Zasady odnajdywania w chmurze

Ten artykuł zawiera omówienie sposobu rozpoczęcia korzystania z Defender for Cloud Apps w celu uzyskania wglądu w zasoby IT w tle w organizacji przy użyciu funkcji odnajdywania w chmurze.

Defender for Cloud Apps umożliwia odnajdywanie i analizowanie aplikacji w chmurze, które są używane w środowisku organizacji. Pulpit nawigacyjny odnajdywania w chmurze przedstawia wszystkie aplikacje w chmurze działające w środowisku i kategoryzuje je według gotowości funkcji i przedsiębiorstwa. Dla każdej aplikacji odnajdź skojarzonych użytkowników, adresy IP, urządzenia, transakcje i przeprowadza ocenę ryzyka bez konieczności instalowania agenta na urządzeniach punktu końcowego.

Wykrywanie nowego dużego lub szerokiego użycia aplikacji

Wykrywanie nowych aplikacji, które są bardzo używane, pod względem liczby użytkowników lub ilości ruchu w organizacji.

Wymagania wstępne

Skonfiguruj automatyczne przekazywanie dzienników dla raportów ciągłego odnajdywania w chmurze, zgodnie z opisem w temacie Konfigurowanie automatycznego przekazywania dzienników dla raportów ciągłych lub włączanie integracji Defender for Cloud Apps z usługą Defender for Endpoint zgodnie z opisem w temacie Integrowanie Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Defender for Cloud Apps.

Kroki

1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Utwórz nowe zasady odnajdywania aplikacji.

2. W polu Szablon zasad wybierz pozycję Nowa aplikacja o dużej liczbie woluminów lub Nowa popularna aplikacja i zastosuj szablon.

3. Dostosuj filtry zasad, aby spełnić wymagania organizacji.

4. Skonfiguruj akcje do wykonania po wyzwoleniu alertu.

Uwaga

Alert jest generowany raz dla każdej nowej aplikacji, która nie została odnaleziona w ciągu ostatnich 90 dni.

Wykrywanie nowego ryzykownego lub niezgodnego użycia aplikacji

Wykrywanie potencjalnej ekspozycji organizacji w aplikacjach w chmurze, które nie spełniają twoich standardów zabezpieczeń.

Wymagania wstępne

Skonfiguruj automatyczne przekazywanie dzienników dla raportów ciągłego odnajdywania w chmurze, zgodnie z opisem w temacie Konfigurowanie automatycznego przekazywania dzienników dla raportów ciągłych lub włączanie integracji Defender for Cloud Apps z usługą Defender for Endpoint zgodnie z opisem w temacie Integrowanie Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Defender for Cloud Apps.

Kroki

1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Utwórz nowe zasady odnajdywania aplikacji.

2. W polu Szablon zasad wybierz szablon Nowa ryzykowna aplikacja i zastosuj szablon.

3. W obszarze App matching all of the following set the Risk Score slider and the Compliance risk factor to customize the level of risk you want to trigger an alert( Aplikacja dopasowuje wszystkie poniższe ustawienia do suwaka Ocena ryzyka i Współczynnik ryzyka zgodności), aby dostosować poziom ryzyka, który chcesz wyzwolić alert, i ustaw inne filtry zasad w celu spełnienia wymagań organizacji w zakresie zabezpieczeń.

   1. Opcjonalnie: aby uzyskać bardziej znaczące wykrywanie, dostosuj ilość ruchu, który wyzwoli alert.

   2. Zaznacz pole wyboru Wyzwól zasady, jeśli wszystkie następujące elementy wystąpią tego samego dnia .

   3. Wybierz pozycję Ruch dzienny większy niż 2000 GB (lub inny).

4. Skonfiguruj akcje ładu do wykonania po wyzwoleniu alertu. W obszarze Ład wybierz pozycję Taguj aplikację jako niezatwierdzone.
   Dostęp do aplikacji zostanie automatycznie zablokowany po dopasowaniu zasad.

5. Opcjonalnie: skorzystaj z Defender for Cloud Apps natywnych integracji z bezpiecznymi bramami internetowymi, aby zablokować dostęp do aplikacji.

Wykrywanie użycia niesankcjonowanych aplikacji biznesowych

Możesz wykryć, kiedy pracownicy nadal używają niesankcjonowanych aplikacji jako zamiennika zatwierdzonych aplikacji gotowych do działania firmy.

Wymagania wstępne

• Skonfiguruj automatyczne przekazywanie dzienników dla raportów ciągłego odnajdywania w chmurze, zgodnie z opisem w temacie Konfigurowanie automatycznego przekazywania dzienników dla raportów ciągłych lub włączanie integracji Defender for Cloud Apps z usługą Defender for Endpoint zgodnie z opisem w temacie Integrowanie Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Defender for Cloud Apps.

Kroki

1. W katalogu aplikacji w chmurze wyszukaj aplikacje gotowe do działania i oznacz je niestandardowym tagiem aplikacji.

2. Wykonaj kroki opisane w temacie Wykrywanie nowego dużego lub szerokiego użycia aplikacji.

3. Dodaj filtr tagów aplikacji i wybierz tagi aplikacji utworzone dla aplikacji gotowych do działania.

4. Skonfiguruj akcje ładu do wykonania po wyzwoleniu alertu. W obszarze Ład wybierz pozycję Taguj aplikację jako niezatwierdzone.
   Dostęp do aplikacji zostanie automatycznie zablokowany po dopasowaniu zasad.

5. Opcjonalnie: skorzystaj z Defender for Cloud Apps natywnych integracji z bezpiecznymi bramami internetowymi, aby zablokować dostęp do aplikacji.

Wykrywanie nietypowych wzorców użycia w sieci

Wykrywanie nietypowych wzorców użycia ruchu (przekazywania/pobierania) w aplikacjach w chmurze pochodzących od użytkowników lub adresów IP w sieci organizacji.

Wymagania wstępne

Skonfiguruj automatyczne przekazywanie dzienników dla raportów ciągłego odnajdywania w chmurze, zgodnie z opisem w temacie Konfigurowanie automatycznego przekazywania dzienników dla raportów ciągłych lub włączanie integracji Defender for Cloud Apps z usługą Defender for Endpoint zgodnie z opisem w temacie Integrowanie Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Defender for Cloud Apps.

Kroki

1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Utwórz nowe zasady wykrywania anomalii usługi Cloud Discovery.

2. W polu Szablon zasad wybierz pozycję Nietypowe zachowanie odnalezionych użytkowników lub Nietypowe zachowanie w odnalezionych adresach IP.

3. Dostosuj filtry w celu spełnienia wymagań organizacji.

4. Jeśli chcesz otrzymywać alerty tylko wtedy, gdy występują anomalie dotyczące ryzykownych aplikacji, użyj filtrów Ocena ryzyka i ustaw zakres, w którym aplikacje są uważane za ryzykowne.

5. Użyj suwaka, aby wybrać czułość wykrywania anomalii.

Uwaga

Po ustanowieniu ciągłego przekazywania dziennika aparat wykrywania anomalii trwa kilka dni, zanim zostanie ustanowiony punkt odniesienia (okres uczenia) dla oczekiwanego zachowania w organizacji. Po ustanowieniu punktu odniesienia zaczniesz otrzymywać alerty na podstawie rozbieżności w oczekiwanym zachowaniu ruchu w aplikacjach w chmurze przez użytkowników lub z adresów IP.

Wykrywanie nietypowych zachowań odnajdywania w chmurze w aplikacjach magazynu, które nie są usankcjonowane

Wykrywanie nietypowego zachowania użytkownika w aplikacji magazynu w chmurze, która nie jest usankcjonowana.

Wymagania wstępne

Skonfiguruj automatyczne przekazywanie dzienników dla raportów ciągłego odnajdywania w chmurze, zgodnie z opisem w temacie Konfigurowanie automatycznego przekazywania dzienników dla raportów ciągłych lub włączanie integracji Defender for Cloud Apps z usługą Defender for Endpoint zgodnie z opisem w temacie Integrowanie Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Defender for Cloud Apps.

Kroki

1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Utwórz nowe zasady wykrywania anomalii usługi Cloud Discovery.

2. Wybierz filtr Kategoria aplikacji równa się magazyn w chmurze.

3. Wybierz filtr Tag aplikacji nie jest równy sankcjom.

4. Zaznacz pole wyboru , aby utworzyć alert dla każdego pasującego zdarzenia o ważności zasad.

5. Skonfiguruj akcje do wykonania po wyzwoleniu alertu.

Wykrywanie ryzykownych aplikacji OAuth

Uzyskaj wgląd i kontrolę nad aplikacjami OAuth zainstalowanymi w aplikacjach takich jak Google Workspace, Microsoft 365 i Salesforce. Aplikacje OAuth, które żądają wysokich uprawnień i mają rzadkie użycie społeczności, mogą być uważane za ryzykowne.

Wymagania wstępne

Musisz mieć połączoną aplikację Google Workspace, Microsoft 365 lub Salesforce przy użyciu łączników aplikacji.

Kroki

1. 1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Utwórz nowe zasady aplikacji OAuth.

2. Wybierz filtr Aplikacja i ustaw aplikację, która powinna obejmować zasady, obszar roboczy Google, platforma Microsoft 365 lub salesforce.

3. Wybierz pozycję Filtr poziomu uprawnień jest równy Wysoki (dostępny dla obszaru roboczego Google i platformy Microsoft 365).

4. Dodaj filtr Użycie w społeczności jest równe Rzadki.

5. Skonfiguruj akcje do wykonania po wyzwoleniu alertu. Na przykład w przypadku platformy Microsoft 365 zaznacz opcję Odwołaj aplikację dla aplikacji OAuth wykrytych przez zasady.

Uwaga

Obsługiwane w sklepach z aplikacjami Google Workspace, Microsoft 365 i Salesforce.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.