Läs den här artikeln för att snabbt få svar på dina frågor om appstyrning. Om du inte hittar svar eller bara vill veta mer kan du gå med i de kostnadsfria webbseminariets sessioner med appstyrningsteamet.
Vad är appstyrning?
Appstyrning är en funktion i Microsoft Defender for Cloud Apps. Den ger utökad synlighet och kontroll över appar som har åtkomst till dina Microsoft 365-data. Mer information finns i Appstyrning i Microsoft Defender for Cloud Apps.
Vilka typer av appar skyddar appstyrningen?
Appstyrning spårar appar som inte kommer från Microsoft och som använder OAuth för att autentisera till Microsoft Entra ID, samt Google och Salesforce. För appar som autentiserar till Microsoft Entra ID identifierar och exkluderar appstyrning Microsoft-appar vars hemklientorganisation är den "förstapartsapp" som ägs av Microsoft (klientorganisations-ID: f8cdef31-a31e-4b4a-93e4-5f571e91255a).
Dessa appar representerar moderna appar som kan komma åt olika resurser, inklusive Microsoft 365-data i postlådor, OneDrive-mappar, SharePoint-webbplatser och Teams. Slutanvändarna introducerar regelbundet dessa appar och kan ge dem medgivande till åtkomst till data.
Även om Defender for Cloud Apps även spårar appar som använder OAuth för att komma åt Microsoft 365, ger appstyrning extra färdiga identifieringar och mycket anpassningsbara principer som spårar olika appattribut och beteenden.
Hur får jag appstyrning?
Appstyrning är en funktion i Defender for Cloud Apps. Om du vill använda appstyrning måste Defender for Cloud Apps finnas i ditt konto antingen som en fristående produkt eller som en del av ett licenspaket. Om du har rätt administratörsroll och uppfyller alla krav kan du gå till sidan Microsoft Defender XDR inställningar och aktivera appstyrning.
Vad kan appstyrning identifiera?
Appstyrning genererar två typer av aviseringar:
- Hotidentifieringsaviseringar baseras på Microsofts hotinformation och är utformade för att identifiera appar som är skadliga. Dessa färdiga identifieringar använder maskininlärning och avvikelseidentifiering för att hitta program som sannolikt är inblandade i en attack. Visa aviseringstyper för hotidentifiering
-
Principaviseringar spårar olika appattribut och beteenden – certifiering, dataanvändning, API-åtkomstfel, oanvända behörigheter – som kan tyda på missbruk och risk. Själva principerna är antingen anpassningsbara (användardefinierade) eller fördefinierade:
- Användardefinierade principer kan använda ett eller flera villkor för att identifiera riskfyllda appar. Du kan ange anpassade tröskelvärden för att avgöra när dessa principer utlöses.
- Fördefinierade principer spårar samma appattribut och beteenden, men tittar på andra signaler och justerar tröskelvärden dynamiskt.
Vilka typer av åtgärder kan appstyrning vidta för molnappar som utlöser en princip?
Appstyrning kan inaktivera appar som matchar antingen användardefinierade eller fördefinierade principer. Inaktiverade appar kan inte autentiseras för att Microsoft Entra ID och komma åt resurser förrän de aktiveras manuellt. Läs mer om principer för appstyrning
Kan jag anpassa mina principer?
Du kan skapa principer genom att kombinera villkor som spårar olika appattribut och beteenden. När dessa villkor uppfylls utlöser principer aviseringar och vidtar den åtgärd som du har angett. Appstyrning tillhandahåller också fördefinierade principer som du aktiverar eller inaktiverar. Du kan också ange åtgärden för fördefinierade principer. Läs mer om principer för appstyrning
Är appstyrning integrerat med Microsoft Defender XDR?
Appstyrningsaviseringar och relaterade incidenter är tillgängliga i Microsoft Defender XDR-kön. Microsoft Defender XDR korrelerar aviseringarna med signaler från andra lösningar, till exempel Defender för Endpoint, för att associera relaterade attackaktiviteter och identifiera säkerhetsincidenter. Appstyrningsaviseringar och incidenter är också integrerade med Microsoft Sentinel.
Vilka roller behöver jag för att aktivera appstyrning
En lista över roller som stöds finns i Kom igång med appstyrning.
Vilka roller måste jag ha för att använda appstyrning?
En lista över roller som stöds finns i Kom igång med appstyrning.
Är appstyrning tillgängligt i alla regioner?
Appstyrning är för närvarande inte tillgängligt i Brasilien, Sydkorea, Schweiz, Norge, Sydafrika och Förenade Arabemiraten. Om du vill använda appstyrning måste din faktureringsplats finnas i ett annat land/en annan region.
Varför är appstyrningen tom eller visar felaktiga data?
Det kan ta upp till 10 timmar att förbereda appstyrningen och hämta data när du har initierat den. Under den här perioden kan dataåtkomststatistik och appantal vara felaktiga.
Hur integreras appstyrning med Microsoft Sentinel?
Appstyrning är integrerat med Microsoft Defender XDR för en enhetlig aviseringsupplevelse. Microsoft Defender XDR-anslutningsappen för Microsoft Sentinel (förhandsversion) skickar all information om Microsoft Defender XDR incidenter och aviseringar för att Microsoft Sentinel och håller incidenterna synkroniserade.
Med Microsoft Defender XDR-anslutningsappen kan du automatiskt identifiera, sortera, undersöka och åtgärda appstyrningsincidenter och aviseringar på Microsoft Sentinel. Mer information finns i Microsoft Defender XDR integrering med Microsoft Sentinel och Anslut data från Microsoft Defender XDR till Microsoft Sentinel
Var kan jag få mer information om appstyrning?
Mer information om appstyrning finns i följande resurser:
- Skydda din verksamhet med Microsoft Securitys omfattande skydd
- Vi presenterar Microsoft Defender for Cloud Apps
- Så här förhindrar du app-cyberattacker – Cloud & Hybrid
- Twitter: Microsoft is tracking a recent consent phishing campaign, reported by @ffforward, that abuses OAuth.
- Microsoft övergår till en omfattande SaaS-säkerhetslösning – Microsofts säkerhetsblogg
- Förbättra din appstatus och hygien med hjälp av Microsoft Defender for Cloud Apps
- Appstyrning är en viktig del av kundernas resa utan förtroende