Vanliga principer för skydd mot Defender for Cloud Apps hot
Defender for Cloud Apps kan du identifiera problem med hög riskanvändning och molnsäkerhet, identifiera onormalt användarbeteende och förhindra hot i dina sanktionerade molnappar. Få insyn i användar- och administratörsaktiviteter och definiera principer för att automatiskt avisera när misstänkt beteende eller specifika aktiviteter som du anser vara riskfyllda identifieras. Dra nytta av den stora mängden Microsofts data för hotinformation och säkerhetsforskning för att säkerställa att dina sanktionerade appar har alla säkerhetskontroller som du behöver och hjälper dig att behålla kontrollen över dem.
Obs!
När du integrerar Defender for Cloud Apps med Microsoft Defender for Identity visas även principer från Defender för identitet på principsidan. En lista över Defender för identitetsprinciper finns i Säkerhetsaviseringar.
Identifiera och kontrollera användaraktivitet från okända platser
Automatisk identifiering av användaråtkomst eller aktivitet från okända platser som aldrig har besökts av någon annan i din organisation.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när det finns åtkomst från nya platser. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Identifiera komprometterat konto med omöjlig plats (omöjlig resa)
Automatisk identifiering av användaråtkomst eller aktivitet från 2 olika platser inom en tidsperiod som är kortare än den tid det tar att resa mellan de två.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när det finns åtkomst från omöjliga platser. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Valfritt: du kan anpassa principer för avvikelseidentifiering:
Anpassa identifieringsomfånget när det gäller användare och grupper
Välj vilka typer av inloggningar som ska övervägas
Ange känslighetsinställningen för aviseringar
Skapa principen för avvikelseidentifiering.
Identifiera misstänkt aktivitet från en "on-leave"-anställd
Identifiera när en användare, som har obetald ledighet och inte ska vara aktiv på någon organisationsresurs, har åtkomst till någon av organisationens molnresurser.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
Skapa en säkerhetsgrupp i Microsoft Entra ID för användare med obetald ledighet och lägg till alla användare som du vill övervaka.
Steg
På skärmen Användargrupper väljer du Skapa användargrupp och importerar relevant Microsoft Entra grupp.
I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Skapa en ny aktivitetsprincip.
Ange filtret Användargrupp är lika med namnet på de användargrupper som du skapade i Microsoft Entra ID för de obetalda ledighetsanvändarna.
Valfritt: Ange vilka styrningsåtgärder som ska vidtas för filer när en överträdelse identifieras. Vilka styrningsåtgärder som är tillgängliga varierar mellan olika tjänster. Du kan välja Inaktivera användare.
Skapa filprincipen.
Identifiera och meddela när inaktuellt webbläsaroperativsystem används
Identifiera när en användare använder en webbläsare med en inaktuell klientversion som kan innebära efterlevnads- eller säkerhetsrisker för din organisation.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Skapa en ny aktivitetsprincip.
Ange filtret Användaragent-taggen är lika med Inaktuell webbläsare och Inaktuellt operativsystem.
Ange vilka styrningsåtgärder som ska vidtas för filer när en överträdelse identifieras. Vilka styrningsåtgärder som är tillgängliga varierar mellan olika tjänster. Under Alla appar väljer du Meddela användare så att användarna kan agera på aviseringen och uppdatera nödvändiga komponenter.
Skapa aktivitetsprincipen.
Identifiera och varna när Admin aktivitet identifieras på riskfyllda IP-adresser
Identifiera administratörsaktiviteter som utförs från och IP-adress som anses vara en riskabel IP-adress och meddela systemadministratören om ytterligare undersökning eller ange en styrningsåtgärd för administratörens konto. Lär dig mer om hur du arbetar med IP-intervall och riskfyllda IP-adresser.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
I kugghjulet Inställningar väljer du IP-adressintervall och väljer + för att lägga till IP-adressintervall för dina interna undernät och deras utgående offentliga IP-adresser. Ange Kategorin till Intern.
Steg
I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Skapa en ny aktivitetsprincip.
Ställ in Agera påEnskild aktivitet.
Ange filtrets IP-adress till Kategori lika med Riskfylld
Ställ in filtret Administrativ aktivitet på Sant
Ange vilka styrningsåtgärder som ska vidtas för filer när en överträdelse identifieras. Vilka styrningsåtgärder som är tillgängliga varierar mellan olika tjänster. Under Alla appar väljer du Meddela användare så att användarna kan agera på aviseringen och uppdatera nödvändiga komponenter CC användarens chef.
Skapa aktivitetsprincipen.
Identifiera aktiviteter efter tjänstkonto från externa IP-adresser
Identifiera tjänstkontoaktiviteter som kommer från icke-interna IP-adresser. Detta kan tyda på misstänkt beteende eller ett komprometterat konto.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
I kugghjulet Inställningar väljer du IP-adressintervall och väljer + för att lägga till IP-adressintervall för dina interna undernät och deras utgående offentliga IP-adresser. Ange Kategorin till Intern.
Standardisera namngivningskonventioner för tjänstkonton i din miljö, till exempel ange att alla kontonamn ska börja med "svc".
Steg
I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Skapa en ny aktivitetsprincip.
Ange filtret Användare till Namn och sedan Börjar med och ange din namngivningskonvention, till exempel svc.
Ange filtrets IP-adress till Kategori är inte lika med Övrigt och Företag.
Ange vilka styrningsåtgärder som ska vidtas för filer när en överträdelse identifieras. Vilka styrningsåtgärder som är tillgängliga varierar mellan olika tjänster.
Skapa principen.
Identifiera massnedladdning (dataexfiltrering)
Identifiera när en viss användare kommer åt eller laddar ned ett stort antal filer på kort tid.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Skapa en ny aktivitetsprincip.
Ställ in filtrets IP-adresser påTagg är inte lika med Microsoft Azure. Detta utesluter icke-interaktiva enhetsbaserade aktiviteter.
Ange filtret Aktivitetstyper lika med och välj sedan alla relevanta nedladdningsaktiviteter.
Ange vilka styrningsåtgärder som ska vidtas för filer när en överträdelse identifieras. Vilka styrningsåtgärder som är tillgängliga varierar mellan olika tjänster.
Skapa principen.
Identifiera potentiell aktivitet med utpressningstrojaner
Automatisk identifiering av potentiell utpressningstrojanaktivitet.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när en potentiell risk för utpressningstrojaner har identifierats. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Det går att konfigurera identifieringens omfattning och anpassa de styrningsåtgärder som ska vidtas när en avisering utlöses. Mer information om hur Defender for Cloud Apps identifierar utpressningstrojaner finns i Skydda din organisation från utpressningstrojaner.
Obs!
Detta gäller för Microsoft 365, Google Workspace, Box och Dropbox.
Identifiera skadlig kod i molnet
Identifiera filer som innehåller skadlig kod i dina molnmiljöer genom att använda Defender for Cloud Apps integrering med Microsofts hotinformationsmotor.
Förhandskrav
- För identifiering av skadlig kod i Microsoft 365 måste du ha en giltig licens för Microsoft Defender för Microsoft 365 P1.
- Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
- Den här identifieringen konfigureras automatiskt för att varna dig när det finns en fil som kan innehålla skadlig kod. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Identifiera otillåtet administratörsövertagande
Identifiera upprepad administratörsaktivitet som kan tyda på skadliga avsikter.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Skapa en ny aktivitetsprincip.
Ställ in Agera påUpprepad aktivitet och anpassa de minsta upprepade aktiviteterna och ange en tidsram för att följa organisationens princip.
Ange filtret Användare till Från-grupp är lika med och välj alla relaterade administratörsgrupper som Endast skådespelare.
Ange filtret Aktivitetstyp är lika med alla aktiviteter som relaterar till lösenordsuppdateringar, ändringar och återställningar.
Ange vilka styrningsåtgärder som ska vidtas för filer när en överträdelse identifieras. Vilka styrningsåtgärder som är tillgängliga varierar mellan olika tjänster.
Skapa principen.
Identifiera misstänkta regler för inkorgsmanipulering
Om en misstänkt inkorgsregel har angetts i en användares inkorg kan det tyda på att användarkontot har komprometterats och att postlådan används för att distribuera skräppost och skadlig kod i din organisation.
Förhandskrav
- Användning av Microsoft Exchange för e-post.
Steg
- Den här identifieringen konfigureras automatiskt för att varna dig när det finns en misstänkt inkorgsregeluppsättning. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Identifiera läckta autentiseringsuppgifter
När cyberbrottslingar komprometterar giltiga lösenord för legitima användare delar de ofta dessa autentiseringsuppgifter. Detta görs vanligtvis genom att publicera dem offentligt på dark web eller klistra in webbplatser eller genom att handla eller sälja autentiseringsuppgifterna på den svarta marknaden.
Defender for Cloud Apps använder Microsofts hotinformation för att matcha sådana autentiseringsuppgifter med de som används i din organisation.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när en eventuell läcka av autentiseringsuppgifter identifieras. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Identifiera avvikande filnedladdningar
Identifiera när användare utför flera filnedladdningsaktiviteter i en enda session i förhållande till den inlärda baslinjen. Detta kan tyda på ett intrångsförsök.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när en avvikande nedladdning sker. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Det går att konfigurera identifieringens omfattning och anpassa den åtgärd som ska vidtas när en avisering utlöses.
Identifiera avvikande filresurser av en användare
Identifiera när användare utför flera fildelningsaktiviteter i en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när användare utför flera fildelningar. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Det går att konfigurera identifieringens omfattning och anpassa den åtgärd som ska vidtas när en avisering utlöses.
Identifiera avvikande aktiviteter från sällan förekommande land/region
Identifiera aktiviteter från en plats som inte har besökts nyligen eller aldrig har besökts av användaren eller av någon användare i din organisation.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när en avvikande aktivitet inträffar från ett land/en region som inte används ofta. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Det går att konfigurera identifieringens omfattning och anpassa den åtgärd som ska vidtas när en avisering utlöses.
Obs!
Identifiering av avvikande platser kräver en inledande inlärningsperiod på 7 dagar. Under inlärningsperioden genererar Defender for Cloud Apps inte aviseringar för nya platser.
Identifiera aktivitet som utförs av en avslutad användare
Identifiera när en användare som inte längre är anställd i din organisation utför en aktivitet i en sanktionerad app. Detta kan tyda på skadlig aktivitet av en avslutad anställd som fortfarande har åtkomst till företagets resurser.
Förhandskrav
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när en aktivitet utförs av en avslutad medarbetare. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Det går att konfigurera identifieringens omfattning och anpassa den åtgärd som ska vidtas när en avisering utlöses.
Nästa steg
Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.