Политики обнаружения в облаке

В этой статье содержится обзор того, как приступить к работе с Defender for Cloud Apps, чтобы получить представление о теневых ИТ-отделах организации с помощью облачного обнаружения.

Defender for Cloud Apps позволяет обнаруживать и анализировать облачные приложения, используемые в среде вашей организации. На панели мониторинга обнаружения облака отображаются все облачные приложения, работающие в среде, и их классификация по функциям и готовности предприятия. Для каждого приложения обнаруживает связанных пользователей, IP-адреса, устройства, транзакции и проводит оценку рисков без необходимости устанавливать агент на устройствах конечных точек.

Обнаружение новых больших объемов или широкого использования приложений

Обнаруживайте новые приложения, которые часто используются с точки зрения количества пользователей или объема трафика в вашей организации.

Предварительные условия

Настройка автоматической отправки журналов для отчетов непрерывного обнаружения в облаке, как описано в разделе Настройка автоматической отправки журналов для непрерывных отчетов или включение интеграции Defender for Cloud Apps с Defender для конечной точки, как описано в разделе Интеграция Microsoft Defender для конечной точки с Defender for Cloud Apps.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте новую политику обнаружения приложений.

2. В поле Шаблон политики выберите Создать приложение с большим объемом или Новое популярное приложение и примените шаблон.

3. Настройте фильтры политик в соответствии с требованиями организации.

4. Настройте действия, которые будут выполняться при активации оповещения.

Примечание.

Оповещение создается один раз для каждого нового приложения, которое не было обнаружено за последние 90 дней.

Обнаружение нового рискованного или несоответствующего использования приложений

Обнаружение потенциальной уязвимости вашей организации в облачных приложениях, которые не соответствуют вашим стандартам безопасности.

Предварительные условия

Настройка автоматической отправки журналов для отчетов непрерывного обнаружения в облаке, как описано в разделе Настройка автоматической отправки журналов для непрерывных отчетов или включение интеграции Defender for Cloud Apps с Defender для конечной точки, как описано в разделе Интеграция Microsoft Defender для конечной точки с Defender for Cloud Apps.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте новую политику обнаружения приложений.

2. В поле Шаблон политики выберите шаблон Новое опасное приложение и примените шаблон.

3. В разделе Приложение, соответствующее всем приведенным ниже , установите ползунок Оценка риска и фактор риска соответствия, чтобы настроить уровень риска, который вы хотите активировать оповещение, и задайте другие фильтры политики в соответствии с требованиями безопасности вашей организации.

   1. Необязательно. Чтобы получить более осмысленные обнаружения, настройте объем трафика, который активирует оповещение.

   2. Установите флажок Активировать совпадение политики, если все указанные ниже действия выполняются в один день .

   3. Выберите Ежедневный трафик больше 2000 ГБ (или другой).

4. Настройте действия системы управления, которые будут выполняться при срабатывании оповещения. В разделе Управление выберите Пометить приложение как несанкционированное.
   При сопоставлении политики доступ к приложению будет автоматически заблокирован.

5. Необязательно: используйте Defender for Cloud Apps собственные интеграции с защищенными веб-шлюзами, чтобы заблокировать доступ к приложениям.

Обнаружение использования несанкционированных бизнес-приложений

Вы можете определить, когда ваши сотрудники продолжают использовать несанкционированные приложения в качестве замены утвержденным приложениям, готовым для бизнеса.

Предварительные условия

• Настройка автоматической отправки журналов для отчетов непрерывного обнаружения в облаке, как описано в разделе Настройка автоматической отправки журналов для непрерывных отчетов или включение интеграции Defender for Cloud Apps с Defender для конечной точки, как описано в разделе Интеграция Microsoft Defender для конечной точки с Defender for Cloud Apps.

Действия

1. В каталоге облачных приложений найдите приложения, готовые для бизнеса, и пометьте их настраиваемым тегом приложения.

2. Выполните действия, описанные в разделе Обнаружение нового большого объема или широкого использования приложений.

3. Добавьте фильтр тегов приложения и выберите теги приложений, созданные для приложений, готовых для бизнеса.

4. Настройте действия системы управления, которые будут выполняться при срабатывании оповещения. В разделе Управление выберите Пометить приложение как несанкционированное.
   При сопоставлении политики доступ к приложению будет автоматически заблокирован.

5. Необязательно: используйте Defender for Cloud Apps собственные интеграции с защищенными веб-шлюзами, чтобы заблокировать доступ к приложениям.

Обнаружение необычных шаблонов использования в сети

Обнаруживайте аномальные шаблоны использования трафика (отправки и загрузки) в облачных приложениях, которые исходят от пользователей или IP-адресов в сети организации.

Предварительные условия

Настройка автоматической отправки журналов для отчетов непрерывного обнаружения в облаке, как описано в разделе Настройка автоматической отправки журналов для непрерывных отчетов или включение интеграции Defender for Cloud Apps с Defender для конечной точки, как описано в разделе Интеграция Microsoft Defender для конечной точки с Defender for Cloud Apps.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте новую политику обнаружения аномалий Cloud Discovery.

2. В поле Шаблон политики выберите Аномальное поведение у обнаруженных пользователей или Аномальное поведение в обнаруженных IP-адресах.

3. Настройте фильтры в соответствии с требованиями вашей организации.

4. Если вы хотите получать оповещения только при наличии аномалий, связанных с опасными приложениями, используйте фильтры оценки риска и задайте диапазон, в котором приложения считаются рискованными.

5. Используйте ползунок, чтобы выбрать чувствительность обнаружения аномалий.

Примечание.

После установки непрерывной отправки журнала подсистема обнаружения аномалий занимает несколько дней, пока не будет установлен базовый показатель (период обучения) для ожидаемого поведения в организации. После установки базового плана вы начнете получать оповещения на основе несоответствий ожидаемого поведения трафика в облачных приложениях, созданных пользователями, или с IP-адресов.

Обнаружение аномального поведения обнаружения в облаке в приложениях хранения, которые не санкционированы

Обнаружение аномального поведения пользователя в приложении облачного хранилища, которое не санкционировано.

Предварительные условия

Настройка автоматической отправки журналов для отчетов непрерывного обнаружения в облаке, как описано в разделе Настройка автоматической отправки журналов для непрерывных отчетов или включение интеграции Defender for Cloud Apps с Defender для конечной точки, как описано в разделе Интеграция Microsoft Defender для конечной точки с Defender for Cloud Apps.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте новую политику обнаружения аномалий Cloud Discovery.

2. Выберите фильтр Категория "Приложение " соответствует облачному хранилищу.

3. Выберите фильтр Тег приложения не равен Санкционировано.

4. Установите флажок Создать оповещение для каждого соответствующего события с уровнем серьезности политики.

5. Настройте действия, выполняемые при активации оповещения.

Обнаружение рискованных приложений OAuth

Получите видимость и контроль над приложениями OAuth , установленными внутри таких приложений, как Google Workspace, Microsoft 365 и Salesforce. Приложения OAuth, которые запрашивают высокие разрешения и редко используются сообществом, могут считаться рискованными.

Предварительные условия

Приложение Google Workspace, Microsoft 365 или Salesforce должно быть подключено с помощью соединителей приложений.

Действия

1. 1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте политику приложений OAuth.

2. Выберите фильтр Приложение и задайте приложение, которое должна охватывать политика: Google Workspace, Microsoft 365 или Salesforce.

3. Выберите Фильтр уровня разрешений равен высокому (доступен для Google Workspace и Microsoft 365).

4. Добавьте фильтр Использование Сообщества равно Редкое.

5. Настройте действия, выполняемые при активации оповещения. Например, для Microsoft 365 проверка отозвать приложение для приложений OAuth, обнаруженных политикой.

Примечание.

Поддерживается для Google Workspace, Microsoft 365 и магазинов приложений Salesforce.

Дальнейшие действия

Рекомендации по защите организации

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.