Начало работы с управлением приложениями в Defender for Cloud Apps
Решения по управлению приложениями требуют глубокого понимания поведения приложения в среде для выявления и устранения действий, которые попадают в допустимый уровень, требующий дополнительной проверки для оценки вредоносных намерений. При многоуровневом использовании Defender for Cloud Apps система управления приложениями обеспечивает глубокое управление рискованным поведением приложений в вашей среде.
В этой статье описывается, как приступить к работе с функциями управления приложениями в Microsoft Defender for Cloud Apps.
Предварительные условия
Если вы еще этого не сделали, зарегистрируйтесь для управления приложениями и выполните действия, чтобы добавить его в клиент. После регистрации для управления приложениями вам потребуется подождать до 10 часов, чтобы увидеть и использовать продукт.
Дополнительные сведения см. в статье Включение управления приложениями для Microsoft Defender for Cloud Apps.
Ваша учетная запись входа должна иметь поддерживаемую роль администратора управления приложениями для просмотра любых данных управления приложениями.
Чтобы использовать полную функциональность оповещений управления приложениями, необходимо подготовить Defender for Cloud Apps и Microsoft Defender XDR, по крайней мере один раз заполнив доступ к соответствующим порталам.
Шаг 1. Получение видимости и аналитических сведений
Начните с следующих действий, чтобы получить видимость и аналитические сведения о ваших приложениях:
Вход. В браузере перейдите на страницу управления приложениями Microsoft Defender XDR > Cloud Apps>.
Определение состояния соответствия требованиям. Используйте данные на вкладке Обзор управления приложениями>, чтобы оценить состояние соответствия приложений и инцидентов в клиенте. Просмотрите такие сведения, как количество избыточных приложений в клиенте, количество активных инцидентов, общее количество API Graph доступа к данным и многое другое.
Совет
Вы также можете просмотреть рекомендации, связанные с управлением приложениями, в разделе Оценка безопасности , чтобы помочь вам целостно управлять состоянием.
Просмотр приложений. Сортируйте данные на вкладках Управление приложениями по приложениям с высоким уровнем использования данных или количеством предоставленных согласия, фильтрация по приложениям с высоким уровнем привилегий, приложениям с неиспользуемыми разрешениями, непроверенным издателям и т. д.
Используйте эти параметры сортировки и фильтрации, чтобы получить более подробные сведения о приложениях OAuth, включая соответствующие метаданные приложения и данные об использовании.
Получение подробных сведений о приложении. На вкладках Управление приложениями выберите приложение в сетке, чтобы просмотреть страницу сведений о приложении. Изучите использование данных учетной записи с приоритетом для определенного приложения, отследите точно, к каким данным осуществляется доступ, какие разрешения используются, а какие разрешения не используются.
Дополнительные сведения см. в статье Начало работы с видимостью и аналитическими сведениями.
Шаг 2. Реализация политик приложений
Управление приложениями использует алгоритмы обнаружения на основе машинного обучения для обнаружения аномального поведения приложений в вашей среде, а затем создает оповещения, которые можно просматривать, исследовать и устранять.
Помимо этой встроенной возможности обнаружения, используйте набор шаблонов политик по умолчанию или создайте собственные политики приложений для создания других оповещений.
Политики для шаблонов и поведения пользователей и приложений могут защитить пользователей от использования несоответствующих или вредоносных приложений и ограничить доступ рискованных приложений к данным клиента.
Управление приложениями поддерживает следующие типы политик:
| Тип политики | Описание |
|---|---|
| Предопределенные политики | Управление приложениями оснащено набором предопределенных политик, адаптированных к вашей среде. Предопределенные политики позволяют начать мониторинг приложений еще до настройки политик. Используйте предопределенные политики, чтобы получать уведомления о любых аномалиях приложений на ранних этапах. |
| Определяемые пользователем политики | Помимо предопределенных политик, администраторы также могут использовать доступные условия для создания пользовательских политик или выбора из доступных рекомендуемых политик. |
Чтобы просмотреть список текущих политик управления приложениями, перейдите на вкладку Microsoft Defender XDR > Облачные приложения > Политики управления приложениями>.
Примечание.
Встроенные политики обнаружения угроз отсутствуют на странице Управления приложениями . Дополнительные сведения см. в статье Исследование оповещений об обнаружении угроз.
Чтобы реализовать политики приложений, выполните следующие действия:
Работа с предопределенными политиками. Управление приложениями содержит набор готовых политик для обнаружения аномального поведения приложения. Эти политики активируются по умолчанию, но при желании их можно отключить.
Создание политик приложений: Управление приложениями предлагает более 20 условий и шаблонов политик. Политики управления приложениями помогают:
Указывать условия, на основании которых система управления приложениями может оповещать вас о поведении приложений для автоматического или ручного исправления.
Реализовать политики приложений по соответствию требованиям для вашей организации.
Управление политиками приложений. Чтобы идти в ногу с последними приложениями, которые использует ваша организация, реагировать на новые атаки на основе приложений и постоянно изменять требования к соответствию приложений, может потребоваться управлять политиками приложений следующим образом:
Создание новых политик, нацеленных на новые приложения
Изменение состояния существующей политики (активная, неактивная, режим аудита)
Изменение условий существующей политики
Изменение действий существующей политики для автоматического создания оповещений
Дополнительные сведения см. в статье Сведения о политиках приложений.
Шаг 3. Обнаружение и устранение угроз приложений
Используйте управление приложениями для мониторинга оповещений об угрозах, создаваемых встроенными методами обнаружения управления приложениями для вредоносных действий приложений и оповещений на основе политик, создаваемых активными политиками приложений.
Эти оповещения могут указывать на аномалии в действиях приложений и при использовании несоответствующих, вредоносных или рискованных приложений. Вы также можете использовать шаблоны в оповещениях для создания новых политик приложений или изменения параметров существующих политик для более строгих действий.
Вы также можете исправлять оповещения вручную после исследования или автоматически с помощью параметров действий в активных политиках приложений.
Выполните одно из следующих действий, чтобы обнаружить и устранить угрозы.
Начало работы с обнаружением и исправлением угроз приложений: Управление приложениями собирает оповещения об угрозах, созданные встроенными методами обнаружения управления приложениями на основе машинного обучения. Оповещения об угрозах основаны на действиях вредоносных приложений и оповещениях на основе политик, созданных активными политиками приложений, которые вы создаете.
Мониторинг и реагирование на приложения с необычным использованием данных: Управление приложениями предоставляет сведения об использовании данных, которые помогут выявить нежелательные и потенциально вредоносные действия приложений.
Изучение оповещений об обнаружении аномалий: Управление приложениями обеспечивает обнаружение безопасности и оповещения о вредоносных действиях. Цель этого руководства — предоставить общие и практические сведения о каждом оповещении, чтобы помочь вам в задачах по исследованию и исправлению.
Устранение угроз приложений: Вы исправляете вредоносные действия приложений и приложений, выявленные оповещениями системы управления приложениями в Microsoft Defender XDR.
Дополнительные сведения см. в статье Сведения об обнаружении и исправлении угроз приложений.