Поделиться через

Создание политик приложений в системе управления приложениями

  • Статья

Наряду со встроенным набором возможностей для обнаружения аномального поведения приложения и создания оповещений на основе алгоритмов машинного обучения политики в системе управления приложениями позволяют:

  • Укажите условия, по которым система управления приложениями оповещает о поведении приложения для автоматического или ручного исправления.

  • Принудительно применяйте политики соответствия приложений для вашей организации.

Используйте управление приложениями для создания политик OAuth для приложений, подключенных к Microsoft 365, Google Workspace и Salesforce.


Создание политик приложений OAuth для Microsoft Entra ID

Для приложений, подключенных к Microsoft Entra ID, создайте политики приложений на основе предоставленных шаблонов, которые можно настроить, или создайте собственную настраиваемую политику приложений.

  1. Чтобы создать политику приложений для приложений Azure AD, перейдите > в Microsoft Defender XDR Политики > управления приложениями > Azure AD.

    Например:

    Снимок экрана: вкладка Azure AD.

  2. Выберите параметр Создать политику и выполните одно из следующих действий:

    • Чтобы создать политику приложений на основе шаблона, выберите соответствующую категорию шаблона, а затем шаблон в этой категории.
    • Чтобы создать настраиваемую политику, выберите категорию Пользовательская .

    Например:

    Снимок экрана: страница

Шаблоны политики приложений

Чтобы создать политику приложений на основе шаблона политики приложений, на странице Выбор шаблона политики приложений выберите категорию шаблона приложения, задайте имя шаблона и затем нажмите Далее.

В следующих разделах описаны категории шаблонов политики приложений.

Применение

В следующей таблице перечислены шаблоны управления приложениями, поддерживаемые для создания оповещений об использовании приложений.

Имя шаблона Описание
Новое приложение с высоким уровнем использования данных Найдите недавно зарегистрированные приложения, которые отправили или скачали большие объемы данных, с помощью API Microsoft Graph и EWS. Эта политика проверяет следующие условия:

  • Возраст регистрации: семь дней или меньше (можно настроить)
  • Использование данных: более 1 ГБ за один день (настраивается)
    		•
    Увеличение числа пользователей Поиск приложений со значительно увеличенным числом пользователей. Эта политика проверяет следующие условия:

  • Диапазон времени: последние 90 дней
  • Увеличение числа соглашающихся пользователей: по крайней мере 50% (настраивается)
    		•

    Разрешения

    В следующей таблице перечислены шаблоны управления приложениями, поддерживаемые для создания оповещений для разрешений приложений.

    Имя шаблона Описание
    Приложение с избыточными правами Найдите приложения с неиспользуемых разрешениями Microsoft API Graph. Этим приложениям были предоставлены разрешения, которые могут быть ненужными для регулярного использования.
    Новое приложение с высоким уровнем привилегий Найдите только что зарегистрированные приложения, которым предоставлен доступ на запись и другие мощные разрешения для Microsoft Graph и других распространенных API-интерфейсов Майкрософт. Эта политика проверяет следующие условия:

  • Возраст регистрации: семь дней или меньше (можно настроить)
    		•
    Новое приложение с разрешениями, не API Graph Найдите только что зарегистрированные приложения с разрешениями для API- интерфейсов, отличных от Graph. Эти приложения могут подвергать вас рискам, если API, к которым они обращаются, получают ограниченную поддержку и обновления.
    Эта политика проверяет следующие условия:

  • Возраст регистрации: семь дней или меньше (можно настроить)
  • Разрешения, отличные от API Graph: Да
    		•

    Сертификация

    В следующей таблице перечислены шаблоны управления приложениями, поддерживаемые для создания оповещений для сертификации Microsoft 365.

    Имя шаблона Описание
    Новое несертифицированное приложение Найдите недавно зарегистрированные приложения, которые не имеют аттестации издателя или сертификации Microsoft 365. Эта политика проверяет следующие условия:

  • Возраст регистрации: семь дней или меньше (можно настроить)
  • Сертификация: нет сертификации (настраиваемая)
    		•

    Настраиваемые политики

    Используйте настраиваемую политику приложений, когда необходимое вам действие не покрывается ни одним из встроенных шаблонов.

    • Чтобы создать новую настраиваемую политику приложений, сначала выберите Создать политику на странице Политики . На странице Выбор шаблона политики приложений выберите категорию Настраиваемая, затем шаблон Настраиваемая политика, а после нажмите Далее.

    1. На странице Название и описание настройте следующее:

      • Имя политики
      • Описание политики
      • Выберите уровень серьезности политики, который определяет уровень серьезности оповещений, создаваемых этой политикой.
        • Высокий
        • Средний
        • Низкий

    2. На странице Выбор параметров и условий политики в разделе Выбор приложений, к которым применима эта политика выберите:

      • Все приложения
      • Выбор определенных приложений
      • Все приложения, кроме

    3. Если выбраны определенные приложения или все приложения, кроме этой политики, выберите Добавить приложения и выберите нужные приложения в списке. В области Выбор приложений можно выбрать несколько приложений, к которым применяется эта политика, а затем нажать кнопку Добавить. Нажмите кнопку Далее , если вы удовлетворены списком.

    4. Выберите Изменить условия. Выберите Добавить условие и выберите условие из списка. Задайте требуемое пороговое значение для выбранного условия. Повторите эти действия, чтобы добавить другие условия. Нажмите кнопку Сохранить , чтобы сохранить правило, и по завершении добавления правил нажмите кнопку Далее.

      Примечание.

      Некоторые условия политики применимы только к приложениям, которые получают доступ к API Graph разрешениям. При оценке приложений, которые обращаются только к API,не относящиеся к Graph, система управления приложениями пропустит эти условия политики и перейдет к проверка только другим условиям политики.

    5. Ниже приведены доступные условия для настраиваемой политики приложений:

      Условие Допустимые значения условия Описание Дополнительная информация
      Возраст регистрации В течение последних X дней Приложения, зарегистрированные для Microsoft Entra ID в течение указанного периода с текущей даты
      Сертификация Нет сертификации, аттестация издателя, microsoft 365 certified Приложения, сертифицированные microsoft 365, имеют отчет об аттестации издателя или ни один из них Сертификация Microsoft 365
      Проверка издателя Да или нет Приложения с проверенными издателями Проверка издателя
      Разрешения приложений (только Graph) Выберите одно или несколько разрешений API из списка Приложения с определенными разрешениями API Graph, которые были предоставлены напрямую Справочник по разрешениям Microsoft Graph
      Делегированные разрешения (только Graph) Выберите одно или несколько разрешений API из списка Приложения с определенными разрешениями API Graph, предоставленными пользователем Справочник по разрешениям Microsoft Graph
      С высоким уровнем привилегий Да или нет Приложения с относительно мощными разрешениями на Microsoft Graph и другие распространенные API-интерфейсы майкрософт Внутреннее обозначение на основе той же логики, которая используется Defender for Cloud Apps.
      Overprivileged (только Graph) Да или нет Приложения с неиспользуемых API Graph разрешениями Приложения, которым предоставлено больше разрешений, чем ими используется.
      Разрешения интерфейсов API, не относящихся к Graph Да или нет Приложения с разрешениями для API- интерфейсов, отличных от Graph. Эти приложения могут подвергать вас рискам, если API, к которым они обращаются, получают ограниченную поддержку и обновления.
      Использование данных Больше X ГБ данных, скачанных и отправленных в день Приложения, которые считывают и записывают больше указанного объема данных с помощью API Microsoft Graph и EWS
      Тенденция использования данных Увеличение использования данных на X % по сравнению с предыдущим днем Приложения, данные которых считываются и записываются с помощью API Microsoft Graph и EWS, увеличились на указанный процент по сравнению с предыдущим днем
      Доступ к API (только Graph) Больше X вызовов API в день Приложения, которые выполнили указанное количество API Graph звонков в день
      Тенденция доступа к API (только Graph) Увеличение числа вызовов API на X % по сравнению с предыдущим днем Приложения, количество API Graph звонков которых увеличилось на указанный процент по сравнению с предыдущим днем
      Число пользователей, которые предоставили согласие Пользователей, давших согласие: (более или менее) X Приложения, на которые было дано согласие большим или меньшим числом пользователей, чем указано
      Увеличение числа пользователей, которые предоставили согласие X % увеличения числа пользователей за последние 90 дней Приложения, число пользователей которых за последние 90 дней увеличилось по сравнению с указанным процентом
      Предоставлено согласие учетной записи приоритета Да или нет Приложения, которым было предоставлено согласие приоритетными пользователями Пользователь с приоритетной учетной записью.
      Имена пользователей, которые предоставили согласие Выбор пользователей из списка Приложения, которым было дано согласие определенными пользователями
      Роли пользователей, ющих согласие Выбор ролей из списка Приложения, которым предоставлено согласие пользователей с определенными ролями Разрешен выбор нескольких вариантов.

      В этом списке должна быть доступна любая роль Microsoft Entra с назначенным участником.
      Доступ к меткам конфиденциальности Выберите одну или несколько меток конфиденциальности в списке Приложения, которые обращались к данным с определенными метками конфиденциальности за последние 30 дней.
      Доступ к службам (только Graph) Exchange и (или) OneDrive и (или) SharePoint и (или) Teams Приложения, имеющие доступ к OneDrive, SharePoint или Exchange Online с помощью API Microsoft Graph и EWS Разрешен выбор нескольких вариантов.
      Частота ошибок (только Graph) Число ошибок больше X% за последние семь дней Приложения, число ошибок API Graph которых за последние семь дней превышает указанный процент.
      Источник приложения (предварительная версия) Внешний или внутренний Приложения, которые были созданы в клиенте или зарегистрированы во внешнем клиенте

      Чтобы эта политика приложений создавала оповещения, должны быть выполнены все указанные условия.

    6. Завершив задание условий, нажмите кнопку Сохранить, а затем нажмите кнопку Далее.

    7. Если вы хотите, чтобы система управления приложениями отключила приложение при создании оповещения на основе этой политики, на странице Определение действий политики выберите Отключить приложение, а затем нажмите Далее. Соблюдайте осторожность при применении действий, поскольку политика может затронуть пользователей и добросовестное использование приложений.

    8. На странице Определение состояния политики выберите один из перечисленных вариантов.

      • Режим аудита. Политики оцениваются, но настроенные действия не выполняются. Политики в режиме аудита отображаются с состоянием Аудит в списке политик. Для тестирования новой политики используйте режим "Аудит".
      • Активная: политики оцениваются, и выполняются настроенные действия.
      • Неактивно: политики не оцениваются и настраиваемые действия не выполняются.

    9. Внимательно проверьте все параметры настраиваемой политики. Выберите Отправить , когда вы будете удовлетворены. Также можно вернуться и изменить параметры, нажав кнопку Изменить под любым параметром.

    Тестирование и мониторинг новой политики приложений

    Теперь, когда политика приложения создана, ее следует отслеживать на странице Политики , чтобы убедиться, что во время тестирования регистрируется ожидаемое количество активных оповещений и общее количество оповещений.

    Снимок экрана: страница сводки по политикам управления приложениями в Microsoft Defender XDR с выделенной политикой.

    Если количество оповещений неожиданно низкое, перед установкой состояния политики приложений отредактируйте ее параметры, чтобы убедиться, что настройка сделана правильно.

    Ниже приведен пример процесса создания новой политики, ее тестирования и последующего ее активного выполнения:

    1. Создайте новую политику с начальными значениями для уровня серьезности, приложений, условий и действий и со значением состояния Режим аудита.
    2. Проверьте ожидаемое поведение, например созданные оповещения.
    3. Если поведение не ожидается, измените приложения политики, условия и параметры действий при необходимости и вернитесь к шагу 2.
    4. Если поведение соответствует ожидаемому, измените политику и переведите ее состояние в Активная.

    Например, на следующей блок-схеме показаны необходимые шаги:

    Схема рабочего процесса создания политики приложения.

    Создание политики для приложений OAuth, подключенных к Salesforce и Google Workspace

    Политики для приложений OAuth активируют оповещения только для политик, авторизованных пользователями в клиенте.

    Чтобы создать политику приложений для Salesforce, Google и других приложений, выполните следующие действия:

    1. Перейдите Microsoft Defender XDR > Политики > управления приложениями > Другие приложения. Например:

      Создание политик других приложений

    2. Отфильтруйте приложения в соответствии с вашими потребностями. Например, может потребоваться просмотреть все приложения, запрашивающие разрешение наизменение календарей в почтовом ящике.

      Совет

      Используйте фильтр использования сообщества , чтобы получить сведения о том, является ли разрешение этого приложения общим, редким или редким. Этот фильтр может быть полезен, если у вас есть приложение, которое является редким и запрашивает разрешение с высоким уровнем серьезности или запрашивает разрешение от многих пользователей.

    3. Вы можете задать политику на основе членства в группах пользователей, авторизовать приложения. Например, администратор может установить политику, которая отменяет необычные приложения, если они запрашивают высокие разрешения, только если пользователь, авторизовавший разрешения, является членом группы администраторов.

    Например:

    новая политика приложений OAuth.

    Политики обнаружения аномалий для приложений OAuth, подключенных к Salesforce и Google Workspace

    Помимо политик приложений OAuth, которые можно создать, приложения Defender для облака предоставляют готовые политики обнаружения аномалий, которые профилируют метаданные приложений OAuth для выявления потенциально вредоносных приложений.

    Этот раздел относится только к приложениям Salesforce и Google Workspace.

    Примечание.

    Политики обнаружения аномалий доступны только для приложений OAuth, авторизованных в Microsoft Entra ID. Серьезность политик обнаружения аномалий приложения OAuth не может быть изменена.

    В следующей таблице описаны встроенные политики обнаружения аномалий, предоставляемые Defender for Cloud Apps:

    Политика Описание
    Вводя в заблуждение имя приложения OAuth Сканирует приложения OAuth, подключенные к вашей среде, и активирует оповещение при обнаружении приложения с вводящим в заблуждение именем. Вводящие в заблуждение имена, такие как иностранные буквы, напоминающие латинские буквы, могут указывать на попытку замаскировать вредоносное приложение под известное и доверенное приложение.
    Неправильное имя издателя для приложения OAuth Сканирует приложения OAuth, подключенные к вашей среде, и активирует оповещение при обнаружении приложения с вводящим в заблуждение именем издателя. Вводящие в заблуждение имена издателей, такие как иностранные буквы, напоминающие латинские буквы, могут указывать на попытку замаскировать вредоносное приложение под приложение, поступающее от известного и доверенного издателя.
    Согласие вредоносного приложения OAuth Сканирует приложения OAuth, подключенные к вашей среде, и активирует оповещение при авторизации потенциально вредоносного приложения. Вредоносные приложения OAuth могут использоваться в рамках фишинговой кампании при попытке компрометации пользователей. В этом обнаружении используются исследования безопасности Майкрософт и опыт аналитики угроз для выявления вредоносных приложений.
    Подозрительные действия по загрузке файлов приложений OAuth. Дополнительные сведения см. в разделе Политики обнаружения аномалий.

    Следующее действие

    Управление политиками приложений