Поделиться через

Ежемесячное руководство по эксплуатации — Microsoft Defender for Cloud Apps

  • Статья

В этой статье перечислены ежемесячные операционные действия, которые рекомендуется выполнять с помощью Microsoft Defender for Cloud Apps.

Ежемесячные действия можно выполнять чаще или по мере необходимости в зависимости от среды и потребностей.

Проверка оценок политик

Где: на портале Microsoft Defender XDR выберите Управление политиками > облачных приложений>.

Persona: администраторы безопасности и соответствия требованиям

Просмотрите политики и внесите необходимые обновления, чтобы убедиться, что они по-прежнему подходят для вашей организации.

  • Проверьте наличие ложноположительных и доброкачественных истинноположительных показателей и настройте политики, если ставки слишком высоки. Например, убедитесь, что в параметрах Defender for Cloud Apps правильно настроен любой новый корпоративный IP-адрес, чтобы избежать ложных срабатываний в пути.

  • Изучите бизнес-потребности и оцените требования к пользовательским политикам. Например, по-прежнему ли актуальна угроза, обнаруженная каждой политикой? Или существует новое встроенное решение для обнаружения этой угрозы?

  • Очистка старых оповещений. Например:

    1. Просмотр оповещений за последние шесть месяцев. Отфильтруйте оповещения, помеченные как Разрешенные, и группируете аналогичные оповещения, чтобы упростить просмотр.
    2. Проверьте, почему каждое отображаемое оповещение не устранено.
    3. Если оповещения являются неопасными, закройте их и измените политики по мере необходимости.

Дополнительные сведения см. в разделе Управление облачными приложениями с помощью политик.

Просмотр журналов действий

Где: на портале Microsoft Defender XDR в разделе Облачные приложения выберите Журнал действий.

Persona: администраторы безопасности и соответствия требованиям

Вы часто просматриваете журналы действий в связи с оповещениями и в рамках исследования угроз. Рекомендуется ежемесячно возвращаться к журналу действий, чтобы проверка для повторяющихся действий одной сущности, таких как несколько поисковых запросов или вход одного пользователя.

  1. Сводные результаты по типам действий, например неудачные входы, удаление или назначение привилегий.
  2. Сузьте действие до приложения или пользователя.
  3. Используйте результаты, чтобы создать новую политику, чтобы более тщательно отслеживать и реагировать на потенциальные угрозы.

Дополнительные сведения см. в разделе Запросы действий.

Связанные материалы

руководство по эксплуатации Microsoft Defender for Cloud Apps