Defender for Cloud Apps策略模板
建议尽可能从现有模板开始简化策略创建。 本文列出了Microsoft Defender for Cloud Apps提供的多个策略模板。
有关模板的完整列表,检查Microsoft Defender门户。
策略模板亮点
| 风险类别 | 模板名称 | 说明 |
|---|---|---|
| 云发现 | 协作应用合规性检查 | 当发现不符合 SOC2 和 SSAE 16 的新协作应用,并且超过 50 个用户使用且每日总使用量超过 50 MB 时发出警报。 |
| 云发现 | 云存储应用合规性检查 | 当发现不符合 SOC2、SSAE 16、ISAE 3402 和 PCI DSS 的新云存储应用,并且超过 50 个用户使用且每日总使用量超过 50 MB 时发出警报。 |
| 云发现 | CRM 应用合规性检查 | 当发现不符合 SOC2、SSAE 16、ISAE 3402、ISO 27001 和 HIPAA 的新 CRM 应用,并且被超过 50 个用户使用且日使用总量超过 50 MB 的新 CRM 应用时发出警报。 |
| 云发现 | 新建云存储应用 | 当发现由 50 个以上的用户使用且日总使用量超过 50 MB 的新云存储应用时发出警报。 |
| 云发现 | 新代码托管应用 | 当发现由 50 个以上的用户使用的新代码托管应用(每天总使用量超过 50 MB)时发出警报。 |
| 云发现 | 新建协作应用 | 当发现超过 50 个用户使用的新协作应用时发出警报,这些应用每天的总使用量超过 50 MB。 |
| 云发现 | 新建 CRM 应用 | 当发现由 50 个以上的用户使用的新 CRM 应用时发出警报,这些应用每天的总使用量超过 50 MB。 |
| 云发现 | 新的高容量应用 | 发现每日总流量超过 500 MB 的新应用时发出警报。 |
| 云发现 | 新的高上传量应用 | 发现其每日上传总流量超过 500 MB 的新应用时发出警报。 |
| 云发现 | 新建 Human-Resource 管理应用 | 当超过 50 个用户使用新发现的 Human-Resource 管理应用时发出警报,用户每天的总使用量超过 50 MB。 |
| 云发现 | 新的联机会议应用 | 当发现超过 50 个用户使用的新联机会议应用时发出警报,这些应用每天的总使用量超过 50 MB。 |
| 云发现 | 新的常用应用 | 发现超过 500 个用户使用的新应用时发出警报。 |
| 云发现 | 新的风险应用 | 当发现风险分数低于 6 且由 50 多个用户使用且日总使用量超过 50 MB 的新应用时发出警报。 |
| 云发现 | 新建销售应用 | 当发现超过 50 个用户使用的新销售应用时发出警报,该应用每天的总使用量超过 50 MB。 |
| 云发现 | 新的供应商管理系统应用 | 当发现由 50 个以上的用户使用的新供应商管理系统应用时发出警报,这些应用每天的总使用量超过 50 MB。 |
| DLP | 外部共享源代码 | 当包含源代码的文件在组织外部共享时发出警报。 |
| DLP | 包含云中检测到的 PCI 的文件 (内置 DLP 引擎) | 在批准的云应用中,Microsoft Defender for Cloud Apps内置数据丢失防护 (DLP) 引擎检测到包含支付卡信息 (PCI) 的文件时发出警报。 |
| DLP | 包含云中检测到的 PHI 的文件 (内置 DLP 引擎) | 在批准的云应用中Microsoft Defender for Cloud Apps内置数据丢失防护 (DLP) 引擎检测到具有受保护运行状况信息 (PHI) 的文件时发出警报。 |
| DLP | 包含云中检测到的私有信息的文件 (内置 DLP 引擎) | 在批准的云应用中的 DLP) 引擎 (内置数据丢失防护Microsoft Defender for Cloud Apps检测到包含个人数据的文件时发出警报。 |
| 威胁检测 | 来自非公司 IP 地址的管理活动 | 当管理员用户从未包含在公司 IP 地址范围类别中的 IP 地址执行管理活动时发出警报。 首先,转到“设置”页并设置 IP 地址范围来配置公司 IP 地址。 |
| 威胁检测 | 从有风险的 IP 地址登录 | 当用户从有风险的 IP 地址登录到批准的应用时发出警报。 默认情况下,有风险的 IP 地址类别包含具有匿名代理、TOR 或僵尸网络的 IP 地址标记的地址。 可以在“IP 地址范围设置”页面中将更多 IP 地址添加到此类别。 |
| 威胁检测 | 单个用户批量下载 | 当单个用户在 1 分钟内执行超过 50 次下载时发出警报。 |
| 威胁检测 | 对应用的多次失败用户登录尝试 | 当单个用户尝试登录到单个应用并在 5 分钟内失败超过 10 次时发出警报。 |
| 威胁检测 | 潜在的勒索软件活动 | 当用户将文件上传到可能感染勒索软件的云时发出警报。 |
| 共享控制 | 与个人电子邮件地址共享的文件 | 当文件与用户的个人电子邮件地址共享时发出警报。 |
| 共享控制 | 使用未经授权的域共享的文件共享 | 与未经授权的域 ((例如竞争对手) )共享文件时发出警报。 |
| 共享控制 | ) 文件扩展名 (共享数字证书 | 公开共享包含数字证书的文件时发出警报。 使用此模板来帮助治理 AWS 存储。 |
| 共享控制 | 可公开访问的 S3 存储桶 (AWS) | 公开共享 AWS S3 存储桶时发出警报。 |
查看策略模板的完整列表
若要查看策略模板的完整列表,请在Microsoft Defender门户中的“云应用”下,转到“策略 ->策略模板”。 例如:
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。