使用原則控制雲端應用程式

發行項
11/20/2024

原則可以讓您定義您想要使用者在雲端中採取的行為方式。原則可以讓您在雲端環境中偵測風險行為、違規或可疑的資料點和活動。如有需要，您可以整合補救工作流程，以達成完整的風險降低。有多種原則類型與您想要收集關於雲端環境的不同資訊類型以及您可能希望採取的補救動作類型相關。

例如，如果您想要隔離某個資料違規威脅，那麼您需要的原則類型，會不同於您想要封鎖某個正由貴組織使用具有風險的雲端應用程式所需要的原則類型。

原則類型

當您查看 [原則管理 ] 頁面時，可以使用類型和圖示來辨別各種原則和範本，以查看可用的原則。這些原則可以一起在 [所有原則] 索引標籤或其各自的類別索引標籤中檢視。可用的原則取決於數據源，以及您在組織 Defender for Cloud Apps 中啟用的內容。例如，如果您上傳了雲端探索記錄，則會顯示與雲端探索相關的原則。

您可以建立下列類型的原則：

原則類型	類別	使用
活動原則	威脅偵測	活動原則可讓您使用應用程式提供者的 API 強制執行各種自動化程式。這些原則可讓您監視由不同使用者執行的特定活動，或追蹤意外高頻率的特定類型活動。深入了解
異常偵測原則	威脅偵測	異常偵測原則可讓您在雲端上尋找不尋常的活動。偵測是根據您設定當發生與貴組織基準或使用者一般活動不同的情況時發出警示的風險因素。深入了解
Oauth 應用程式原則	威脅偵測	OAuth 應用程式原則可讓您調查每個 OAuth 應用程式要求的許可權，並自動核准或撤銷許可權。這些是隨附於 Defender for Cloud Apps 且無法建立的內建原則。深入了解
惡意軟體偵測原則	威脅偵測	惡意代碼偵測原則可讓您識別雲端記憶體中的惡意檔案，並自動核准或撤銷它。這是內建原則，隨附 Defender for Cloud Apps，無法建立。深入了解
檔案原則	資訊保護	檔案原則可讓您掃描雲端應用程式中指定的檔案或檔類型， (共用、與外部網域共用) 、數據 (專屬資訊、個人資料、信用卡資訊和其他類型的數據) ，並將治理動作套用至檔案， (控管動作是雲端應用程式特定) 。深入了解
存取原則	條件式存取	存取原則可讓您即時監視和控制使用者登入您的雲端應用程式。深入了解
工作階段原則	條件式存取	工作階段原則可讓您即時監視及控制雲端應用程式中的使用者活動。深入了解
應用程式探索原則	影子 IT	應用程式探索原則可讓您在組織中偵測到新應用程式時，設定通知警示。深入了解
雲端探索異常偵測原則	影子 IT	雲端探索異常偵測原則會查看您用於探索雲端應用程式和搜尋異常事件的記錄。例如，當從未使用過 Dropbox 的使用者突然上傳 600 GB 到 Dropbox，或者特定應用程式上的交易比平常超出許多時。深入了解

識別風險

Defender for Cloud Apps 可協助您降低雲端的不同風險。您可以將任何原則和警示設定為與下列其中一項風險相關聯：

存取控制： 誰從何處存取什麼？

持續監視行為並偵測異常活動，包括高風險內部和外部攻擊，並套用原則來警示、封鎖或要求應用程式內任何應用程式或特定動作的身分識別驗證。根據使用者、裝置和地理位置啟用內部部署與行動存取控制原則，並提供粗略的封鎖和細微的檢視、編輯和封鎖。偵測可疑的登入事件，包括多重要素驗證失敗、已停用的帳戶登入失敗，以及模擬事件。
合規： 您的合規性需求是否違反？

編目和識別敏感或受管制的數據，包括儲存在檔案同步服務中之每個檔案的共享許可權，以確保符合PCI、SOX和 HIPAA 等法規
組態控件： 是否正在對您的設定進行未經授權的變更？

監視設定變更，包括遠端設定操作。
雲端探索： 新的應用程式是否正在您的組織中使用？您是否遇到有您不知道的影子 IT 應用程式正在使用的問題？

根據法規和產業認證及最佳做法，為每個雲端應用程式的整體風險評分。可讓您監視每個雲端應用程式的使用者數目、活動、流量和一般使用時數。
DLP： 是否公開共用專屬檔案？您需要隔離檔案嗎？

內部部署 DLP 整合會透過現有的內部部署 DLP 解決方案提供整合和封閉式迴路補救。
特殊許可權帳戶： 您需要監視系統管理員帳戶嗎？

針對特殊權限使用者和系統管理員進行即時活動監視和報告。
共用控制項： 如何在雲端環境中共享數據？

檢查雲端的檔案及內容，並強制執行內部和外部共用原則。監視共同作業並強制執行共用原則，例如阻止檔案在貴組織外部共用。
威脅偵測： 是否有可疑的活動威脅您的雲端環境？

透過電子郵件接收任何原則違規或活動閾值的即時通知。藉由套用機器學習演算法，Defender for Cloud Apps 可讓您偵測可能顯示使用者正在誤用資料的行為。

如何控制風險

遵循此程式以使用原則來控制風險：

從範本或查詢建立原則。
微調原則以達到預期的結果。
新增自動化動作以自動回應和補救風險。

建立原則

您可以使用 Defender for Cloud Apps 原則範本作為所有原則的基礎，或從查詢建立原則。

原則範本可協助您設定正確的篩選條件和設定，以偵測環境中感興趣的特定事件。範本包含所有類型的原則，而且可以套用至各種服務。

若要從原則範本建立原則，請執行下列步驟：

在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則範本]。
選取您要使用之範本數據列最右邊的加 + 號 () 。隨即開啟 [建立原則] 頁面，其中包含範本的預先定義組態。
視需要修改自定義原則的範本。這個新範本式原則的每個屬性和字段都可以根據您的需求進行修改。

注意事項

使用原則篩選條件時， [包含 ] 只會搜尋完整字詞 – 以逗號、點、空格或底線分隔。例如，如果您搜尋 惡意代碼 或病毒，它會找到 virus_malware_file.exe 但找不到 malwarevirusfile.exe。如果您搜尋 malware.exe，則會在其檔名中找到具有惡意代碼或 exe 的所有檔案，而如果您搜尋 “malware.exe” (並加上引號) 則只會找到完全包含 “malware.exe” 的檔案。
等於只會搜尋完整的字串，例如，如果您搜尋 malware.exe 它會找到 malware.exe 但找不到 malware.exe.txt。
建立以範本為基礎的新原則之後，新原則的連結會出現在建立原則的範本旁邊原則範本數據表的 [鏈接的原則] 資料行中。您可以從每個範本建立任意數量的原則，這些原則都會連結到原始範本。連結可讓您追蹤使用相同範本建置的所有原則。

或者，您可以 在調查期間建立原則。如果您正在調查 活動記錄、檔案或身分識別，並向下切入以搜尋特定專案，您可以隨時根據調查結果建立新的原則。

例如，如果您正在查看 活動記錄，並查看辦公室 IP 位址外部的系統管理員活動，您可能會想要建立一個。

若要根據調查結果建立原則，請執行下列步驟：

在 Microsoft Defender 入口網站中，移至下列其中一項：
- Cloud Apps ->活動記錄
- Cloud Apps ->Files
- 資產 ->身分識別
使用頁面頂端的篩選條件，將搜尋結果限製為可疑區域。例如，在 [活動記錄] 頁面中，選取 [ 系統管理活動] ，然後選取 [True]。然後，在 [IP 位址] 下選取 [ 類別 ]，然後將值設定為不包含您為已辨識網域建立的IP位址類別，例如您的系統管理員、公司和 VPN IP 位址。
在查詢下方， 從搜尋中選取 [新增原則]。
[建立原則] 頁面隨即開啟，其中包含您在調查中使用的篩選條件。
視需要修改自定義原則的範本。這個以調查為基礎的新原則的每個屬性和欄位都可以根據您的需求進行修改。

注意事項

使用原則篩選條件時， [包含 ] 只會搜尋完整字詞 – 以逗號、點、空格或底線分隔。例如，如果您搜尋 惡意代碼 或病毒，它會找到 virus_malware_file.exe 但找不到 malwarevirusfile.exe。
等於只會搜尋完整的字串，例如，如果您搜尋 malware.exe 它會找到 malware.exe 但找不到 malware.exe.txt。

注意事項

如需設定原則欄位的詳細資訊，請參閱對應的原則檔：

用戶活動原則

數據保護原則

雲端探索原則