Общие политики защиты от угроз Defender for Cloud Apps

Defender for Cloud Apps позволяет выявлять проблемы с высоким риском использования и облачной безопасности, обнаруживать аномальное поведение пользователей и предотвращать угрозы в санкционированных облачных приложениях. Получите представление о действиях пользователей и администраторов и определите политики для автоматического оповещения при обнаружении подозрительного поведения или определенных действий, которые считаются рискованными. Опирайтесь на огромный объем данных аналитики угроз и безопасности Майкрософт, чтобы убедиться, что в санкционированных приложениях есть все необходимые средства управления безопасностью, а также обеспечить контроль над ними.

Примечание.

При интеграции Defender for Cloud Apps с Microsoft Defender для удостоверений политики из Defender для удостоверений также отображаются на странице политик. Список политик Defender для удостоверений см. в разделе Оповещения системы безопасности.

Обнаружение действий пользователей из незнакомых расположений и управление ими

Автоматическое обнаружение доступа пользователей или действий из незнакомых расположений, которые никогда не посещали другие пользователи в вашей организации.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

Это обнаружение автоматически настраивается по умолчанию, чтобы оповещать вас о наличии доступа из новых расположений. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в разделе Политики обнаружения аномалий.

Обнаружение скомпрометированных учетных записей по невозможному расположению (невозможное перемещение)

Автоматическое обнаружение доступа пользователей или действий из двух разных расположений в течение периода времени, который меньше времени, необходимого для перемещения между ними.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. Это обнаружение автоматически настраивается по умолчанию, чтобы оповещать вас о наличии доступа из невозможных расположений. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в разделе Политики обнаружения аномалий.

2. Необязательно: можно настроить политики обнаружения аномалий.

   • Настройка область обнаружения с точки зрения пользователей и групп

   • Выбор типов входов для рассмотрения

   • Настройка параметров конфиденциальности для оповещений

3. Создайте политику обнаружения аномалий.

Обнаружение подозрительных действий от сотрудника в отпуске

Определите, когда пользователь, который находится в неоплачиваемом отпуске и не должен быть активным в любом ресурсе организации, обращается к любым облачным ресурсам вашей организации.

Предварительные условия

• Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

• Создайте группу безопасности в Microsoft Entra ID для пользователей в неоплачиваемом отпуске и добавьте всех пользователей, которые вы хотите отслеживать.

Действия

1. На экране Группы пользователей выберите Создать группу пользователей и импортируйте соответствующую Microsoft Entra группу.

2. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте политику действий.

3. Установите фильтр Группа пользователей, равная имени групп пользователей, созданных в Microsoft Entra ID для пользователей неоплачиваемого отпуска.

4. Необязательно. Задайте действия управления , которые будут выполняться с файлами при обнаружении нарушения. Доступные действия по управлению зависят от служб. Вы можете выбрать Приостановить пользователя.

5. Создайте политику файлов.

Обнаружение и уведомление об использовании устаревшей ОС браузера

Определите, когда пользователь использует браузер с устаревшей версией клиента, что может представлять угрозу для соответствия требованиям или безопасности для вашей организации.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте политику действий.

2. Задайте для тега агента пользователя фильтр значения Устаревший браузер и Устаревшая операционная система.

3. Задайте действия по управлению , которые будут выполняться с файлами при обнаружении нарушения. Доступные действия по управлению зависят от служб. В разделе Все приложения выберите Уведомить пользователя, чтобы пользователи могли реагировать на оповещение и обновить необходимые компоненты.

4. Создайте политику действий.

Обнаружение и оповещение при обнаружении Администратор активности на рискованных IP-адресах

Обнаруживайте действия администратора, выполняемые с и IP-адресом, который считается рискованным IP-адресом, и уведомляйте системного администратора для дальнейшего изучения или настройте действие управления для учетной записи администратора.

Предварительные условия

• Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

• В шестеренке Параметры выберите диапазоны IP-адресов и выберите + , чтобы добавить диапазоны IP-адресов для внутренних подсетей и их исходящих общедоступных IP-адресов. Задайте для параметра Категория значение Внутренняя.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте политику действий.

2. Установите для свойства Act on(Действие) значение Single activity (Одно действие).

3. Задайте ДЛЯ IP-адреса фильтра значение Категория равно рискованной

4. Задайте для действия администрирования фильтра значение True.

5. Задайте действия по управлению , которые будут выполняться с файлами при обнаружении нарушения. Доступные действия по управлению зависят от служб. В разделе Все приложения выберите Уведомить пользователя, чтобы пользователи могли действовать в соответствии с оповещением и обновить необходимые компоненты.

6. Создайте политику действий.

Обнаружение действий по учетной записи службы с внешних IP-адресов

Обнаружение действий учетной записи службы, исходящих из не внутренних IP-адресов. Это может указывать на подозрительное поведение или компрометацию учетной записи.

Предварительные условия

• Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

• В шестеренке Параметры выберите диапазоны IP-адресов и выберите + , чтобы добавить диапазоны IP-адресов для внутренних подсетей и их исходящих общедоступных IP-адресов. Задайте для параметра Категория значение Внутренняя.

• Стандартизируйте соглашения об именовании для учетных записей служб в вашей среде, например задайте для всех имен учетных записей имя, начинающееся с "svc".

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте политику действий.

2. Задайте для фильтра Имя пользователя, а затем — Начинается с и введите свое соглашение об именовании, например svc.

3. Присвойте IP-адресу фильтра значение Категория не равно Прочие и Корпоративные.

4. Задайте действия по управлению , которые будут выполняться с файлами при обнаружении нарушения. Доступные действия по управлению зависят от служб.

5. Создайте политику.

Обнаружение массового скачивания (утечка данных)

Обнаруживайте, когда определенный пользователь за короткий период времени обращается к большому количеству файлов или скачивает их.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте политику действий.

2. Присвойте ip-адресам фильтра значение Тег не равно Microsoft Azure. Это позволит исключить неинтерактивные действия на основе устройств.

3. Задайте фильтр Тип действия равным, а затем выберите все соответствующие действия загрузки.

4. Задайте действия по управлению , которые будут выполняться с файлами при обнаружении нарушения. Доступные действия по управлению зависят от служб.

5. Создайте политику.

Обнаружение потенциальной активности программ-шантажистов

Автоматическое обнаружение потенциальных действий программ-шантажистов.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. Это обнаружение автоматически настраивается по умолчанию, чтобы оповещать вас при обнаружении потенциального риска программ-шантажистов. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в разделе Политики обнаружения аномалий.

2. Можно настроить область обнаружения и действия системы управления, которые будут выполняться при срабатывании оповещения. Дополнительные сведения о том, как Defender for Cloud Apps идентифицирует программы-шантажисты, см. в статье Защита организации от программ-шантажистов.

Примечание.

Это относится к Microsoft 365, Google Workspace, Box и Dropbox.

Обнаружение вредоносных программ в облаке

Обнаруживайте файлы, содержащие вредоносные программы, в облачных средах, используя интеграцию Defender for Cloud Apps с подсистемой аналитики угроз Майкрософт.

Предварительные условия

• Для обнаружения вредоносных программ Microsoft 365 необходимо иметь действительную лицензию на Microsoft Defender для Microsoft 365 P1.
• Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

• Это обнаружение автоматически настраивается по умолчанию, чтобы оповещать вас о наличии файла, который может содержать вредоносные программы. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в разделе Политики обнаружения аномалий.

Обнаружение несанкционированного поглощения администратора

Обнаружение повторяющихся действий администратора, которые могут указывать на вредоносные намерения.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Создайте политику действий.

2. Установите для параметра Действие значение Повторяющиеся действия , настройте минимальное повторяющееся действие и задайте период времени в соответствии с политикой вашей организации.

3. Установите фильтр Пользовательзначение Из группы равно и выберите для всех связанных групп администраторов значение Только субъект.

4. Задать тип фильтра Действие равно всем действиям, связанным с обновлением паролей, изменениями и сбросами.

5. Задайте действия по управлению , которые будут выполняться с файлами при обнаружении нарушения. Доступные действия по управлению зависят от служб.

6. Создайте политику.

Обнаружение подозрительных правил обработки папки "Входящие"

Если в папке "Входящие" пользователя установлено подозрительное правило папки "Входящие", это может указывать на то, что учетная запись пользователя скомпрометирована и что почтовый ящик используется для распространения спама и вредоносных программ в вашей организации.

Предварительные условия

• Использование Microsoft Exchange для электронной почты.

Действия

• Это обнаружение автоматически настраивается по умолчанию, чтобы оповещать вас о подозрительном наборе правил для папки "Входящие". Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в разделе Политики обнаружения аномалий.

Обнаружение утечки учетных данных

Когда киберпреступники компрометируют действительные пароли законных пользователей, они часто используют эти учетные данные. Обычно это делается путем публикации их публично в темной сети или вставки сайтов или путем торговли или продажи учетных данных на черном рынке.

Defender for Cloud Apps использует аналитику угроз Майкрософт для сопоставления таких учетных данных с учетными данными, используемыми в вашей организации.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

Это обнаружение автоматически настраивается по умолчанию, чтобы оповещать вас при обнаружении возможной утечки учетных данных. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в разделе Политики обнаружения аномалий.

Обнаружение аномальных скачивание файлов

Определите, когда пользователи выполняют несколько действий по загрузке файлов в одном сеансе относительно изученного базового плана. Это может указывать на попытку нарушения.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. Это обнаружение автоматически настраивается в автоматическом режиме, чтобы оповещать вас о аномальном скачивании. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в разделе Политики обнаружения аномалий.

2. Можно настроить область обнаружения и настроить действие, выполняемое при срабатывании оповещения.

Обнаружение пользователем аномальных общих папок

Обнаруживайте, когда пользователи выполняют несколько действий совместного использования файлов в одном сеансе с учетом изученных базовых показателей, что может указывать на попытку нарушения.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. Это обнаружение автоматически настраивается по умолчанию, чтобы оповещать пользователей, когда пользователи выполняют несколько общих файлов. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в разделе Политики обнаружения аномалий.

2. Можно настроить область обнаружения и настроить действие, выполняемое при срабатывании оповещения.

Обнаружение аномальных действий из редкой страны или региона

Обнаруживайте действия из расположения, которое не было недавно или никогда не посещалось пользователем или каким-либо пользователем в вашей организации.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. Это обнаружение автоматически настраивается по умолчанию, чтобы оповещать вас о аномальном действии из редкой страны или региона. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в разделе Политики обнаружения аномалий.

2. Можно настроить область обнаружения и настроить действие, выполняемое при срабатывании оповещения.

Примечание.

Обнаружение аномальных расположений требует начального периода обучения в 7 дней. В течение периода обучения Defender for Cloud Apps не создает оповещения для новых расположений.

Обнаружение действий, выполняемых прерванным пользователем

Определите, когда пользователь, который больше не является сотрудником вашей организации, выполняет действия в санкционированном приложении. Это может указывать на злонамеренные действия сотрудника, у которого по-прежнему есть доступ к корпоративным ресурсам.

Предварительные условия

Необходимо иметь хотя бы одно приложение, подключенное с помощью соединителей приложений.

Действия

1. Это обнаружение автоматически настраивается по умолчанию, чтобы оповещать вас о том, что действие выполняется уволенным сотрудником. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в разделе Политики обнаружения аномалий.

2. Можно настроить область обнаружения и настроить действие, выполняемое при срабатывании оповещения.

Дальнейшие действия

Рекомендации по защите организации

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.