雲端探索原則

本文提供如何開始使用 Defender for Cloud Apps 的概觀，以透過雲端探索來了解整個組織的影子 IT。

Defender for Cloud Apps 可讓您探索和分析組織環境中使用的雲端應用程式。 雲端探索儀錶板會顯示在環境中執行的所有雲端應用程式，並依功能和企業整備進行分類。 針對每個應用程式，探索相關聯的使用者、IP 位址、裝置、交易，並進行風險評估，而不需要在端點裝置上安裝代理程式。

偵測新的大量或廣泛應用程式使用

根據組織中的用戶數目或流量，偵測高度使用的新應用程式。

必要條件

設定連續雲端探索報告的自動記錄上傳，如設定連續報告的自動記錄上傳，或啟用與適用於端點的 Defender 的 Defender for Cloud Apps 整合中所述，如整合 適用於端點的 Microsoft DefenderDefender for Cloud Apps。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 應用程式探索原則。

2. 在 [ 原則範本] 字 段中，選取 [ 新增大量應用程式 ] 或 [ 新增熱門應用程式 ]，然後套用範本。

3. 自定義原則篩選條件以符合您組織的需求。

4. 設定觸發警示時要採取的動作。

注意事項

過去 90 天內未探索到的每個新應用程式都會產生警示一次。

偵測新的有風險或不符合規範的應用程式使用

在不符合安全性標準的雲端應用程式中偵測組織的潛在曝光。

必要條件

設定連續雲端探索報告的自動記錄上傳，如設定連續報告的自動記錄上傳，或啟用與適用於端點的 Defender 的 Defender for Cloud Apps 整合中所述，如整合 適用於端點的 Microsoft DefenderDefender for Cloud Apps。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 應用程式探索原則。

2. 在 [原則 範本] 字 段中，選取 [新增有風險的應用程式 ] 範本並套用範本。

3. 在 [符合下列所有專案的應用程式 ] 下，設定 [風險分數 ] 滑桿和 [合規性風險因素]，以自定義您想要觸發警示的風險層級，並設定其他原則篩選條件以符合組織的安全性需求。

   1. 選擇性：若要取得更有意義的偵測，請自定義將觸發警示的流量。

   2. 如果下列所有專案都在同一天發生，請核取 [觸發原則相符專案] 複選框。

   3. 選 取 [每日流量 大於 2000 GB (或其他) 。

4. 設定觸發警示時要採取的治理動作。 在 [ 控管] 底下，選取 [ 將應用程式標記為未批准]。
   比對原則時，將會自動封鎖應用程式的存取。

5. 選擇性：利用 Defender for Cloud Apps 與安全 Web 閘道的原生整合來封鎖應用程式存取。

偵測未批准商務應用程式的使用

您可以偵測您的員工何時繼續使用未批准的應用程式來取代已核准的商務就緒應用程式。

必要條件

• 設定連續雲端探索報告的自動記錄上傳，如設定連續報告的自動記錄上傳，或啟用與適用於端點的 Defender 的 Defender for Cloud Apps 整合中所述，如整合 適用於端點的 Microsoft DefenderDefender for Cloud Apps。

步驟

1. 在雲端應用程式目錄中，搜尋您的商務用應用程式，並以 自定義應用程式標籤它們。

2. 請遵循 偵測新的大量或廣泛應用程式使用量中的步驟。

3. 新增 應用程式標籤 篩選，並選擇您為企業就緒應用程式建立的應用程式標籤。

4. 設定觸發警示時要採取的治理動作。 在 [控管] 底下，選取 [ 將應用程式標記為未批准]。
   比對原則時，將會自動封鎖應用程式的存取。

5. 選擇性：利用 Defender for Cloud Apps 與安全 Web 閘道的原生整合來封鎖應用程式存取。

偵測網路上不尋常的使用模式

偵測異常流量使用模式 (雲端應用程式中上傳/下載) ，這些模式源自組織網路內的使用者或IP位址。

必要條件

設定連續雲端探索報告的自動記錄上傳，如設定連續報告的自動記錄上傳，或啟用與適用於端點的 Defender 的 Defender for Cloud Apps 整合中所述，如整合 適用於端點的 Microsoft DefenderDefender for Cloud Apps。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 Cloud Discovery 異常偵測原則。

2. 在 [ 原則範本] 字 段中，選取 [探索到的使用者中的異常行為 ] 或 [ 探索到的IP 位址中的異常行為]。

3. 自訂篩選條件以符合您組織的需求。

4. 如果您只想要在有涉及有風險應用程式的異常狀況時收到警示，請使用 風險分數 篩選，並設定將應用程式視為具風險的範圍。

5. 使用滑桿選 取異常偵測敏感度。

注意事項

建立連續記錄上傳之後，異常偵測引擎需要幾天的時間，直到針對組織中的預期行為建立基準 (學習期間) 為止。 建立基準之後，您會根據使用者或IP位址在雲端應用程式上的預期流量行為不一致，開始接收警示。

在未獲批准的記憶體應用程式中偵測異常雲端探索行為

在未獲批准的雲端記憶體應用程式中偵測用戶的異常行為。

必要條件

設定連續雲端探索報告的自動記錄上傳，如設定連續報告的自動記錄上傳，或啟用與適用於端點的 Defender 的 Defender for Cloud Apps 整合中所述，如整合 適用於端點的 Microsoft DefenderDefender for Cloud Apps。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 Cloud Discovery 異常偵測原則。

2. 選取篩選 應用程式類別 等於 雲端記憶體。

3. 選取篩選 應用程式標籤 不等於 [已批准]。

4. 選取複選框，為 每個符合原則嚴重性的事件建立警示。

5. 設定觸發警示時要採取的動作。

偵測有風險的 OAuth 應用程式

檢視並控制安裝在Google Workspace、Microsoft 365和 Salesforce 等應用程式內的 OAuth 應用程式 。 要求高許可權且很少使用社群的 OAuth 應用程式可能會被視為有風險。

必要條件

您必須讓Google Workspace、Microsoft 365 或 Salesforce 應用程式使用 應用程式連接器連線。

步驟

1. 1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 OAuth 應用程式原則。

2. 選取篩選 應用程式 ，並設定原則應該涵蓋的應用程式、Google Workspace、Microsoft 365 或 Salesforce。

3. 選 取 [許可權層級 篩選條件] 等於 [ 高 (適用於 Google Workspace，Microsoft 365) 。

4. 新增篩選 Community use 等於 Rare。

5. 設定觸發警示時要採取的動作。 例如，針對 Microsoft 365，請檢查原則偵測到的 OAuth 應用程式 撤銷應用程式 。

注意事項

支援Google Workspace、Microsoft 365和Salesforce 應用程式商店。

後續步驟

保護組織的最佳做法

如果您遇到任何問題，我們在這裡提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。