Часто задаваемые вопросы об управлении приложениями

Управление приложениями — это функция в Microsoft Defender for Cloud Apps. Он обеспечивает расширенную видимость и контроль над приложениями, которые получают доступ к данным Microsoft 365. Дополнительные сведения см. в разделе Управление приложениями в Microsoft Defender for Cloud Apps.

Управление приложениями отслеживает приложения сторонних разработчиков, которые используют OAuth для проверки подлинности Microsoft Entra ID, а также Google и Salesforce. Для приложений, которые проходят проверку подлинности в Microsoft Entra ID, система управления приложениями определяет и исключает приложения Майкрософт, домашним клиентом которых является клиент "первого приложения", принадлежащий корпорации Майкрософт (идентификатор клиента: f8cdef31-a31e-4b4a-93e4-5f571e91255a).

Эти приложения представляют собой современные приложения, которые могут получать доступ к различным ресурсам, включая данные Microsoft 365 в почтовых ящиках, папках OneDrive, сайтах SharePoint и Teams. Пользователи регулярно внедряют эти приложения и могут дать им согласие на доступ к данным.

Хотя Defender for Cloud Apps также отслеживает приложения, использующие OAuth для доступа к Microsoft 365, управление приложениями предоставляет дополнительные встроенные обнаружения и настраиваемые политики, которые отслеживают различные атрибуты и поведение приложения.

Управление приложениями — это функция в Defender for Cloud Apps. Чтобы использовать систему управления приложениями, Defender for Cloud Apps должны присутствовать в вашей учетной записи как отдельный продукт или как часть лицензионного пакета. Если у вас есть соответствующая роль администратора и вы соответствуете всем предварительным требованиям, вы можете перейти на страницу Microsoft Defender XDR параметров и включить управление приложениями.

Управление приложениями создает два типа оповещений:

• Оповещения об обнаружении угроз основаны на аналитике угроз Майкрософт и предназначены для выявления вредоносных приложений. Эти готовые обнаружения используют машинное обучение и обнаружение аномалий для поиска приложений, которые, вероятно, участвуют в атаке. Просмотр типов оповещений об обнаружении угроз
• Оповещения политики отслеживают различные атрибуты и поведение приложения (сертификация, использование данных, ошибки доступа к API, неиспользуемые разрешения), которые могут указывать на неправильное использование и риск. Сами политики могут быть настраиваемыми (определяемыми пользователем) или предопределенными:
  • Определяемые пользователем политики могут использовать одно или несколько условий для выявления приложений, рискованных. Можно задать настраиваемые пороговые значения, чтобы определить, когда активируются эти политики.
  • Предопределенные политики отслеживают те же атрибуты и поведение приложения, но просматривают другие сигналы и динамически корректируют пороговые значения.

Управление приложениями может отключить приложения, соответствующие пользовательским или предопределенным политикам. Отключенные приложения не смогут пройти проверку подлинности для Microsoft Entra ID и доступа к ресурсам, пока они не будут активированы вручную. Сведения о политиках управления приложениями

Политики можно создавать, объединяя условия, которые отслеживают различные атрибуты и поведение приложения. При выполнении этих условий политики активируют оповещения и выполняют указанное действие. Управление приложениями также предоставляет стандартные политики, которые вы включаете или отключаете. Можно также задать действие для предопределенных политик. Сведения о политиках управления приложениями

Оповещения системы управления приложениями и связанные инциденты доступны в очереди Microsoft Defender XDR. Microsoft Defender XDR сопоставляет оповещения с сигналами из других решений, таких как Defender для конечной точки, для связывания связанных действий атак и выявления инцидентов безопасности. Оповещения и инциденты системы управления приложениями также интегрированы с Microsoft Sentinel.

Список поддерживаемых ролей см. в статье Начало работы с управлением приложениями.

Список поддерживаемых ролей см. в статье Начало работы с управлением приложениями.

Управление приложениями в настоящее время недоступно в Бразилии, Южной Корее, Швейцарии, Норвегии, Южной Африке и ОАЭ. Чтобы использовать систему управления приложениями, расположение выставления счетов должно находиться в другой стране или регионе.

Полная подготовка управления приложениями и получение данных после его первого запуска может занять до 10 часов. В течение этого периода статистика доступа к данным и количество приложений могут быть неточными.

Управление приложениями интегрировано с Microsoft Defender XDR для унифицированных оповещений. Соединитель Microsoft Defender XDR для Microsoft Sentinel (предварительная версия) отправляет все сведения об инцидентах и оповещениях Microsoft Defender XDR в Microsoft Sentinel и синхронизирует инциденты.

Соединитель Microsoft Defender XDR позволяет автоматически обнаруживать, рассматривать, исследовать и исправлять инциденты управления приложениями и оповещения на Microsoft Sentinel. Дополнительные сведения см. в разделах интеграция Microsoft Defender XDR с Microsoft Sentinel и Подключение данных из Microsoft Defender XDR к Microsoft Sentinel

Дополнительные сведения об управлении приложениями см. в следующих ресурсах:

• Защита бизнеса с помощью комплексной защиты Microsoft Security
• Объявление о Microsoft Defender for Cloud Apps
• Как предотвратить кибератаки приложений — облачные & гибридное развертывание
• Twitter: Microsoft is tracking a recent consent phishing campaign, reported by @ffforward, that abuses OAuth.
• Корпорация Майкрософт переходит на комплексное решение для обеспечения безопасности SaaS — блог Майкрософт по безопасности
• Улучшение состояния и гигиены приложения с помощью Microsoft Defender for Cloud Apps
• Управление приложениями является ключевой частью пути "никому не доверяй" клиентов