云发现策略

本文概述了如何开始使用 Defender for Cloud Apps，以便通过云发现了解整个组织的影子 IT。

Defender for Cloud Apps可让你发现和分析组织环境中正在使用的云应用。 云发现仪表板显示环境中运行的所有云应用，并按功能和企业就绪情况对其进行分类。 对于每个应用，发现关联的用户、IP 地址、设备、事务，并执行风险评估，而无需在终结点设备上安装代理。

检测新的高容量或宽应用使用情况

根据组织中的用户数或流量检测高度使用的新应用。

先决条件

按照配置连续报表的自动日志上传或启用与 Defender for Endpoint 的Defender for Cloud Apps集成中所述，为连续云发现报告配置自动日志上传，如将 Microsoft Defender for Endpoint 与 集成中所述Defender for Cloud Apps。

步骤

1. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。 创建新的 应用发现策略。

2. 在 “策略模板 ”字段中，选择“ 新建大容量应用 ”或“ 新建常用应用 ”并应用模板。

3. 自定义策略筛选器以满足组织的要求。

4. 配置触发警报时要执行的操作。

注意

对于过去 90 天内未发现的每个新应用，都会生成一次警报。

检测新的有风险或不合规的应用使用

检测组织在不符合安全标准的云应用中的潜在风险。

先决条件

按照配置连续报表的自动日志上传或启用与 Defender for Endpoint 的Defender for Cloud Apps集成中所述，为连续云发现报告配置自动日志上传，如将 Microsoft Defender for Endpoint 与 集成中所述Defender for Cloud Apps。

步骤

1. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。 创建新的 应用发现策略。

2. 在 “策略模板 ”字段中，选择“ 新建风险应用 ”模板并应用该模板。

3. 在 “应用匹配”下， 设置 “风险评分 ”滑块和“符合性风险因素”，以自定义要触发警报的风险级别，并设置其他策略筛选器以满足组织的安全要求。

   1. 可选：若要获取更有意义的检测，请自定义将触发警报的流量。

   2. 选中“ 如果同一天发生以下所有情况，则触发策略匹配 项”复选框。

   3. 选择“ 每日流量 大于 2000 GB (或其他) ”。

4. 配置触发警报时要采取的治理操作。 在“ 治理”下，选择“ 将应用标记为未批准”。
   策略匹配时，将自动阻止对应用的访问。

5. 可选：利用Defender for Cloud Apps与安全 Web 网关的本机集成来阻止应用访问。

检测未批准的业务应用的使用情况

你可以检测员工何时继续使用未批准的应用作为已批准的业务就绪应用的替代项。

先决条件

• 按照配置连续报表的自动日志上传或启用与 Defender for Endpoint 的Defender for Cloud Apps集成中所述，为连续云发现报告配置自动日志上传，如将 Microsoft Defender for Endpoint 与 集成中所述Defender for Cloud Apps。

步骤

1. 在云应用目录中，搜索业务就绪的应用，并使用 自定义应用标记对其进行标记。

2. 按照 检测新的高容量或宽应用使用情况中的步骤操作。

3. 添加 应用标记 筛选器，并选择为业务就绪应用创建的应用标记。

4. 配置触发警报时要采取的治理操作。 在“治理”下，选择“ 将应用标记为未批准”。
   策略匹配时，将自动阻止对应用的访问。

5. 可选：利用Defender for Cloud Apps与安全 Web 网关的本机集成来阻止应用访问。

检测网络上的异常使用模式

检测云应用中 (上传/下载) 的异常流量使用模式，这些模式源自组织网络内的用户或 IP 地址。

先决条件

按照配置连续报表的自动日志上传或启用与 Defender for Endpoint 的Defender for Cloud Apps集成中所述，为连续云发现报告配置自动日志上传，如将 Microsoft Defender for Endpoint 与 集成中所述Defender for Cloud Apps。

步骤

1. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。 创建新的 Cloud Discovery 异常情况检测策略。

2. 在 “策略模板 ”字段中，选择 “已发现用户中的异常行为 ”或“ 发现 IP 地址中的异常行为”。

3. 自定义筛选器以满足组织的要求。

4. 如果只想在存在涉及风险应用的异常时收到警报，请使用 风险分数 筛选器并设置应用被视为有风险的范围。

5. 使用滑块 选择异常情况检测敏感度。

注意

建立连续日志上传后，异常情况检测引擎需要几天时间，才能为组织中的预期行为建立基线 (学习期) 。 建立基线后，根据用户创建的云应用中的预期流量行为或 IP 地址的差异开始接收警报。

检测存储应用中未批准的异常云发现行为

检测未批准的云存储应用中用户的异常行为。

先决条件

按照配置连续报表的自动日志上传或启用与 Defender for Endpoint 的Defender for Cloud Apps集成中所述，为连续云发现报告配置自动日志上传，如将 Microsoft Defender for Endpoint 与 集成中所述Defender for Cloud Apps。

步骤

1. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。 创建新的 Cloud Discovery 异常情况检测策略。

2. 选择筛选器 “应用”类别 等于 “云存储”。

3. 选择筛选器 “应用标记 不等于 已批准”。

4. 选中复选框， 为每个具有策略严重性的匹配事件创建警报。

5. 配置触发警报时要执行的操作。

检测有风险的 OAuth 应用

获取对 Google Workspace、Microsoft 365 和 Salesforce 等应用内安装的 OAuth 应用的可见性和控制。 请求高权限且具有罕见社区用途的 OAuth 应用可能被视为有风险。

先决条件

必须使用应用连接器连接 Google 工作区、Microsoft 365 或 Salesforce 应用。

步骤

1. 1. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。 创建新的 OAuth 应用策略。

2. 选择筛选器 “应用 ”，并设置策略应涵盖的应用、Google Workspace、Microsoft 365 或 Salesforce。

3. 选择 “权限级别 筛选器”等于“适用于 Google 工作区 的高 (”，Microsoft 365) 。

4. 添加筛选器 Community use 等于 Rare。

5. 配置触发警报时要执行的操作。 例如，对于 Microsoft 365，检查策略检测到的 OAuth 应用的 Revoke 应用。

注意

支持 Google Workspace、Microsoft 365 和 Salesforce 应用商店。

后续步骤

保护组织的最佳做法

如果你遇到任何问题，我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持，请 开具支持票证。