常见Defender for Cloud Apps威胁防护策略

Defender for Cloud Apps使你能够识别高风险使用和云安全问题，检测异常用户行为，并防止受批准的云应用中的威胁。 了解用户和管理员活动，并定义策略，以在检测到可疑行为或你认为有风险的特定活动时自动发出警报。 从大量Microsoft威胁情报和安全研究数据中提取数据，以帮助确保批准的应用具有所需的所有安全控制措施，并帮助你保持对它们的控制。

注意

将 Defender for Cloud Apps 与 Microsoft Defender for Identity 集成时，来自 Defender for Identity 的策略也会显示在策略页上。 有关 Defender for Identity 策略的列表，请参阅 安全警报。

检测和控制来自不熟悉位置的用户活动

自动检测组织中其他人从未访问的不熟悉位置的用户访问或活动。

先决条件

必须使用应用连接器连接至少一个 应用。

步骤

此检测会自动配置即用型，以在从新位置进行访问时发出警报。 无需执行任何操作即可配置此策略。 有关详细信息，请参阅 异常情况检测策略。

通过不可能的位置 (不可能的旅行) 检测泄露的帐户

在一段时间内，从 2 个不同位置的用户访问或活动自动检测，这比在两者之间旅行所需的时间短。

先决条件

必须使用应用连接器连接至少一个 应用。

步骤

1. 此检测会自动配置即用型，以在从不可能的位置进行访问时发出警报。 无需执行任何操作即可配置此策略。 有关详细信息，请参阅 异常情况检测策略。

2. 可选：可以 自定义异常情况检测策略：

   • 根据用户和组自定义检测范围

   • 选择要考虑的登录类型

   • 设置警报的敏感度首选项

3. 创建异常情况检测策略。

检测“休假”员工的可疑活动

检测用户（无薪休假且不应在任何组织资源上处于活动状态）何时访问组织的任何云资源。

先决条件

• 必须使用应用连接器连接至少一个 应用。

• 在 Microsoft Entra ID 中为未带薪休假的用户创建安全组，并添加要监视的所有用户。

步骤

1. 在“用户组”屏幕上，选择“创建用户组”并导入相关的Microsoft Entra组。

2. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。 创建新的 活动策略。

3. 将筛选器“用户组”设置为你在Microsoft Entra ID中为无薪休假用户创建的用户组的名称。

4. 可选：设置检测到冲突时要对文件采取的 治理 操作。 可用的治理操作因服务而异。 可以选择 “挂起用户”。

5. 创建文件策略。

使用过时的浏览器 OS 时检测并发出通知

检测用户何时使用具有可能给组织带来合规性或安全风险的过时客户端版本的浏览器。

先决条件

必须使用应用连接器连接至少一个 应用。

步骤

1. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。 创建新的 活动策略。

2. 将筛选器 用户代理标记 设置为 “过时浏览器 ”和 “过时操作系统”。

3. 设置检测到冲突时要对文件采取的 治理 操作。 可用的治理操作因服务而异。 在“ 所有应用”下，选择“ 通知用户”，以便用户可以对警报进行操作并更新必要的组件。

4. 创建活动策略。

在有风险的 IP 地址上检测到管理员活动时，检测并发出警报

检测从 和 IP 地址执行的管理员活动，并将其视为有风险的 IP 地址，并通知系统管理员进一步调查或对管理员帐户设置治理操作。

先决条件

• 必须使用应用连接器连接至少一个 应用。

• 从“设置”齿轮中选择“ IP 地址范围 ”，然后选择“+”，为内部子网及其出口公共 IP 地址添加 IP 地址范围。 将 “类别” 设置为 “内部”。

步骤

1. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。 创建新的 活动策略。

2. 将 “操作” 设置为 “单个活动”。

3. 将筛选器 IP 地址设置为“类别等于风险”

4. 将筛选器 “管理”活动 设置为 True

5. 设置检测到冲突时要对文件采取的 治理 操作。 可用的治理操作因服务而异。 在“ 所有应用”下，选择“ 通知用户”，以便用户可以根据警报进行操作并更新 用户经理所需的组件 CC。

6. 创建活动策略。

通过外部 IP 地址按服务帐户检测活动

检测源自非内部 IP 地址的服务帐户活动。 这可能表示可疑行为或帐户遭到入侵。

先决条件

• 必须使用应用连接器连接至少一个 应用。

• 从“设置”齿轮中选择“ IP 地址范围 ”，然后选择“+”，为内部子网及其出口公共 IP 地址添加 IP 地址范围。 将 “类别” 设置为 “内部”。

• 标准化环境中服务帐户的命名约定，例如，将所有帐户名称设置为以“svc”开头。

步骤

1. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。 创建新的 活动策略。

2. 将筛选器“用户”设置为“名称”，然后将“开头”设置为 “，然后输入命名约定，例如 svc。

3. 将筛选器 IP 地址设置为“类别”不等于“其他”和“公司”。

4. 设置检测到冲突时要对文件采取的 治理 操作。 可用的治理操作因服务而异。

5. 创建策略。

检测批量下载 (数据外泄)

检测特定用户在短时间内访问或下载大量文件的时间。

先决条件

必须使用应用连接器连接至少一个 应用。

步骤

1. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。 创建新的 活动策略。

2. 将筛选器 IP 地址 设置为 “标记 不等于 Azure Microsoft”。 这将排除基于设备的非交互式活动。

3. 将筛选器 “活动类型 ”设置为 ，然后选择所有相关的下载活动。

4. 设置检测到冲突时要对文件采取的 治理 操作。 可用的治理操作因服务而异。

5. 创建策略。

检测潜在的勒索软件活动

自动检测潜在的勒索软件活动。

先决条件

必须使用应用连接器连接至少一个 应用。

步骤

1. 此检测是现成的自动配置的，用于在检测到潜在的勒索软件风险时发出警报。 无需执行任何操作即可配置此策略。 有关详细信息，请参阅 异常情况检测策略。

2. 可以配置检测 的范围 ，并自定义触发警报时要采取的治理操作。 有关Defender for Cloud Apps如何识别勒索软件的详细信息，请参阅保护组织免受勒索软件的侵害。

注意

这适用于 Microsoft 365、Google Workspace、Box 和 Dropbox。

检测云中的恶意软件

利用与Microsoft威胁情报引擎的Defender for Cloud Apps集成，检测云环境中包含恶意软件的文件。

先决条件

• 对于 Microsoft 365 恶意软件检测，必须具有 Microsoft 365 P1 Microsoft Defender的有效许可证。
• 必须使用应用连接器连接至少一个 应用。

步骤

• 此检测会自动配置为现成，以在文件可能包含恶意软件时发出警报。 无需执行任何操作即可配置此策略。 有关详细信息，请参阅 异常情况检测策略。

检测恶意管理员接管

检测可能指示恶意意图的重复管理活动。

先决条件

必须使用应用连接器连接至少一个 应用。

步骤

1. 在Microsoft Defender门户中的“云应用”下，转到“策略->策略管理”。 创建新的 活动策略。

2. 将 “操作” 设置为 “重复活动 ”，并自定义 “最小重复活动 ”，并设置 时间范围 以符合组织的策略。

3. 将筛选器 “用户 ”设置为 “来自组 等于”，并选择所有相关管理组作为 “仅执行组件”。

4. 将筛选器 “活动类型 ”设置为与密码更新、更改和重置相关的所有活动。

5. 设置检测到冲突时要对文件采取的 治理 操作。 可用的治理操作因服务而异。

6. 创建策略。

检测可疑收件箱操作规则

如果在用户的收件箱上设置了可疑的收件箱规则，则可能表明用户帐户已泄露，并且邮箱正用于在你的组织中分发垃圾邮件和恶意软件。

先决条件

• 将 Microsoft Exchange 用于电子邮件。

步骤

• 此检测会自动配置为开箱即用，以在存在可疑收件箱规则集时发出警报。 无需执行任何操作即可配置此策略。 有关详细信息，请参阅 异常情况检测策略。

检测泄露的凭据

当网络罪犯泄露合法用户的有效密码时，他们通常会共享这些凭据。 这通常是通过在黑暗的网站上公开发布或粘贴网站或通过在黑市上交易或出售凭据来完成的。

Defender for Cloud Apps利用Microsoft的威胁情报将此类凭据与组织内部使用的凭据相匹配。

先决条件

必须使用应用连接器连接至少一个 应用。

步骤

此检测是现成的自动配置的，用于在检测到可能的凭据泄漏时发出警报。 无需执行任何操作即可配置此策略。 有关详细信息，请参阅 异常情况检测策略。

检测异常文件下载

检测用户何时在单个会话中相对于所学基线执行多个文件下载活动。 这可能表示尝试了违规行为。

先决条件

必须使用应用连接器连接至少一个 应用。

步骤

1. 此检测会自动配置即用型，以在发生异常下载时发出警报。 无需执行任何操作即可配置此策略。 有关详细信息，请参阅 异常情况检测策略。

2. 可以配置检测范围，并自定义触发警报时要执行的操作。

检测用户异常文件共享

检测用户何时在单个会话中针对所学基线执行多个文件共享活动，这可能指示尝试泄露。

先决条件

必须使用应用连接器连接至少一个 应用。

步骤

1. 此检测会自动配置即用型，以在用户执行多个文件共享时发出警报。 无需执行任何操作即可配置此策略。 有关详细信息，请参阅 异常情况检测策略。

2. 可以配置检测范围，并自定义触发警报时要执行的操作。

检测来自不常见国家/地区的异常活动

检测来自用户或组织中任何用户最近未访问或从未访问过的位置的活动。

先决条件

必须使用应用连接器连接至少一个 应用。

步骤

1. 此检测会自动配置即用型，以在不经常出现的国家/地区发生异常活动时发出警报。 无需执行任何操作即可配置此策略。 有关详细信息，请参阅 异常情况检测策略。

2. 可以配置检测范围，并自定义触发警报时要执行的操作。

注意

检测异常位置需要 7 天的初始学习期。 在学习期间，Defender for Cloud Apps不会为新位置生成警报。

检测终止用户执行的活动

检测不再是组织员工的用户何时在批准的应用中执行活动。 这可能表示仍有权访问公司资源的已离职员工进行恶意活动。

先决条件

必须使用应用连接器连接至少一个 应用。

步骤

1. 此检测自动配置为现成，以在被解雇的员工执行活动时发出警报。 无需执行任何操作即可配置此策略。 有关详细信息，请参阅 异常情况检测策略。

2. 可以配置检测范围，并自定义触发警报时要执行的操作。

后续步骤

保护组织的最佳做法

如果你遇到任何问题，我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持，请 开具支持票证。