调查云应用风险和可疑活动
Microsoft Defender for Cloud Apps在云环境中运行后,需要一个学习和调查阶段。 了解如何使用Microsoft Defender for Cloud Apps工具更深入地了解云环境中发生的情况。 根据特定环境及其使用方式,可以确定保护组织免受风险的要求。 本文介绍如何进行调查以更好地了解云环境。
将应用标记为已批准或未批准
了解云的一个重要步骤是将应用标记为已批准或未批准。 批准应用后,可以筛选未批准的应用,并开始迁移到相同类型的已批准应用。
在Microsoft Defender门户中的“云应用”下,转到“云应用目录”或“云发现 - >发现的应用”。
在应用列表中,在要标记为已批准的应用所在的行上,选择行末尾的三个点
然后选择 “已批准”。
使用调查工具
在Microsoft Defender门户中的“云应用”下,转到“活动日志”并按特定应用进行筛选。 检查以下项:
谁访问云环境?
来自哪些 IP 范围?
什么是管理员活动?
管理员从哪些位置进行连接?
是否有任何过时的设备连接到云环境?
失败的登录是否来自预期的 IP 地址?
在Microsoft Defender门户中的“云应用”下,转到“文件”,检查以下项:
公开共享多少个文件,以便任何人都可以在没有链接的情况下访问它们?
与哪些合作伙伴共享文件 (出站共享) ?
是否有任何文件具有敏感名称?
是否有任何文件与某人的个人帐户共享?
在Microsoft Defender门户中,转到“标识”,检查以下项:
是否有帐户在特定服务中长时间处于非活动状态? 也许你可以吊销该用户的该服务许可证。
是否想知道哪些用户具有特定角色?
有人被解雇了,但他们仍然有权访问某个应用,并可以使用该访问权限来窃取信息?
是要撤销用户对特定应用的权限,还是要求特定用户使用多重身份验证?
通过选择用户帐户行末尾的三个点并选择要执行的操作,可以向下钻取到用户帐户。 执行暂停 用户 或删除 用户的协作等操作。 如果用户是从Microsoft Entra ID导入的,还可以选择Microsoft Entra帐户设置,以便轻松访问高级用户管理功能。 管理功能的示例包括组管理、MFA、有关用户登录的详细信息以及阻止登录的功能。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”,然后选择一个应用。 应用仪表板打开,并为你提供信息和见解。 可以使用顶部的选项卡来检查:
用户使用哪种类型的设备连接到应用?
他们在云中保存哪些类型的文件?
应用中现在正在发生什么活动?
是否有任何已连接到环境的第三方应用?
你熟悉这些应用吗?
他们是否有权获得允许的访问级别?
部署了多少用户? 这些应用一般有多常见?
在Microsoft Defender门户中的“云应用”下,转到“云发现”。 选择“仪表板”选项卡,检查以下项:
使用哪些云应用,在何种程度上使用,以及由哪些用户使用?
它们用于什么目的?
要上传到这些云应用的数据量是多少?
在哪些类别中,你已批准云应用,但用户使用的是替代解决方案?
对于替代解决方案,是否要取消批准组织中的任何云应用?
是否存在使用但不符合组织策略的云应用?
示例调查
假设假设你无法通过风险 IP 地址访问云环境。 例如,假设 Tor。 但是,为风险 IP 创建策略只是为了确保:
在Microsoft Defender门户中的“云应用”下,转到“策略->策略模板”。
选择“类型”的“活动”策略。
在“ 从有风险的 IP 地址登录” 行的末尾,选择加号 (+) 以创建新策略。
更改策略名称,以便可以识别它。
在 “匹配以下所有项的活动”下,选择 + 添加筛选器。 向下滚动到 IP 标记,然后选择“ Tor”。
现在,你已准备好策略,你会发现你看到你收到一个警报,指出策略被违反。
在Microsoft Defender门户中,转到“事件 & 警报”->“警报”,并查看有关策略冲突的警报。
如果发现它看起来是真正的违规行为,则希望控制风险或对其进行修正。
若要遏制风险,可以向用户发送通知,询问违规是否是故意的,以及用户是否意识到这一点。
还可以向下钻取到警报并暂停用户,直到确定需要执行的操作。
如果是不太可能重复的允许事件,则可以消除警报。
如果允许,并且你预计它会再次出现,则可以更改策略,以便将来不会将此类型的事件视为冲突。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。