Udostępnij za pośrednictwem

Typowe zasady ochrony przed zagrożeniami Defender for Cloud Apps

  • Artykuł

Defender for Cloud Apps umożliwia identyfikowanie problemów z użyciem wysokiego ryzyka i zabezpieczeniami w chmurze, wykrywanie nietypowych zachowań użytkowników i zapobieganie zagrożeniom w zaakceptowanych aplikacjach w chmurze. Uzyskaj wgląd w działania użytkowników i administratorów oraz zdefiniuj zasady, aby automatycznie otrzymywać alerty w przypadku wykrycia podejrzanego zachowania lub określonych działań, które uważasz za ryzykowne. Korzystając z ogromnej ilości danych analizy zagrożeń i badań nad zabezpieczeniami firmy Microsoft, możesz zapewnić, że zaakceptowane aplikacje mają wszystkie potrzebne mechanizmy kontroli zabezpieczeń i pomagają utrzymać nad nimi kontrolę.

Uwaga

Podczas integrowania Defender for Cloud Apps z Microsoft Defender for Identity zasady z usługi Defender for Identity są również wyświetlane na stronie zasad. Aby uzyskać listę zasad usługi Defender for Identity, zobacz Alerty zabezpieczeń.

Wykrywanie i kontrolowanie aktywności użytkowników z nieznanych lokalizacji

Automatyczne wykrywanie dostępu użytkowników lub działań z nieznanych lokalizacji, które nigdy nie były odwiedzane przez inną osobę w organizacji.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

To wykrywanie jest automatycznie konfigurowane w trybie out-of-the-box, aby otrzymywać alerty o dostępie z nowych lokalizacji. Nie trzeba podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

Wykrywanie konta z naruszeniem zabezpieczeń przez niemożliwą lokalizację (niemożliwe podróże)

Automatyczne wykrywanie dostępu użytkownika lub działania z 2 różnych lokalizacji w okresie krótszym niż czas potrzebny na podróż między nimi.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. To wykrywanie jest automatycznie konfigurowane w trybie out-of-the-box, aby otrzymywać alerty, gdy istnieje dostęp z niemożliwych lokalizacji. Nie trzeba podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

  2. Opcjonalnie: można dostosować zasady wykrywania anomalii:

    • Dostosowywanie zakresu wykrywania pod względem użytkowników i grup

    • Wybieranie typów logowań do rozważenia

    • Ustawianie preferencji poufności dla alertów

  3. Utwórz zasady wykrywania anomalii.

Wykrywanie podejrzanych działań od pracownika "na urlopie"

Wykryj, kiedy użytkownik, który jest na bezpłatnym urlopie i nie powinien być aktywny w żadnym zasobie organizacyjnym, uzyskuje dostęp do jakichkolwiek zasobów w chmurze organizacji.

Wymagania wstępne

  • Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

  • Utwórz grupę zabezpieczeń w Tożsamość Microsoft Entra dla użytkowników na bezpłatnym urlopie i dodaj wszystkich użytkowników, którzy mają być monitorowani.

Kroki

  1. Na ekranie Grupy użytkowników wybierz pozycję Utwórz grupę użytkowników i zaimportuj odpowiednią grupę Microsoft Entra.

  2. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Utwórz nowe zasady działania.

  3. Ustaw filtr Grupa użytkowników jest równa nazwie grup użytkowników utworzonych w Tożsamość Microsoft Entra dla użytkowników urlopu bezpłatnego.

  4. Opcjonalnie: ustaw akcje ładu , które mają być wykonywane dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. Możesz wybrać pozycję Wstrzymaj użytkownika.

  5. Utwórz zasady plików.

Wykrywanie i powiadamianie o użyciu nieaktualnego systemu operacyjnego przeglądarki

Wykrywanie, kiedy użytkownik korzysta z przeglądarki z nieaktualną wersją klienta, która może stanowić zagrożenie dla zgodności lub bezpieczeństwa w organizacji.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Utwórz nowe zasady działania.

  2. Ustaw filtr Tag agenta użytkownika na wartość Nieaktualna przeglądarka i Nieaktualny system operacyjny.

  3. Ustaw akcje ładu do wykonania dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. W obszarze Wszystkie aplikacje wybierz pozycję Powiadom użytkownika, aby użytkownicy mogli działać zgodnie z alertem i aktualizować niezbędne składniki.

  4. Utwórz zasady działania.

Wykrywanie i alerty w przypadku wykrycia działania Administracja na ryzykownych adresach IP

Wykryj działania administratora wykonywane z adresu i adres IP, który jest uważany za ryzykowny adres IP, i powiadom administratora systemu o dalszych badaniach lub ustaw akcję ładu na koncie administratora.

Wymagania wstępne

  • Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

  • W grupie Ustawienia wybierz pozycję Zakresy adresów IP i wybierz pozycję + , aby dodać zakresy adresów IP dla podsieci wewnętrznych i ich publicznych adresów IP ruchu wychodzącego. Ustaw kategorię na wartość Wewnętrzna.

Kroki

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Utwórz nowe zasady działania.

  2. Ustaw pozycję Działanie napojedyncze działanie.

  3. Ustaw adres IP filtru na Wartość Kategoria jest równa Ryzykowne

  4. Ustaw filtr Działanie administracyjne na wartość True

  5. Ustaw akcje ładu do wykonania dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. W obszarze Wszystkie aplikacje wybierz pozycję Powiadom użytkownika, aby użytkownicy mogli działać zgodnie z alertem i aktualizować niezbędne składniki cc menedżera użytkownika.

  6. Utwórz zasady działania.

Wykrywanie działań według konta usługi z zewnętrznych adresów IP

Wykrywanie działań konta usługi pochodzących z innych niż wewnętrzne adresy IP. Może to wskazywać na podejrzane zachowanie lub naruszone konto.

Wymagania wstępne

  • Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

  • W grupie Ustawienia wybierz pozycję Zakresy adresów IP i wybierz pozycję + , aby dodać zakresy adresów IP dla podsieci wewnętrznych i ich publicznych adresów IP ruchu wychodzącego. Ustaw kategorię na wartość Wewnętrzna.

  • Ustandaryzuj konwencje nazewnictwa dla kont usług w środowisku, na przykład ustaw wszystkie nazwy kont tak, aby zaczynać się od "svc".

Kroki

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Utwórz nowe zasady działania.

  2. Ustaw filtr User (Użytkownik ) na Name ( Nazwa ), a następnie pozycję Rozpoczyna się od i wprowadź konwencję nazewnictwa, taką jak svc.

  3. Ustaw adres IP filtru na Wartość Kategoria nie jest równa Inne i Firmowe.

  4. Ustaw akcje ładu do wykonania dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług.

  5. Utwórz zasady.

Wykrywanie pobierania zbiorczego (eksfiltracja danych)

Wykrywanie, kiedy określony użytkownik uzyskuje dostęp do ogromnej liczby plików lub pobiera je w krótkim czasie.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Utwórz nowe zasady działania.

  2. Ustaw adresy IP filtru na Wartość Tag nie jest równa Microsoft Azure. Spowoduje to wykluczenie działań nieinterakcyjnych opartych na urządzeniach.

  3. Ustaw filtr Typy działań równe, a następnie wybierz wszystkie odpowiednie działania pobierania.

  4. Ustaw akcje ładu do wykonania dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług.

  5. Utwórz zasady.

Wykrywanie potencjalnego działania oprogramowania wymuszającego okup

Automatyczne wykrywanie potencjalnej aktywności ransomware.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. To wykrywanie jest automatycznie konfigurowane jako dostępne, aby otrzymywać alerty w przypadku wykrycia potencjalnego ryzyka związanego z oprogramowaniem wymuszającym okup. Nie trzeba podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

  2. Istnieje możliwość skonfigurowania zakresu wykrywania i dostosowania akcji ładu, które mają być wykonywane po wyzwoleniu alertu. Aby uzyskać więcej informacji o tym, jak Defender for Cloud Apps identyfikuje oprogramowanie wymuszające okup, zobacz Ochrona organizacji przed oprogramowaniem wymuszającym okup.

Uwaga

Dotyczy to usług Microsoft 365, Google Workspace, Box i Dropbox.

Wykrywanie złośliwego oprogramowania w chmurze

Wykrywanie plików zawierających złośliwe oprogramowanie w środowiskach chmury przy użyciu Defender for Cloud Apps integracji z aparatem analizy zagrożeń firmy Microsoft.

Wymagania wstępne

  • W przypadku wykrywania złośliwego oprogramowania na platformie Microsoft 365 musisz mieć ważną licencję na Microsoft Defender dla platformy Microsoft 365 P1.
  • Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  • To wykrywanie jest automatycznie konfigurowane w trybie out-of-the-box, aby otrzymywać alerty, gdy istnieje plik, który może zawierać złośliwe oprogramowanie. Nie trzeba podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

Wykrywanie nieautoryzowanego przejęcia przez administratora

Wykryj powtarzające się działania administratora, które mogą wskazywać złośliwe intencje.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Utwórz nowe zasady działania.

  2. Ustaw opcję Ustaw działanie napowtarzające się i dostosuj minimalne powtarzające się działania i ustaw przedział czasu , aby był zgodny z zasadami organizacji.

  3. Ustaw filtr Użytkownik na Wartość z grupy jest równy i wybierz wszystkie powiązane grupy administratorów jako tylko aktor.

  4. Ustaw typ działania filtru równy wszystkim działaniom powiązanym z aktualizacjami haseł, zmianami i resetami.

  5. Ustaw akcje ładu do wykonania dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług.

  6. Utwórz zasady.

Wykrywanie podejrzanych reguł manipulowania skrzynką odbiorczą

Jeśli w skrzynce odbiorczej użytkownika ustawiono podejrzaną regułę skrzynki odbiorczej, może to oznaczać naruszenie zabezpieczeń konta użytkownika oraz że skrzynka pocztowa jest używana do rozpowszechniania spamu i złośliwego oprogramowania w organizacji.

Wymagania wstępne

  • Korzystanie z programu Microsoft Exchange na potrzeby poczty e-mail.

Kroki

  • To wykrywanie jest automatycznie konfigurowane w trybie out-of-the-box, aby otrzymywać alerty, gdy zostanie ustawiona podejrzana reguła skrzynki odbiorczej. Nie trzeba podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

Wykrywanie ujawnionych poświadczeń

Gdy cyberprzestępcy naruszają prawidłowe hasła legalnych użytkowników, często udostępniają te poświadczenia. Zwykle odbywa się to przez opublikowanie ich publicznie w ciemnej sieci Web lub wklej witrynach albo przez handel lub sprzedaż poświadczeń na czarnym rynku.

Defender for Cloud Apps korzysta z analizy zagrożeń firmy Microsoft w celu dopasowania takich poświadczeń do tych używanych w organizacji.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

To wykrywanie jest automatycznie konfigurowane w trybie out-of-the-box, aby otrzymywać alerty w przypadku wykrycia możliwego wycieku poświadczeń. Nie trzeba podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

Wykrywanie nietypowych plików do pobrania

Wykrywanie, kiedy użytkownicy wykonują wiele działań pobierania plików w jednej sesji w stosunku do nauczonych punktów odniesienia. Może to wskazywać na próbę naruszenia zabezpieczeń.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. To wykrywanie jest automatycznie konfigurowane w trybie out-of-the-box, aby otrzymywać alerty w przypadku wystąpienia nietypowego pobierania. Nie trzeba podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

  2. Istnieje możliwość skonfigurowania zakresu wykrywania i dostosowania akcji, która ma zostać podjęta po wyzwoleniu alertu.

Wykrywanie nietypowych udziałów plików przez użytkownika

Wykrywanie, kiedy użytkownicy wykonują wiele działań udostępniania plików w jednej sesji w odniesieniu do wyuczonych punktów odniesienia, co może wskazywać na próbę naruszenia.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. To wykrywanie jest automatycznie konfigurowane w trybie out-of-the-box, aby otrzymywać alerty, gdy użytkownicy wykonują udostępnianie wielu plików. Nie trzeba podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

  2. Istnieje możliwość skonfigurowania zakresu wykrywania i dostosowania akcji, która ma zostać podjęta po wyzwoleniu alertu.

Wykrywanie nietypowych działań z rzadkiego kraju/regionu

Wykrywanie działań z lokalizacji, która nie została ostatnio lub nigdy nie była odwiedzana przez użytkownika lub jakiegokolwiek użytkownika w organizacji.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. To wykrywanie jest automatycznie konfigurowane w trybie out-of-the-box, aby otrzymywać alerty w przypadku wystąpienia nietypowego działania z rzadkiego kraju/regionu. Nie trzeba podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

  2. Istnieje możliwość skonfigurowania zakresu wykrywania i dostosowania akcji, która ma zostać podjęta po wyzwoleniu alertu.

Uwaga

Wykrywanie nietypowych lokalizacji wymaga początkowego okresu nauki wynoszącego 7 dni. W okresie nauki Defender for Cloud Apps nie generuje alertów dla nowych lokalizacji.

Wykrywanie działania wykonywanego przez użytkownika zakończone

Wykrywanie, kiedy użytkownik, który nie jest już pracownikiem organizacji, wykonuje działanie w zaakceptowanej aplikacji. Może to wskazywać na złośliwe działanie zakończonej pracy pracownika, który nadal ma dostęp do zasobów firmy.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. To wykrywanie jest automatycznie konfigurowane w trybie out-of-the-box, aby otrzymywać alerty, gdy działanie jest wykonywane przez zakończonego pracownika. Nie trzeba podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

  2. Istnieje możliwość skonfigurowania zakresu wykrywania i dostosowania akcji, która ma zostać podjęta po wyzwoleniu alertu.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.