Поделиться через

Начало работы с политиками приложений

  • Статья

Политики для управления приложениями — это способ реализации упреждающих и реактивных оповещений, а также автоматического исправления для конкретных потребностей в соответствии с требованиями приложений в вашей организации. Вы можете создавать политики в системе управления приложениями для управления приложениями OAuth в Microsoft 365, Google и Salesforce.

Существует два типа политик в системе управления приложениями:

  • Предопределенные политики

    Управление приложениями оснащено набором предопределенных политик, адаптированных к вашей среде. Они позволяют начать мониторинг приложений еще до настройки политик, гарантируя, что вы будете получать уведомления о любых аномалиях приложений на ранних этапах. Команда по обнаружению угроз управления приложениями регулярно изменяет базовые условия и регулярно добавляет новые предопределенные политики. Дополнительные сведения см. в разделе Предопределенные политики приложений.

  • Определяемые пользователем политики

    Помимо предопределенных политик, администраторы также могут использовать доступные условия для создания пользовательских политик или выбора из доступных рекомендуемых политик.

Чтобы просмотреть список текущих политик приложений, перейдите на страницу Microsoft Defender XDR > управление приложениями и выберите Политики. Здесь отображается список всех политик в системе управления приложениями.

Например:

Снимок экрана: страница сводки политик управления приложениями в Microsoft Defender XDR.

Примечание.

Встроенные политики обнаружения угроз не перечислены на вкладке Политики . Дополнительные сведения см. в статье Исследование оповещений об обнаружении угроз.

Что имеется на панели мониторинга политик приложений

На вкладкеПолитикиуправления> приложениями отображается количество активных, неактивных политик и политик режима аудита, а также следующие сведения для каждой политики:

  • Имя политики

  • Состояние

    • Активный: все действия и оценка политики активны.
    • Неактивные: все действия и оценка политики отключены.
    • Режим аудита: оценка политики находится в активном состоянии (запускаются оповещения), но действия политики отключены.

  • Серьезность: уровень серьезности, установленный для всех оповещений, инициированных по причине оценки этой политики как true, что является частью конфигурации политики.

  • Активные оповещения: количество оповещений, созданных политикой с состоянием Выполняется или Новое .

  • Всего оповещений: количество активных и разрешенных оповещений для этой политики.

  • Последнее оповещение: дата последнего созданного оповещения из-за этой политики.

  • Последнее изменение: дата последнего изменения политики.

  • Источник:

    • Предопределено: политики, созданные системой управления приложениями.
    • Определяемый пользователем: политики, созданные администратором клиента.

По умолчанию список политик сортируется по атрибуту Последнее изменение. Чтобы отсортировать список по другому атрибуту, выберите его имя.

При выборе политики вы получите подробную область политики со следующими дополнительными сведениями:

  • Название
  • Серьезность: на основе уровня серьезности, установленного при создании политики.
  • Описание: более подробное объяснение назначения политики.
  • Дата последнего изменения
  • Список всех и активных оповещений, созданных этой политикой.

Вы можете изменить, активировать, деактивировать или удалить политику приложений, выбрав Изменить, Удалить, Активировать или Деактивировать в области подробной политики или выбрав вертикальные многоточия политики в списке политик.

Кроме того, у вас есть следующие возможности.

  • Создание новой политики. Вы можете начать с политики использования приложений или политики разрешений.
  • Экспорт списка политик в файл данных с разделителями-запятыми (CSV). Например, можно открыть этот CVS-файл в Microsoft Excel и отсортировать политики по атрибуту Серьезность, а затем по атрибуту Общее количество оповещений.
  • Поиск в списке политик.

Изменение существующей определяемой пользователем политики

  1. На странице Управление приложениями перейдите на вкладку Политики и выберите политику, которую нужно изменить. Справа откроется панель с подробными сведениями о существующей политике.

  2. Нажмите Изменить.

    Хотя вы не можете изменить имя политики после создания, но вы можете изменить описание и серьезность политики при необходимости. Когда все будет готово, нажмите кнопку Далее.

  3. Выберите, следует ли продолжать использовать существующие параметры политики или настроить их. Выберите Нет, я настрою политику для внесения изменений, а затем нажмите кнопку Далее.

  4. Укажите, применяется ли эта политика ко всем приложениям, определенным приложениям или ко всем приложениям, кроме приложений, которые вы выбрали. Выберите Выбрать приложения, чтобы выбрать приложения, к которым следует применить политику, а затем нажмите кнопку Далее.

  5. Выберите, следует ли изменить существующие условия политики.

    • Если вы решили изменить условия, выберите Изменить или изменить существующие условия для политики и выберите, какие условия политики следует применить.
    • В противном случае выберите Использовать существующие условия политики.

    Когда все будет готово, нажмите кнопку Далее.

  6. Выберите, следует ли отключить приложение, если оно активирует условия политики, и нажмите кнопку Далее.

  7. При необходимости задайте для политики значение Режим аудита , Активно или Неактивно, а затем нажмите кнопку Далее.

  8. Проверьте выбранные параметры для политики и, если все в порядке, нажмите Отправить.

Следующее действие

Создание политики приложения