Dela via

Principer för molnidentifiering

  • Artikel

Den här artikeln innehåller en översikt över hur du kommer igång med Defender for Cloud Apps för att få insyn i skugg-IT i organisationen med hjälp av molnidentifiering.

Defender for Cloud Apps kan du identifiera och analysera molnappar som används i organisationens miljö. Instrumentpanelen för molnidentifiering visar alla molnappar som körs i miljön och kategoriserar dem efter funktions- och företagsberedskap. För varje app identifierar du associerade användare, IP-adresser, enheter, transaktioner och utför riskbedömning utan att behöva installera en agent på dina slutpunktsenheter.

Identifiera ny användning av stora volymer eller breda appar

Identifiera nya appar som används mycket, när det gäller antalet användare eller mängden trafik i din organisation.

Förhandskrav

Konfigurera automatisk logguppladdning för rapporter om kontinuerlig molnidentifiering enligt beskrivningen i Konfigurera automatisk logguppladdning för kontinuerliga rapporter eller aktivera Defender for Cloud Apps integrering med Defender för Endpoint, enligt beskrivningen i Integrera Microsoft Defender för Endpoint med Defender for Cloud Apps.

Steg

  1. I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Skapa en ny appidentifieringsprincip.

  2. I fältet Principmall väljer du Ny högvolymapp eller Ny populär app och tillämpar mallen.

  3. Anpassa principfilter för att uppfylla organisationens krav.

  4. Konfigurera de åtgärder som ska vidtas när en avisering utlöses.

Obs!

En avisering genereras en gång för varje ny app som inte har identifierats under de senaste 90 dagarna.

Identifiera ny riskfylld eller icke-kompatibel appanvändning

Identifiera potentiell exponering av din organisation i molnappar som inte uppfyller dina säkerhetsstandarder.

Förhandskrav

Konfigurera automatisk logguppladdning för rapporter om kontinuerlig molnidentifiering enligt beskrivningen i Konfigurera automatisk logguppladdning för kontinuerliga rapporter eller aktivera Defender for Cloud Apps integrering med Defender för Endpoint, enligt beskrivningen i Integrera Microsoft Defender för Endpoint med Defender for Cloud Apps.

Steg

  1. I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Skapa en ny appidentifieringsprincip.

  2. I fältet Principmall väljer du mallen Ny riskfylld app och tillämpar mallen.

  3. Under App som matchar alla följande anger du skjutreglaget Riskpoäng och riskfaktorn Efterlevnad för att anpassa den risknivå som du vill utlösa en avisering och ange de andra principfiltren så att de uppfyller organisationens säkerhetskrav.

    1. Valfritt: Om du vill få mer meningsfulla identifieringar anpassar du mängden trafik som utlöser en avisering.

    2. Markera kryssrutan Utlösa en principmatchning om alla följande inträffar samma dag .

    3. Välj Daglig trafik som är större än 2 000 GB (eller annan).

  4. Konfigurera styrningsåtgärder som ska vidtas när en avisering utlöses. Under Styrning väljer du Tagga app som osanktionerad.
    Åtkomst till appen blockeras automatiskt när principen matchas.

  5. Valfritt: Använd Defender for Cloud Apps interna integreringar med säkra webbgatewayer för att blockera appåtkomst.

Identifiera användning av icke sanktionerade företagsappar

Du kan identifiera när dina anställda fortsätter att använda icke sanktionerade appar som ersättning för godkända företagsklara appar.

Förhandskrav

Steg

  1. I molnappkatalogen söker du efter dina företagsklara appar och markerar dem med en anpassad apptagg.

  2. Följ stegen i Identifiera ny hög volym eller bred appanvändning.

  3. Lägg till ett filter för apptaggar och välj de apptaggar som du skapade för dina företagsklara appar.

  4. Konfigurera styrningsåtgärder som ska vidtas när en avisering utlöses. Under Styrning väljer du Tagga app som osanktionerad.
    Åtkomst till appen blockeras automatiskt när principen matchas.

  5. Valfritt: Använd Defender for Cloud Apps interna integreringar med säkra webbgatewayer för att blockera appåtkomst.

Identifiera ovanliga användningsmönster i nätverket

Identifiera avvikande trafikanvändningsmönster (uppladdningar/nedladdningar) i dina molnappar, som kommer från användare eller IP-adresser i organisationens nätverk.

Förhandskrav

Konfigurera automatisk logguppladdning för rapporter om kontinuerlig molnidentifiering enligt beskrivningen i Konfigurera automatisk logguppladdning för kontinuerliga rapporter eller aktivera Defender for Cloud Apps integrering med Defender för Endpoint, enligt beskrivningen i Integrera Microsoft Defender för Endpoint med Defender for Cloud Apps.

Steg

  1. I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Skapa en ny princip för avvikelseidentifiering i Cloud Discovery.

  2. I fältet Principmall väljer du Avvikande beteende hos identifierade användare eller Avvikande beteende i identifierade IP-adresser.

  3. Anpassa filtren så att de uppfyller organisationens krav.

  4. Om du bara vill bli varnad när det finns avvikelser som rör riskfyllda appar använder du filter för riskpoäng och anger det intervall där appar anses vara riskfyllda.

  5. Använd skjutreglaget för att välja känslighet för avvikelseidentifiering.

Obs!

När kontinuerlig logguppladdning har upprättats tar avvikelseidentifieringsmotorn några dagar tills en baslinje (inlärningsperiod) upprättas för det förväntade beteendet i din organisation. När en baslinje har upprättats börjar du få aviseringar baserat på avvikelser från det förväntade trafikbeteendet i molnappar som görs av användare eller från IP-adresser.

Identifiera avvikande molnidentifieringsbeteende i lagringsappar som inte sanktioneras

Identifiera avvikande beteende för en användare i en molnlagringsapp som inte är sanktionerad.

Förhandskrav

Konfigurera automatisk logguppladdning för rapporter om kontinuerlig molnidentifiering enligt beskrivningen i Konfigurera automatisk logguppladdning för kontinuerliga rapporter eller aktivera Defender for Cloud Apps integrering med Defender för Endpoint, enligt beskrivningen i Integrera Microsoft Defender för Endpoint med Defender for Cloud Apps.

Steg

  1. I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Skapa en ny princip för avvikelseidentifiering i Cloud Discovery.

  2. Välj filtret Appkategori är lika med Molnlagring.

  3. Välj filtret App-taggen är inte lika med Sanktionerad.

  4. Markera kryssrutan för att skapa en avisering för varje matchande händelse med principens allvarlighetsgrad.

  5. Konfigurera de åtgärder som ska utföras när en avisering utlöses.

Identifiera riskfyllda OAuth-appar

Få insyn och kontroll över OAuth-appar som är installerade i appar som Google Workspace, Microsoft 365 och Salesforce. OAuth-appar som begär höga behörigheter och har sällsynt communityanvändning kan betraktas som riskabla.

Förhandskrav

Du måste ha appen Google Workspace, Microsoft 365 eller Salesforce ansluten med appanslutningsprogram.

Steg

    1. I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Skapa en ny OAuth-appprincip.

  2. Välj filtret App och ange den app som principen ska omfatta, Google Workspace, Microsoft 365 eller Salesforce.

  3. Välj filtret Behörighetsnivå är lika med Hög (tillgängligt för Google Workspace och Microsoft 365).

  4. Lägg till filtret Community use är lika med Rare.

  5. Konfigurera de åtgärder som ska utföras när en avisering utlöses. För Microsoft 365 kontrollerar du till exempel Återkalla app för OAuth-appar som identifierats av principen.

Obs!

Stöds för appbutikerna Google Workspace, Microsoft 365 och Salesforce.

Nästa steg

Metodtips för att skydda din organisation

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.