto podjąć.

Jeśli na przykład istnieje zagrożenie naruszeniem danych, które chcesz poddać kwarantannie, potrzebujesz innego typu zasad niż jeśli chcesz zablokować użycie ryzykownej aplikacji w chmurze przez organizację.

Typy zasad

Jeśli spojrzysz na stronę Zarządzanie zasadami , różne zasady i szablony można rozróżnić według typu i ikony, aby zobaczyć, które zasady są dostępne. Zasady można wyświetlać razem na karcie Wszystkie zasady lub na odpowiednich kartach kategorii. Dostępne zasady zależą od źródła danych i tego, co włączono w Defender for Cloud Apps dla organizacji. Jeśli na przykład przekazano dzienniki odnajdywania w chmurze, zostaną wyświetlone zasady dotyczące odnajdywania w chmurze.

Można utworzyć następujące typy zasad:

Ikona typu zasad Typ zasad Kategoria Opcja, której należy użyć
ikona zasad działania. Zasady działania Wykrywanie zagrożeń Zasady działania umożliwiają wymuszanie szerokiego zakresu zautomatyzowanych procesów przy użyciu interfejsów API dostawcy aplikacji. Te zasady umożliwiają monitorowanie określonych działań wykonywanych przez różnych użytkowników lub obserwowanie nieoczekiwanie wysokich wskaźników określonego typu działań. Dowiedz się więcej
ikona zasad wykrywania anomalii. Zasady wykrywania anomalii Wykrywanie zagrożeń Zasady wykrywania anomalii umożliwiają wyszukiwanie nietypowych działań w chmurze. Wykrywanie jest oparte na czynnikach ryzyka ustawionych na alerty, gdy coś się stanie, co różni się od punktu odniesienia organizacji lub regularnej aktywności użytkownika. Dowiedz się więcej
Ikona zasad aplikacji OAuth. Zasady aplikacji OAuth Wykrywanie zagrożeń Zasady aplikacji OAuth umożliwiają zbadanie uprawnień, których żądała każda aplikacja OAuth, i automatyczne zatwierdzenie lub odwołanie jej. Są to wbudowane zasady, które mają Defender for Cloud Apps i których nie można utworzyć. Dowiedz się więcej
Ikona zasad wykrywania złośliwego oprogramowania. Zasady wykrywania złośliwego oprogramowania Wykrywanie zagrożeń Zasady wykrywania złośliwego oprogramowania umożliwiają identyfikowanie złośliwych plików w magazynie w chmurze i automatyczne zatwierdzanie lub odwoływanie ich. Jest to wbudowana zasada, która zawiera Defender for Cloud Apps i nie można jej utworzyć. Dowiedz się więcej
ikona zasad plików. Zasady plików Ochrona informacji Zasady plików umożliwiają skanowanie aplikacji w chmurze pod kątem określonych plików lub typów plików (udostępnionych, udostępnionych domenom zewnętrznym), danych (zastrzeżonych informacji, danych osobowych, informacji o karcie kredytowej i innych typów danych) oraz stosowania akcji ładu do plików (akcje ładu są specyficzne dla aplikacji w chmurze). Dowiedz się więcej
ikona zasad dostępu. Zasady dostępu Dostęp warunkowy Zasady dostępu zapewniają monitorowanie w czasie rzeczywistym i kontrolę nad logowaniem użytkowników do aplikacji w chmurze. Dowiedz się więcej
ikona zasad sesji. Zasady sesji Dostęp warunkowy Zasady sesji zapewniają monitorowanie w czasie rzeczywistym i kontrolę nad aktywnością użytkowników w aplikacjach w chmurze. Dowiedz się więcej
ikona zasad odnajdywania w chmurze. Zasady odnajdywania aplikacji Shadow IT Zasady odnajdywania aplikacji umożliwiają ustawianie alertów, które powiadamiają o wykryciu nowych aplikacji w organizacji. Dowiedz się więcej
ikona zasad wykrywania anomalii. zasady wykrywania anomalii odnajdywania w chmurze Shadow IT Zasady wykrywania anomalii odnajdywania w chmurze sprawdzają dzienniki używane do odnajdywania aplikacji w chmurze i wyszukiwania nietypowych wystąpień. Na przykład gdy użytkownik, który nigdy wcześniej nie korzystał z usługi Dropbox, nagle przekazuje 600 GB do usługi Dropbox lub gdy w określonej aplikacji jest o wiele więcej transakcji niż zwykle. Dowiedz się więcej

Identyfikowanie ryzyka

Defender for Cloud Apps pomaga ograniczyć różne zagrożenia w chmurze. Wszystkie zasady i alerty można skonfigurować tak, aby były skojarzone z jednym z następujących czynników ryzyka:

  • Kontrola dostępu: Kto uzyskuje dostęp do czego skąd?

    Ciągłe monitorowanie zachowania i wykrywanie nietypowych działań, w tym ataków wewnętrznych i zewnętrznych wysokiego ryzyka, oraz stosowanie zasad w celu powiadamiania, blokowania lub wymagania weryfikacji tożsamości dla dowolnej aplikacji lub określonej akcji w aplikacji. Włącza lokalne i mobilne zasady kontroli dostępu oparte na użytkownikach, urządzeniach i geografii z grubą blokadą i szczegółowym widokiem, edycją i blokiem. Wykrywanie podejrzanych zdarzeń logowania, w tym błędów uwierzytelniania wieloskładnikowego, niepowodzeń logowania do konta wyłączonego i zdarzeń personifikacji.

  • Zgodność: Czy wymagania dotyczące zgodności zostały naruszone?

    Katalogowanie i identyfikowanie poufnych lub regulowanych danych, w tym uprawnienia do udostępniania dla każdego pliku, przechowywane w usługach synchronizacji plików w celu zapewnienia zgodności z przepisami, takimi jak PCI, SOX i HIPAA

  • Kontrolka konfiguracji: Czy w konfiguracji wprowadzono nieautoryzowane zmiany?

    Monitorowanie zmian konfiguracji, w tym zdalnego manipulowania konfiguracją.

  • Odnajdywanie chmury: Czy nowe aplikacje są używane w organizacji? Czy masz problem z używanymi aplikacjami IT w tle, o których nie wiesz?

    Oceń ogólne ryzyko dla każdej aplikacji w chmurze na podstawie certyfikatów i najlepszych rozwiązań z zakresu przepisów i branży. Umożliwia monitorowanie liczby użytkowników, działań, natężenia ruchu i typowych godzin użycia dla każdej aplikacji w chmurze.

  • DLP: Czy pliki zastrzeżone są udostępniane publicznie? Czy musisz poddać pliki kwarantannie?

    Lokalna integracja DLP zapewnia integrację i korygowanie w zamkniętej pętli z istniejącymi lokalnymi rozwiązaniami DLP.

  • Konta uprzywilejowane: Czy musisz monitorować konta administratorów?

    Monitorowanie aktywności w czasie rzeczywistym i raportowanie uprzywilejowanych użytkowników i administratorów.

  • Kontrola udostępniania: W jaki sposób dane są udostępniane w środowisku chmury?

    Sprawdź zawartość plików i zawartości w chmurze oraz wymuś wewnętrzne i zewnętrzne zasady udostępniania. Monitorowanie współpracy i wymuszanie zasad udostępniania, takich jak blokowanie udostępniania plików poza organizacją.

  • Wykrywanie zagrożeń: Czy istnieją podejrzane działania zagrażające środowisku chmury?

    Otrzymywanie powiadomień w czasie rzeczywistym dotyczących naruszenia zasad lub progu działania za pośrednictwem poczty e-mail. Stosując algorytmy uczenia maszynowego, Defender for Cloud Apps umożliwia wykrywanie zachowania, które może wskazywać, że użytkownik nadużywa danych.

Jak kontrolować ryzyko

Postępuj zgodnie z tym procesem, aby kontrolować ryzyko za pomocą zasad:

  1. Utwórz zasady na podstawie szablonu lub zapytania.

  2. Dostosuj zasady, aby osiągnąć oczekiwane wyniki.

  3. Dodaj zautomatyzowane akcje, aby automatycznie reagować na zagrożenia i korygować je.

Tworzenie zasad

Możesz użyć szablonów zasad Defender for Cloud Apps jako podstawy wszystkich zasad lub utworzyć zasady na podstawie zapytania.

Szablony zasad ułatwiają ustawianie odpowiednich filtrów i konfiguracji niezbędnych do wykrywania określonych zdarzeń w danym środowisku. Szablony zawierają zasady wszystkich typów i mogą być stosowane do różnych usług.

Aby utworzyć zasady na podstawie szablonów zasad, wykonaj następujące kroki:

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>szablony zasad.

    Utwórz zasady na podstawie szablonu.

  2. Wybierz znak plus (+) po prawej stronie wiersza szablonu, którego chcesz użyć. Zostanie otwarta strona tworzenia zasad ze wstępnie zdefiniowaną konfiguracją szablonu.

  3. Zmodyfikuj szablon zgodnie z potrzebami zasad niestandardowych. Każdą właściwość i pole tych nowych zasad opartych na szablonach można modyfikować zgodnie z potrzebami.

    Uwaga

    W przypadku korzystania z filtrów zasad funkcja Zawiera wyszukuje tylko pełne wyrazy — oddzielone przecinkami, kropkami, spacjami lub podkreśleniami. Jeśli na przykład wyszukasz złośliwe oprogramowanie lub wirus, wyszukuje ono virus_malware_file.exe, ale nie znajduje malwarevirusfile.exe. Jeśli wyszukasz malware.exe, w nazwie pliku znajdziesz wszystkie pliki ze złośliwym oprogramowaniem lub plikiem exe, natomiast w przypadku wyszukiwania ciągu "malware.exe" (ze znakami cudzysłowu) znajdziesz tylko pliki zawierające dokładnie "malware.exe".
    Równa się wyszukuje tylko pełny ciąg, na przykład jeśli wyszukasz malware.exe znajdzie malware.exe, ale nie malware.exe.txt.

  4. Po utworzeniu nowych zasad opartych na szablonach w kolumnie Zasady połączone w tabeli szablonów zasad obok szablonu, na podstawie którego zostały utworzone zasady, zostanie wyświetlony link do nowych zasad. Możesz utworzyć dowolną liczbę zasad na podstawie każdego szablonu, a wszystkie zostaną połączone z oryginalnym szablonem. Łączenie umożliwia śledzenie wszystkich zasad utworzonych przy użyciu tego samego szablonu.

Alternatywnie można utworzyć zasady podczas badania. Jeśli badasz dziennik aktywności, pliki lub tożsamości, a następnie przechodzisz do szczegółów, aby wyszukać coś konkretnego, w dowolnym momencie możesz utworzyć nowe zasady na podstawie wyników badania.

Na przykład możesz go utworzyć, jeśli przeglądasz dziennik aktywności i widzisz działanie administratora spoza adresów IP twojego biura.

Aby utworzyć zasady na podstawie wyników badania, wykonaj następujące czynności:

  1. W portalu Microsoft Defender przejdź do jednego z następujących elementów:

    • Cloud Apps —>dziennik aktywności
    • Cloud Apps —>pliki
    • Zasoby —>tożsamości

  2. Użyj filtrów w górnej części strony, aby ograniczyć wyniki wyszukiwania do podejrzanego obszaru. Na przykład na stronie Dziennik aktywności wybierz pozycję Działanie administracyjne i wybierz pozycję True. Następnie w obszarze Adres IP wybierz pozycję Kategoria i ustaw wartość, aby nie uwzględniała kategorii adresów IP utworzonych dla rozpoznanych domen, takich jak adresy IP administratora, firmy i sieci VPN.

    Utwórz plik na podstawie badania.

  3. Poniżej zapytania wybierz pozycję Nowe zasady z wyszukiwania.

    Nowe zasady z przycisku wyszukiwania.

  4. Zostanie otwarta strona tworzenia zasad zawierająca filtry użyte w badaniu.

  5. Zmodyfikuj szablon zgodnie z potrzebami zasad niestandardowych. Każdą właściwość i pole tych nowych zasad opartych na badaniach można modyfikować zgodnie z potrzebami.

    Uwaga

    W przypadku korzystania z filtrów zasad funkcja Zawiera wyszukuje tylko pełne wyrazy — oddzielone przecinkami, kropkami, spacjami lub podkreśleniami. Jeśli na przykład wyszukasz złośliwe oprogramowanie lub wirus, wyszukuje ono virus_malware_file.exe, ale nie znajduje malwarevirusfile.exe.
    Równa się wyszukuje tylko pełny ciąg, na przykład jeśli wyszukasz malware.exe znajdzie malware.exe, ale nie malware.exe.txt.

    tworzenie zasad działania na podstawie badania.

    Uwaga

    Aby uzyskać więcej informacji na temat ustawiania pól zasad, zobacz odpowiednią dokumentację zasad:

    Zasady aktywności użytkowników

    Zasady ochrony danych

    Zasady odnajdywania w chmurze

Dodawanie zautomatyzowanych akcji w celu automatycznego reagowania na zagrożenia i korygowania ich

Aby uzyskać listę dostępnych akcji ładu dla aplikacji, zobacz Zarządzanie połączonymi aplikacjami.

Możesz również ustawić zasady w celu wysyłania alertu pocztą e-mail po wykryciu dopasowań.

Aby ustawić preferencje powiadomień, przejdź do Email preferencji powiadomień.

Włączanie i wyłączanie zasad

Po utworzeniu zasad można je włączyć lub wyłączyć. Wyłączenie pozwala uniknąć konieczności usuwania zasad po utworzeniu ich w celu jej zatrzymania. Zamiast tego, jeśli z jakiegoś powodu chcesz zatrzymać zasady, wyłącz je, dopóki nie zdecydujesz się włączyć jej ponownie.

  • Aby włączyć zasady, na stronie Zasady wybierz trzy kropki na końcu wiersza zasad, które chcesz włączyć. Wybierz pozycję Włącz.

    Włącz zasady.

  • Aby wyłączyć zasady, na stronie Zasady wybierz trzy kropki na końcu wiersza zasad, które chcesz wyłączyć. Wybierz pozycję Wyłącz.

    Wyłącz zasady.

Domyślnie po utworzeniu nowych zasad są włączone.

Raport omówienie zasad

Defender for Cloud Apps umożliwia eksportowanie raportu przeglądu zasad z zagregowanymi metrykami alertów na zasady, aby ułatwić monitorowanie, zrozumienie i dostosowywanie zasad w celu lepszej ochrony organizacji.

Aby wyeksportować dziennik, wykonaj następujące kroki:

  1. Na stronie Zasady wybierz przycisk Eksportuj .

  2. Określ wymagany zakres czasu.

  3. Wybierz pozycję Eksportuj. Ten proces może zająć trochę czasu.

Aby pobrać wyeksportowany raport:

  1. Gdy raport będzie gotowy, w witrynie Microsoft Defender Portal przejdź do obszaru Raporty, a następnie pozycję Cloud Apps —>wyeksportowane raporty.

  2. W tabeli wybierz odpowiedni raport, a następnie wybierz pozycję Pobierz.

    przycisk pobierania.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.