Dela via


Kom igång med appstyrning i Defender for Cloud Apps

Appstyrningslösningar kräver en djup förståelse för appbeteendet i en miljö för att identifiera och hantera aktiviteter som ligger inom en toleransnivå som kräver mer granskning för att utvärdera skadliga avsikter. När appstyrningen är skiktad över Defender for Cloud Apps ger den dig djupgående styrning mot riskfyllda appbeteenden i din miljö.

Den här artikeln beskriver hur du kommer igång med appstyrningsfunktioner i Microsoft Defender for Cloud Apps.

Förhandskrav

  • Om du inte redan har gjort det registrerar du dig för appstyrning och slutför stegen för att lägga till den i din klientorganisation. När du har registrerat dig för appstyrning måste du vänta i upp till 10 timmar för att se och använda produkten.

    Mer information finns i Aktivera appstyrning för Microsoft Defender for Cloud Apps.

  • Ditt inloggningskonto måste ha en administratörsroll för appstyrning som stöds för att kunna visa appstyrningsdata.

  • Om du vill använda fullständiga funktioner för appstyrningsaviseringar måste du ha etablerat både Defender for Cloud Apps och Microsoft Defender XDR genom att komma åt respektive portaler minst en gång.

Steg 1: Få synlighet och insikter

Börja med att använda följande steg för att få insyn och insikter om dina appar:

  1. Logga in: I webbläsaren går du till sidan Microsoft Defender XDR >Cloud Apps-appstyrning>.

  2. Fastställa efterlevnadsstatus: Använd data på fliken Översikt över appstyrning > för att utvärdera efterlevnadsstatusen för dina appar och incidenter i din klientorganisation. Visa information som hur många överprivilegierade appar som finns i din klientorganisation, antalet aktiva incidenter, det totala Graph API dataåtkomst med mera.

    Tips

    Du kan också visa appstyrningsrelaterade rekommendationer i Secure Score som hjälper dig att hantera din hållning holistiskt.

  3. Visa dina appar: Sortera data på appstyrningsflikarna efter appar med hög dataanvändning eller antal medgivanden som ges, eller filtrera efter högprivilegierade appar, appar med oanvänd behörighet eller overifierad utgivare med mera.

    Använd dessa sorterings- och filtreringsalternativ för att få djupare insikter om dina OAuth-appar, inklusive relevanta appmetadata och användningsdata.

  4. Hämta detaljerad appinformation: På flikarna Appstyrning väljer du en app i rutnätet för att visa en appinformationssida. Undersök prioritetskontots dataanvändning för en specifik app, spåra exakt vars data används, vilka behörigheter som används och vilka behörigheter som inte används.

Mer information finns i Kom igång med synlighet och insikter.

Steg 2: Implementera appprinciper

Appstyrning använder maskininlärningsbaserade identifieringsalgoritmer för att identifiera avvikande appbeteende i din miljö och genererar sedan aviseringar som du kan se, undersöka och lösa.

Utöver den här inbyggda identifieringsfunktionen kan du använda en uppsättning standardprincipmallar eller skapa egna appprinciper för att generera andra aviseringar.

Principer för app- och användarmönster och beteenden kan skydda dina användare från att använda icke-kompatibla eller skadliga appar och begränsa åtkomsten av riskfyllda appar till dina klientdata.

Appstyrning stöder följande typer av principer:

Typ av princip Beskrivning
Fördefinierade principer Appstyrning är utrustad med en uppsättning fördefinierade principer som är skräddarsydda för din miljö. Med fördefinierade principer kan du börja övervaka dina appar redan innan du konfigurerar några principer. Använd fördefinierade principer för att säkerställa att du meddelas om eventuella appavvikelser tidigt.
Användardefinierade principer Förutom fördefinierade principer kan administratörer också använda de tillgängliga villkoren för att skapa anpassade principer eller välja bland de tillgängliga rekommenderade principerna.

Om du vill se din lista över aktuella appstyrningsprinciper går du till fliken Microsoft Defender XDR > Appstyrningsprinciper > för molnappar>.

Obs!

Inbyggda principer för hotidentifiering visas inte på sidan Appstyrning . Mer information finns i Undersöka hotidentifieringsaviseringar.

Så här implementerar du appprinciper:

  1. Arbeta med fördefinierade principer: Appstyrning innehåller en uppsättning färdiga principer för att identifiera avvikande appbeteenden. Dessa principer aktiveras som standard, men du kan inaktivera dem om du väljer att göra det.

  2. Skapa appprinciper: Appstyrning erbjuder över 20 principvillkor och mallar som du kan använda. Appstyrningsprinciper hjälper dig att:

    • Ange villkor som appstyrning kan avisera dig om appbeteende för automatisk eller manuell reparation.

    • Implementera appefterlevnadsprinciperna för din organisation.

  3. Hantera appprinciper: Om du vill hålla jämna steg med de senaste apparna som din organisation använder, svara på nya appbaserade attacker och för pågående ändringar av dina appefterlevnadsbehov kan du behöva hantera dina appprinciper på följande sätt:

    • Skapa nya principer som riktas mot nya appar

    • Ändra status för en befintlig princip (aktiv, inaktiv, granskningsläge)

    • Ändra villkoren för en befintlig princip

    • Ändra åtgärderna för en befintlig princip för automatisk förmedling av aviseringar

Mer information finns i Läs mer om appprinciper.

Steg 3: Identifiera och åtgärda apphot

Använd appstyrning för att övervaka hotaviseringar som genereras av inbyggda metoder för identifiering av appstyrning för skadliga appaktiviteter och principbaserade aviseringar som genereras av aktiva appprinciper som du skapar.

Dessa aviseringar kan tyda på avvikelser i appaktiviteten och när inkompatibla, skadliga eller riskfyllda appar används. Du kan också använda mönster i aviseringar för att skapa nya appprinciper eller ändra inställningarna för befintliga principer för mer restriktiva åtgärder.

Du kan också åtgärda aviseringar manuellt efter undersökningen eller automatiskt via åtgärdsinställningarna för aktiva appprinciper.

Utför något av följande steg för att identifiera och åtgärda hot:

  • Kom igång med identifiering och reparation av apphot: Appstyrning samlar in hotaviseringar som genereras av inbyggda, maskininlärningsdrivna metoder för identifiering av appstyrning. Hotaviseringar baseras på skadliga appaktiviteter och principbaserade aviseringar som genereras av aktiva appprinciper som du skapar.

  • Övervaka och svara på appar med ovanlig dataanvändning: Appstyrning tillhandahåller information om dataanvändning som kan hjälpa dig att identifiera oönskad och potentiellt skadlig appaktivitet.

  • Undersök aviseringar för avvikelseidentifiering: Appstyrning tillhandahåller säkerhetsidentifieringar och aviseringar för skadliga aktiviteter. Syftet med den här guiden är att ge dig allmän och praktisk information om varje avisering för att hjälpa dig med dina undersöknings- och åtgärdsuppgifter.

  • Åtgärda apphot: Du kan åtgärda skadlig app- och appaktivitet som identifieras av appstyrningsaviseringar i Microsoft Defender XDR.

Mer information finns i Läs mer om identifiering och reparation av apphot.

Nästa steg

Vanliga frågor och svar om appstyrning