每月操作指南 - Microsoft Defender for Cloud Apps
本文列出了建议使用Microsoft Defender for Cloud Apps执行的每月操作活动。
每月活动可以更频繁地执行,也可以根据需要执行,具体取决于你的环境和需求。
查看策略评估
其中:在Microsoft Defender XDR门户中,选择“云应用>策略管理”>
角色:安全性和合规性管理员
查看策略并进行任何必要的更新,以确保它们仍然适合你的组织。
检查误报和良性真阳性率,并调整速率过高的策略。 例如,确保在Defender for Cloud Apps设置中正确配置了任何新的公司 IP 地址,以避免不可能的旅行误报。
查看业务需求并评估自定义策略的要求。 例如,每个策略检测到的威胁是否仍然相关? 或者是否有新的内置解决方案来检测该威胁?
清除旧警报。 例如:
- 查看过去六个月的警报。 筛选出标记为 “已解决”的警报,并分组类似的警报,使查看更简单。
- 验证显示的每个警报为何未得到解决。
- 如果警报是良性的,请消除警报并根据需要调整策略。
有关详细信息,请参阅 使用策略控制云应用。
查看活动日志
其中:在Microsoft Defender XDR门户中的“云应用”下,选择“活动日志”。
角色:安全性和合规性管理员
经常查看与警报相关的活动日志,并作为威胁调查的一部分。 建议每月重新访问活动日志,以检查同一实体的重复活动,例如同一用户的多次搜索或登录。
- 按活动类型(例如登录失败或删除或分配权限)的透视结果。
- 将活动范围缩小到应用或用户。
- 使用结果创建新策略,以帮助你更密切地监视和响应潜在威胁。
有关详细信息,请参阅 活动查询。