通过

Defender for Cloud Apps中的应用治理入门

  • 项目

应用治理解决方案需要深入了解环境中的应用行为,以识别和处理属于容忍级别的活动,该级别需要进行更多审查以评估恶意意图。 当分层Defender for Cloud Apps时,应用治理可让你针对环境中的有风险的应用行为进行深入治理。

本文介绍如何在 Microsoft Defender for Cloud Apps 中使用应用治理功能。

先决条件

  • 如果尚未 注册应用治理 ,并完成将其添加到租户的步骤。 注册应用治理后,最多需要等待 10 小时才能查看和使用产品。

    有关详细信息,请参阅为Microsoft Defender for Cloud Apps启用应用治理

  • 登录帐户必须具有受支持的 应用治理管理员角色 才能查看任何应用治理数据。

  • 若要对应用治理警报使用完整功能,必须至少通过访问一次各自的门户来预配Defender for Cloud Apps和Microsoft Defender XDR。

步骤 1:获取可见性和见解

首先,使用以下步骤获取有关应用的可见性和见解:

  1. 登录:在浏览器中,转到 Microsoft Defender XDR > Cloud Apps >应用治理页。

  2. 确定合规性状况:使用“ 应用治理 > 概述 ”选项卡上的数据来评估租户中应用的合规性状况和事件。 查看详细信息,例如租户中有多少超特权的应用、活动事件数、数据访问图形 API总数等。

    提示

    还可以在 安全功能分数 中查看与应用治理相关的建议,以帮助你全面管理状态。

  3. 查看应用:按数据使用率高的应用或授予同意次数的应用对 “应用治理 ”选项卡上的数据进行排序,或者按高特权应用、具有未使用权限的应用或未经验证的发布者等进行筛选。

    使用这些排序和筛选选项更深入地了解 OAuth 应用,包括相关的应用元数据和使用情况数据。

  4. 获取详细的应用信息:在“ 应用治理 ”选项卡上,在网格中选择一个应用以查看应用详细信息页。 调查特定应用的 优先级帐户 数据使用情况,准确跟踪要访问的数据、使用的权限以及不使用的权限。

有关详细信息,请参阅 可见性和见解入门

步骤 2:实现应用策略

应用治理使用基于机器学习的检测算法来检测环境中的异常应用行为,然后生成可以查看、调查和解决的警报。

除了此内置检测功能之外,请使用一组默认策略模板或创建自己的应用策略来生成其他警报。

针对应用和用户模式和行为的策略可以保护用户免受使用不合规或恶意应用的影响,并限制风险应用访问租户数据。

应用治理支持以下类型的策略:

策略类型 说明
预定义策略 应用治理配备了一组针对你的环境定制的预定义策略。 预定义策略允许你在设置任何策略之前开始监视应用。 使用预定义策略来确保你尽早收到任何应用异常的通知。
用户定义的策略 除了预定义策略,管理员还可以使用可用条件创建自定义策略或从可用的建议策略进行选择。

若要查看当前应用治理策略的列表,请转到“Microsoft Defender XDR>云应用>应用治理>策略”选项卡。

注意

内置威胁检测策略 “应用治理 ”页上列出。 有关详细信息,请参阅 调查威胁检测警报

若要实现应用策略,请执行以下操作

  1. 使用预定义策略:应用治理包含一组现成的策略,用于检测异常应用行为。 默认情况下会激活这些策略,但可以选择停用它们。

  2. 创建应用策略: 应用治理提供了 20 多个策略条件和模板供你使用。 应用治理策略可帮助你:

    • 指定应用治理可以提醒应用行为以进行自动或手动修正的条件。

    • 为组织实施应用合规性策略。

  3. 管理应用策略:若要跟上组织使用的最新应用、响应新的基于应用的攻击以及应用合规性需求的持续更改,可能需要按如下所示管理应用策略:

    • 创建针对新应用的新策略

    • 更改现有策略的状态(活动、非活动、审核模式)

    • 更改现有策略的条件

    • 更改用于自动修复警报的现有策略的操作

有关详细信息,请参阅 了解应用策略

步骤 3:检测和修正应用威胁

使用应用治理监视内置应用治理检测方法生成的威胁警报,这些警报适用于恶意应用活动,以及由你创建的活动应用策略生成的基于策略的警报。

这些警报可以指示应用活动中的异常情况,以及何时使用不合规、恶意或有风险的应用。 你还可以在警报中使用模式来创建新的应用策略,或者修改现有策略的设置以执行更严格的操作。

还可以在调查后手动修正警报,或通过活动应用策略上的操作设置自动修正警报。

执行以下任一步骤来检测和修正威胁

有关详细信息,请参阅 了解应用威胁检测和修正

后续步骤

有关应用治理的常见问题