Dela via


Kontrollera molnappar med principer

Med principer kan du definiera hur du vill att användarna ska bete sig i molnet. De gör att du kan identifiera riskfyllda beteenden, överträdelser eller misstänkta datapunkter och aktiviteter i din molnmiljö. Om det behövs kan du integrera åtgärdsarbetsflöden för att uppnå fullständig riskreducering. Det finns flera typer av principer för de olika typer av information som du kan samla in om din molnmiljö och de typer av åtgärder som du kan vidta.

Om det till exempel finns ett hot om dataöverträdelse som du vill placera i karantän behöver du en annan typ av princip på plats än om du vill blockera att en riskfylld molnapp används av din organisation.

Policytyper

När du tittar på sidan Principhantering kan de olika principerna och mallarna särskiljas efter typ och ikon för att se vilka principer som är tillgängliga. Principerna kan visas tillsammans på fliken Alla principer eller på respektive kategoriflik. Vilka principer som är tillgängliga beror på datakällan och vad du har aktiverat i Defender för molnet Appar för din organisation. Om du till exempel har laddat upp molnidentifieringsloggar visas principerna för molnidentifiering.

Du kan skapa följande principtyper:

Principtypsikon Principtyp Kategori Använd
aktivitetsprincipikon. Aktivitetsprincip Hotidentifiering Med aktivitetsprinciper kan du tillämpa en mängd olika automatiserade processer med appleverantörens API:er. Du kan övervaka specifika aktiviteter som utförs av olika användare eller följa oväntat höga nivåer av en viss typ av aktivitet. Läs mer
principikon för avvikelseidentifiering. Princip för avvikelseidentifiering Hotidentifiering Med principer för avvikelseidentifiering kan du söka efter ovanliga aktiviteter i molnet. Identifieringen baseras på de riskfaktorer som du anger för att varna dig när något händer som skiljer sig från organisationens baslinje eller användarens vanliga aktivitet. Läs mer
Ikon för OAuth-appprincip. OAuth-appprincip Hotidentifiering Med OAuth-appprinciper kan du undersöka vilka behörigheter varje OAuth-app begärde och automatiskt godkänna eller återkalla den. Det här är inbyggda principer som levereras med Defender för molnet-appar och som inte kan skapas. Läs mer
Principikon för identifiering av skadlig kod. Princip för identifiering av skadlig kod Hotidentifiering Med principer för identifiering av skadlig kod kan du identifiera skadliga filer i molnlagringen och automatiskt godkänna eller återkalla dem. Det här är en inbyggd princip som levereras med Defender för molnet-appar och som inte kan skapas. Läs mer
filprincipikon. Filprincip Informationsskydd Med filprinciper kan du söka igenom dina molnappar efter angivna filer eller filtyper (delade, delade med externa domäner), data (upphovsrättsskyddad information, personliga data, kreditkortsinformation och andra typer av data) och tillämpa styrningsåtgärder på filerna (styrningsåtgärder är molnappsspecifika). Läs mer
ikon för åtkomstprincip. Åtkomstprincip Villkorlig åtkomst Åtkomstprinciper ger dig realtidsövervakning och kontroll över användarinloggningar till dina molnappar. Läs mer
sessionsprincipikon. Sessionsprincip Villkorlig åtkomst Sessionsprinciper ger dig realtidsövervakning och kontroll över användaraktivitet i dina molnappar. Läs mer
principikon för molnidentifiering. Princip för appidentifiering Skugg-IT Med identifieringsprinciper kan du ställa in aviseringar så att du får meddelanden när nya appar identifieras i din organisation. Läs mer
principikon för avvikelseidentifiering. princip för avvikelseidentifiering för molnidentifiering Skugg-IT Principer för identifiering av avvikelseidentifiering i molnet tittar på loggarna som du använder för att identifiera molnappar och söka efter ovanliga förekomster. Exempel: Om en användare som aldrig använt Dropbox tidigare plötsligt överför 600 GB till Dropbox, eller om det förekommer många fler transaktioner än vanligt i en viss app. Läs mer

Identifiera risker

Defender för molnet Apps hjälper dig att minimera olika risker i molnet. Du kan associera en princip och avisering med någon av följande risker:

  • Åtkomstkontroll: Vem har åtkomst till vad från olika platser?

    Övervaka kontinuerligt beteenden och identifiera avvikande aktiviteter, t.ex. interna och externa angrepp, och tillämpa en princip för att varna, blockera, eller kräva identitetsverifiering, för en app eller en specifik åtgärd i en app. Möjliggör lokala och mobila principer för åtkomstkontroll baserat på användare, enhet och geografisk plats med grov blockering och detaljerad visning, redigering och blockering. Identifiera misstänkta inloggningshändelser, till exempel misslyckad multifaktorautentisering, misslyckade inloggningar på inaktiverade konton och personifieringshändelser.

  • Efterlevnad: Förekommer brott mot efterlevnadskrav?

    Katalogisera och identifiera känsliga eller reglerade data, inklusive delningsbehörigheter för varje fil, som lagras i filsynkroniseringstjänster för att säkerställa att regler, t.ex. PCI, SOX och HIPAA, efterlevs

  • Konfigurationskontroll: Förekommer otillåtna ändringar i konfigurationen?

    Övervaka konfigurationsändringar, även fjärrändringar.

  • Molnidentifiering: Används nya appar i din organisation? Har du problem med Shadow IT-appar som används utan att du vet om det?

    Bedöm den övergripande risken för varje molnapp baserat på regel- och branschcertifieringar och bästa praxis. Gör att du kan övervaka antalet användare, aktiviteter, trafikvolymer och vanliga användningstimmar för varje molnprogram.

  • DLP: Delas skyddade filer offentligt? Behöver du placera filer i karantän?

    Med lokal DLP-integrering får du integrering och tidsbestämda åtgärder med befintliga lokala DLP-lösningar.

  • Privilegierade konton: Behöver du övervaka administratörskonton?

    Aktivitetsövervakning och rapportering i realtid för privilegierade användare och administratörer.

  • Delningskontroll: Hur delas data i molnmiljön?

    Granska innehållet i filer och innehåll i molnet och använd principer för intern och extern delning. Övervaka samarbete och använd delningsprinciper. Du kan till exempel förhindra att filer kan delas utanför organisationen.

  • Hotidentifiering: Förekommer misstänkta aktiviteter i molnmiljön?

    Få realtidsaviseringar för principöverträdelser eller aktivitetströskelvärden via e-post. Genom att använda maskininlärningsalgoritmer kan du Defender för molnet Apps identifiera beteenden som kan tyda på att en användare använder data felaktigt.

Riskkontroll

Så här utför du riskkontroll med principer:

  1. Skapa en princip från en mall eller en fråga.

  2. Finjustera principen så att du får önskat resultat.

  3. Lägg till åtgärder som ska vidtas automatiskt vid risker.

Skapa en policy

Du kan antingen använda principmallarna Defender för molnet Apps som grund för alla dina principer eller skapa principer från en fråga.

Principmallar hjälper dig att ange rätt filter och konfigurationer som krävs för att identifiera specifika händelser av intresse i din miljö. Mallarna innehåller alla typer av principer och kan användas för olika tjänster.

Utför följande steg för att skapa en princip från principmallar:

  1. I Microsoft Defender-portalen går du till Principer –> Principmallar under Molnappar.

    Skapa principen från en mall.

  2. Välj plustecknet (+) längst till höger på raden i mallen som du vill använda. En sida för att skapa princip öppnas med den fördefinierade konfigurationen av mallen.

  3. Ändra mallen och skapa en egen princip. Varje egenskap och fält i den nya mallbaserade principen kan ändras efter dina behov.

    Kommentar

    När du använder principfiltren söker Contain bara efter fullständiga ord – avgränsade med koma, punkter, blanksteg eller understreck. Om du till exempel söker efter skadlig kod eller virus hittar den virus_malware_file.exe men hittar inte malwarevirusfile.exe. Om du söker efter malware.exe hittar du ALLA filer med antingen skadlig kod eller exe i filnamnet, medan om du söker efter "malware.exe" (med citattecken) hittar du bara filer som innehåller exakt "malware.exe".
    Lika med söker bara efter den fullständiga strängen, till exempel om du söker efter malware.exe den hittar malware.exe men inte malware.exe.txt.

  4. När du har skapat den nya mallbaserade principen visas en länk till den nya principen i kolumnen Länkade principer i principmallstabellen bredvid den mall som principen skapades från. Du kan skapa så många principer som du vill från varje mall så länkas alla till den ursprungliga mallen. Genom att länka kan du spåra alla principer som skapats med samma mall.

Du kan också skapa en princip under undersökningen. Om du undersöker aktivitetsloggen, filerna eller identiteterna och du ökar detaljnivån för att söka efter något specifikt kan du när som helst skapa en ny princip baserat på resultatet av undersökningen.

Du kanske till exempel vill skapa en om du tittar på aktivitetsloggen och ser en administratörsaktivitet utanför kontorets IP-adresser.

Gör följande för att skapa en princip baserat på undersökningsresultat:

  1. I Microsoft Defender-portalen går du till något av följande:

    • Cloud Apps –> aktivitetslogg
    • Cloud Apps –> Filer
    • Tillgångar –> identiteter
  2. Använd filtren överst på sidan för att begränsa sökresultaten till det misstänkta området. På sidan Aktivitetslogg väljer du till exempel Administrativ aktivitet och väljer Sant. Under IP-adress väljer du Sedan Kategori och anger värdet till att inte inkludera IP-adresskategorier som du har skapat för dina identifierade domäner, till exempel dina IP-adresser för administratör, företag och VPN.

    Skapa fil från undersökning.

  3. Under frågan väljer du Ny princip från sökningen.

    Ny princip från sökknappen.

  4. En sida öppnas som innehåller de filter som du använde i undersökningen.

  5. Ändra mallen och skapa en egen princip. Varje egenskap och fält i den nya undersökningsbaserade principen kan ändras efter dina behov.

    Kommentar

    När du använder principfiltren söker Contain bara efter fullständiga ord – avgränsade med koma, punkter, blanksteg eller understreck. Om du till exempel söker efter skadlig kod eller virus hittar den virus_malware_file.exe men hittar inte malwarevirusfile.exe.
    Lika med söker bara efter den fullständiga strängen, till exempel om du söker efter malware.exe den hittar malware.exe men inte malware.exe.txt.

    skapa aktivitetsprincip från undersökning.

    Kommentar

    Mer information om hur du anger principfälten finns i motsvarande principdokumentation:

    Principer för användaraktivitet

    Dataskyddsprinciper

    Principer för molnidentifiering

Lägg till åtgärder som ska vidtas automatiskt vid risker

En lista över tillgängliga styrningsåtgärder per app finns i Styra anslutna appar.

Du kan också ange principen för att skicka en avisering via e-post när matchningar identifieras.

Om du vill ange dina aviseringsinställningar går du till Inställningar för e-postavisering.

Aktivera och inaktivera principer

Du kan aktivera eller inaktivera en princip när du har skapat den. Om du inaktiverar måste du ta bort en princip när du har skapat den för att stoppa den. Om du av någon anledning vill stoppa principen inaktiverar du den tills du väljer att aktivera den igen.

  • Om du vill aktivera en princip går du till sidan Princip och väljer de tre punkterna i slutet av raden i principen som du vill aktivera. Välj Aktivera.

    Aktivera princip.

  • Om du vill inaktivera en princip går du till sidan Princip och väljer de tre punkterna i slutet av raden i principen som du vill inaktivera. Välj Inaktivera.

    Inaktivera principen.

När du har skapat en ny princip är den aktiverad som standard.

Översiktsrapport för principer

Defender för molnet Appar kan du exportera en översiktsrapport för principer som visar aggregerade aviseringsmått per princip som hjälper dig att övervaka, förstå och anpassa dina principer för att bättre skydda din organisation.

Utför följande steg för att exportera en logg:

  1. På sidan Principer väljer du knappen Exportera .

  2. Ange det tidsintervall som krävs.

  3. Välj Exportera. Den här processen kan ta lite tid.

Så här laddar du ned den exporterade rapporten:

  1. När rapporten är klar går du till Microsoft Defender-portalen, går till Rapporter och sedan Cloud Apps ->Exporterade rapporter.

  2. I tabellen väljer du relevant rapport och väljer sedan ladda ned.

    nedladdningsknappen.

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.