Поделиться через

Изучение рисков и подозрительных действий в облачных приложениях

  • Статья

После выполнения Microsoft Defender for Cloud Apps в облачной среде вам потребуется этап обучения и изучения. Узнайте, как использовать средства Microsoft Defender for Cloud Apps, чтобы получить более глубокое представление о том, что происходит в облачной среде. В зависимости от конкретной среды и того, как она используется, можно определить требования для защиты организации от рисков. В этой статье описывается, как провести исследование, чтобы лучше понять облачную среду.

Пометка приложений как санкционированных или несанкционированных

Важный шаг к пониманию облака — пометить приложения как санкционированные или несанкционированные. После санкционирования приложения можно фильтровать приложения, которые не санкционированы, и начать миграцию в санкционированные приложения того же типа.

  • На портале Microsoft Defender в разделе Облачные приложения перейдите в каталог облачных приложений или Обнаружение облачных приложений — >обнаруженные приложения.

  • В списке приложений в строке, в которой отображается приложение, которое вы хотите пометить как санкционированное, выберите три точки в конце строки Тег в качестве санкционированных точек. и выберите Санкционировано.

    Тег как санкционированный.

Использование средств исследования

  1. На портале Microsoft Defender в разделе Облачные приложения перейдите в журнал действий и отфильтруйте по определенному приложению. Проверьте следующие элементы:

    • Кто обращается к вашей облачной среде?

    • Из каких диапазонов IP-адресов?

    • Что такое действия администратора?

    • Из каких расположений подключаются администраторы?

    • Какие-либо устаревшие устройства подключаются к облачной среде?

    • Приходят ли неудачные имена входа с ожидаемых IP-адресов?

  2. На портале Microsoft Defender в разделе Облачные приложения перейдите в раздел Файлы и проверка следующие элементы:

    • Сколько файлов доступно для общего доступа, чтобы любой пользователь мог получить к ним доступ без ссылки?

    • С какими партнерами вы предоставляете общий доступ к файлам (исходящий общий доступ)?

    • Имеют ли какие-либо файлы конфиденциальные имена?

    • Предоставляется ли доступ к каким-либо файлам кому-либо личная учетная запись?

  3. На портале Microsoft Defender перейдите в раздел Удостоверения и проверка следующие элементы:

    • Были ли какие-либо учетные записи неактивными в определенной службе в течение длительного времени? Может быть, вы можете отозвать лицензию для этого пользователя на эту службу.

    • Хотите узнать, у каких пользователей есть определенная роль?

    • Был ли кто-то уволен, но у них по-прежнему есть доступ к приложению и он может использовать этот доступ для кражи информации?

    • Вы хотите отозвать разрешение пользователя на доступ к определенному приложению или потребовать, чтобы конкретный пользователь использовал многофакторную проверку подлинности?

    • Вы можете детализировать учетную запись пользователя, выбрав три точки в конце строки учетной записи пользователя и выбрав действие для выполнения. Выполните действие, например Приостановить пользователя или Удалить совместную работу пользователя. Если пользователь был импортирован из Microsoft Entra ID, можно также выбрать параметры учетной записи Microsoft Entra, чтобы получить простой доступ к расширенным функциям управления пользователями. Примеры функций управления включают управление группами, MFA, сведения о входе пользователя и возможность блокировать вход.

  4. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений, а затем выберите приложение. Откроется панель мониторинга приложения, на которую можно получить сведения и аналитические сведения. Для проверка можно использовать вкладки в верхней части:

    • Какие устройства используют пользователи для подключения к приложению?

    • Какие типы файлов сохраняются в облаке?

    • Какие действия происходят в приложении прямо сейчас?

    • Подключены ли к вашей среде сторонние приложения?

    • Знакомы ли вы с этими приложениями?

    • Авторизованы ли они на уровень доступа, который им разрешен?

    • Сколько пользователей их развернуло? Насколько распространены эти приложения в целом?

    Панель мониторинга приложения.

  5. На портале Microsoft Defender в разделе Облачные приложения перейдите в раздел Cloud Discovery. Перейдите на вкладку Панель мониторинга и проверка следующие элементы:

    • Какие облачные приложения используются, в какой степени и какими пользователями?

    • Для каких целей они используются?

    • Сколько данных отправляется в эти облачные приложения?

    • В каких категориях у вас есть санкционированные облачные приложения, и все же пользователи используют альтернативные решения?

    • Для альтернативных решений вы хотите отменить какие-либо облачные приложения в вашей организации?

    • Существуют ли облачные приложения, которые используются, но не соответствуют политике вашей организации?

Пример исследования

Предположим, что у вас нет доступа к облачной среде по рискованным IP-адресам. В качестве примера, скажем, Tor. Но вы создаете политику для IP-адресов риска только для того, чтобы убедиться в том, что:

  1. На портале Microsoft Defender в разделе Облачные приложения перейдите в раздел Политики ->Шаблоны политик.

  2. Выберите политику Действия для параметра Тип.

  3. В конце строки Вход из опасного IP-адреса выберите знак "плюс" (+), чтобы создать новую политику.

  4. Измените имя политики, чтобы его можно было идентифицировать.

  5. В разделе Действия, соответствующие всем приведенным ниже, выберите + , чтобы добавить фильтр. Прокрутите вниз до IP-тега и выберите Tor.

    Пример политики для рискованных IP-адресов.

Теперь, когда у вас есть политика, вы увидите, что у вас есть оповещение о нарушении политики.

  1. На портале Microsoft Defender перейдите в раздел Инциденты & оповещения -> Оповещения и просмотрите оповещение о нарушении политики.

  2. Если вы видите, что это выглядит как реальное нарушение, вы хотите сдержать риск или устранить его.

    Чтобы сдержать риск, можно отправить пользователю уведомление, чтобы спросить, было ли нарушение преднамеренным и было ли о нем известно пользователю.

    Вы также можете детализировать оповещение и приостановить пользователя, пока не сможете выяснить, что необходимо сделать.

  3. Если это допустимое событие, которое вряд ли повторится, вы можете закрыть оповещение.

    Если это разрешено, и вы ожидаете, что оно повторится, вы можете изменить политику, чтобы этот тип события не считался нарушением в будущем.

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.