Share via

Vytváření zásad aplikace v zásadách správného řízení aplikací

  • Článek

Společně s integrovanou sadou funkcí pro detekci neobvyklého chování aplikací a generování výstrah na základě algoritmů strojového učení vám zásady zásad správného řízení aplikací umožňují:

  • Zadejte podmínky, podle kterých vás zásady správného řízení aplikací upozorní na chování aplikace za účelem automatické nebo ruční nápravy.

  • Vynucujte zásady dodržování předpisů aplikací pro vaši organizaci.

Pomocí zásad správného řízení aplikací můžete vytvářet zásady OAuth pro aplikace připojené k Microsoft Entra ID, Google Workspace a Salesforce.


Vytvoření zásad aplikací OAuth pro Microsoft Entra ID

U aplikací připojených k Microsoft Entra ID vytvořte zásady aplikací z poskytnutých šablon, které je možné přizpůsobit, nebo vytvořte vlastní zásady aplikací.

  1. Pokud chcete vytvořit nové zásady aplikace pro aplikace Azure AD, přejděte do Zásad správného řízení > aplikací XDR > v programu Microsoft Defender v Azure AD>.

    Příklad:

    Screenshot of the Azure AD tab.

  2. Vyberte možnost Vytvořit novou zásadu a proveďte jeden z následujících kroků:

    • Pokud chcete vytvořit novou zásadu aplikace ze šablony, zvolte příslušnou kategorii šablony následovanou šablonou v této kategorii.
    • Pokud chcete vytvořit vlastní zásadu , vyberte vlastní kategorii.

    Příklad:

    Screenshot of a Choose a policy template page.

Šablony zásad aplikací

Pokud chcete vytvořit novou zásadu aplikace založenou na šabloně zásad aplikace, na stránce Zvolit šablonu zásad aplikace vyberte kategorii šablony aplikace, vyberte název šablony a pak vyberte Další.

Následující části popisují kategorie šablon zásad aplikace.

Využití

V následující tabulce jsou uvedené šablony zásad správného řízení aplikací podporované k vygenerování upozornění na využití aplikací.

Název šablony Popis
Nová aplikace s vysokým využitím dat Pomocí rozhraní Graph API vyhledejte nově zaregistrované aplikace, které nahrály nebo stáhly velké objemy dat. Tato zásada kontroluje následující podmínky:

  • Věk registrace: Sedm dní nebo méně (přizpůsobitelné)
  • Využití dat: Více než 1 GB za jeden den (přizpůsobitelné)
    		•
    Zvýšení počtu uživatelů Vyhledejte aplikace, u které je možné zvýšit počet uživatelů. Tato zásada kontroluje následující podmínky:

  • Časový rozsah: Posledních 90 dnů
  • Zvýšení souhlasu uživatelů: Alespoň 50 % (přizpůsobitelné)
    		•

    Oprávnění

    Následující tabulka uvádí šablony zásad správného řízení aplikací podporované pro generování upozornění pro oprávnění aplikace.

    Název šablony Popis
    Přeprivilegovaná aplikace Vyhledejte aplikace, které mají nepoužívané oprávnění rozhraní Graph API. Těmto aplikacím byla udělena oprávnění, která by mohla být pro běžné použití zbytečná.
    Nová vysoce privilegovaná aplikace Vyhledejte nově zaregistrované aplikace, kterým byl udělen přístup k zápisu, a další výkonná oprávnění rozhraní Graph API. Tato zásada kontroluje následující podmínky:

  • Věk registrace: Sedm dní nebo méně (přizpůsobitelné)
    		•
    Nová aplikace s oprávněními jiného rozhraní Než Graph API Vyhledejte nově zaregistrované aplikace, které mají oprávnění k jiným rozhraním NEŽ Graph API. Tyto aplikace vás můžou vystavit rizikům, pokud rozhraní API, ke kterým přistupují, obdrží omezenou podporu a aktualizace.
    Tato zásada kontroluje následující podmínky:

  • Věk registrace: Sedm dní nebo méně (přizpůsobitelné)
  • Oprávnění rozhraní Non-Graph API: Ano
    		•

    Certifikace

    Následující tabulka uvádí šablony zásad správného řízení aplikací podporované pro generování výstrah pro certifikaci Microsoftu 365.

    Název šablony Popis
    Nová necertifikovaná aplikace Vyhledejte nově zaregistrované aplikace, které nemají ověření vydavatele nebo certifikaci Microsoftu 365. Tato zásada kontroluje následující podmínky:

  • Věk registrace: Sedm dní nebo méně (přizpůsobitelné)
  • Certifikace: Žádná certifikace (přizpůsobitelná)
    		•

    Vlastní zásady

    Pokud potřebujete udělat něco, co ještě není provedeno některou z předdefinovaných šablon, použijte vlastní zásady aplikací.

    1. Pokud chcete vytvořit novou vlastní zásadu aplikace, nejprve na stránce Zásady vyberte Vytvořit novou zásadu. Na stránce Zvolit šablonu zásad aplikace vyberte vlastní kategorii, šablonu vlastní zásady a pak vyberte Další.

    2. Na stránce Název a popis nakonfigurujte následující:

      • Název zásady
      • Popis zásad
      • Vyberte závažnost zásad, která nastaví závažnost výstrah vygenerovaných touto zásadou.
        • Nejvyšší
        • střední
        • Nejnižší

    3. Na stránce Zvolit nastavení a podmínky zásad zvolte, pro které aplikace se tato zásada vztahuje, vyberte:

      • Všechny aplikace
      • Výběr konkrétních aplikací
      • Všechny aplikace kromě

    4. Pokud zvolíte konkrétní aplikace nebo všechny aplikace s výjimkou této zásady, vyberte Přidat aplikace a ze seznamu vyberte požadované aplikace. V podokně Zvolit aplikace můžete vybrat více aplikací, na které se tato zásada vztahuje, a pak vybrat Přidat. Až budete se seznamem spokojení, vyberte Další .

    5. Vyberte Upravit podmínky. Vyberte Přidat podmínku a ze seznamu zvolte podmínku. Nastavte požadovanou prahovou hodnotu pro vybranou podmínku. Opakováním přidáte další podmínky. Výběrem možnosti Uložit pravidlo uložte a až budete hotovi s přidáváním pravidel, vyberte Další.

      Poznámka:

      Některé podmínky zásad platí jenom pro aplikace, které přistupují k oprávněním rozhraní Graph API. Při vyhodnocování aplikací, které přistupují jenom k rozhraním API, která nejsou rozhraním Graph API, zásady správného řízení aplikací tyto podmínky zásad přeskočí a budou pokračovat kontrolou pouze dalších podmínek zásad.

    6. Tady jsou dostupné podmínky pro vlastní zásady aplikace:

      Podmínka Přijaté hodnoty podmínky Popis Další informace
      Věk registrace Během posledních X dnů Aplikace zaregistrované k ID Microsoft Entra v zadaném období od aktuálního data
      Certifikace Bez certifikace, vydavatele potvrzeného, Microsoft 365 Certified Aplikace, které jsou certifikované microsoftem 365, mají sestavu ověření identity vydavatele nebo ani jedno Certifikace Microsoftu 365
      Ověřeno vydavatelem Ano nebo Ne Aplikace, které mají ověřené vydavatele Ověření vydavatele
      Oprávnění aplikace (jenom Graph) Ze seznamu vyberte jedno nebo více oprávnění rozhraní API. Aplikace s konkrétními oprávněními rozhraní Graph API, která byla udělena přímo Referenční informace o oprávněních Microsoft Graphu
      Delegovaná oprávnění (jenom Graph) Ze seznamu vyberte jedno nebo více oprávnění rozhraní API. Aplikace s konkrétními oprávněními rozhraní Graph API udělenými uživatelem Referenční informace o oprávněních Microsoft Graphu
      Vysoce privilegovaný (pouze Graph) Ano nebo Ne Aplikace s relativně výkonnými oprávněními rozhraní Graph API Interní označení založené na stejné logice, kterou používá Defender for Cloud Apps.
      Přeprivilegované (pouze Graf) Ano nebo Ne Aplikace s nepoužívanými oprávněními rozhraní Graph API Aplikace s více udělenými oprávněními, než tyto aplikace používají.
      Oprávnění rozhraní NON-Graph API Ano nebo Ne Aplikace s oprávněními k jiným rozhraním než Graph API Tyto aplikace vás můžou vystavit rizikům, pokud rozhraní API, ke kterým přistupují, obdrží omezenou podporu a aktualizace.
      Využití dat (jenom Graph) Větší než X GB stažených a nahraných dat za den Aplikace, které čtou a zapisovaly více než zadané množství dat pomocí rozhraní Graph API
      Trend využití dat (pouze Graf) X % zvýšení využití dat v porovnání s předchozím dnem Aplikace, jejichž data čtou a zapisují pomocí rozhraní Graph API, se oproti předchozímu dni zvýšily o zadané procento.
      Přístup k rozhraní API (jenom Graph) Více než volání rozhraní API X za den Aplikace, které za den provedly více než zadaný počet volání rozhraní Graph API
      Trend přístupu k rozhraní API (pouze Graph) X % zvýšení počtu volání rozhraní API v porovnání s předchozím dnem Aplikace, jejichž počet volání rozhraní Graph API se v porovnání s předchozím dnem zvýšil o zadané procento
      Počet souhlasných uživatelů (Větší než nebo menší než) Uživatelé se souhlasem X Aplikace, které udělil souhlas většímu nebo menšímu počtu uživatelů, než je zadaný
      Zvýšení souhlasu uživatelů X % zvýšení počtu uživatelů za posledních 90 dnů Aplikace, jejichž počet souhlasných uživatelů se během posledních 90 dnů zvýšil o určité procento
      Udělení souhlasu s prioritním účtem Ano nebo Ne Aplikace, které udělily souhlas uživatelům s prioritou Uživatel s prioritním účtem.
      Jména uživatelů s souhlasem Výběr uživatelů ze seznamu Aplikace, které byly uděleny souhlasem konkrétních uživatelů
      Role souhlasu uživatelů Výběr rolí ze seznamu Aplikace, které uživatelé s konkrétními rolemi udělili souhlas Je povoleno více výběrů.

      V tomto seznamu by měla být dostupná jakákoli role Microsoft Entra s přiřazeným členem.
      Přístup k popiskům citlivosti V seznamu vyberte jeden nebo více popisků citlivosti. Aplikace, které během posledních 30 dnů přistupovaly k datům s určitými popisky citlivosti.
      Přístup ke službám (pouze Graph) Exchange a/nebo OneDrive a/nebo SharePoint a/nebo Teams Aplikace, které používaly OneDrive, SharePoint nebo Exchange Online pomocí rozhraní Graph API Je povoleno více výběrů.
      Míra chyb (pouze Graf) Míra chyb je za posledních 7 dnů větší než X % Aplikace, jejichž míra chyb rozhraní Graph API za posledních 7 dnů je větší než zadané procento

      Aby se vygenerovala výstraha, musí být splněny všechny zadané podmínky pro tuto zásadu aplikace.

    7. Po zadání podmínek vyberte Uložit a pak vyberte Další.

    8. Na stránce Definovat akce zásad vyberte Zakázat aplikaci, pokud chcete, aby zásady správného řízení aplikací zakázaly aplikaci, když se vygeneruje upozornění na základě této zásady, a pak vyberte Další. Při použití akcí buďte opatrní, protože zásady můžou mít vliv na uživatele a legitimní použití aplikací.

    9. Na stránce Definovat stav zásad vyberte jednu z těchto možností:

      • Režim auditu: Zásady se vyhodnocují, ale nakonfigurované akce se neprojeví. V seznamu zásad se zobrazí zásady režimu auditu se stavem Audit . Pro testování nových zásad byste měli použít režim auditování.
      • Aktivní: Zásady se vyhodnocují a konfigurují akce.
      • Neaktivní: Zásady se nevyhodnocují a nakonfigurované akce se neprojeví.

    10. Pečlivě zkontrolujte všechny parametry vlastních zásad. Až budete spokojeni, vyberte Odeslat . Můžete se také vrátit zpět a změnit nastavení výběrem možnosti Upravit pod některým z nastavení.

    Testování a monitorování nových zásad aplikací

    Teď, když je zásada aplikace vytvořená, byste ji měli monitorovat na stránce Zásady , abyste měli jistotu, že během testování registruje očekávaný počet aktivních výstrah a celkový počet upozornění.

    Screenshot of the app governance policies summary page in Microsoft Defender XDR, with a highlighted policy.

    Pokud je počet výstrah neočekávaně nízkou hodnotou, upravte nastavení zásad aplikace, abyste měli jistotu, že jste je správně nakonfigurovali, než nastavíte její stav.

    Tady je příklad procesu pro vytvoření nové zásady, jeho otestování a následné aktivní:

    1. Vytvořte novou zásadu se závažností, aplikacemi, podmínkami a akcemi nastavenými na počáteční hodnoty a stav nastavený na režim auditování.
    2. Zkontrolujte očekávané chování, například vygenerované výstrahy.
    3. Pokud chování není očekávané, upravte aplikace zásad, podmínky a nastavení akcí podle potřeby a vraťte se ke kroku 2.
    4. Pokud se chování očekává, upravte zásadu a změňte její stav na Aktivní.

    Například následující vývojový diagram znázorňuje příslušné kroky:

    Diagram of the create app policy workflow.

    Vytvoření nové zásady pro aplikace OAuth připojené k Salesforce a Google Workspace

    Zásady pro aplikace OAuth aktivují upozornění jenom na zásady, které mají oprávnění uživatelé v tenantovi.

    Vytvoření nové zásady aplikací pro Salesforce, Google a další aplikace:

    1. Přejděte do zásad správného řízení > aplikací XDR > v programu Microsoft Defender– Jiné aplikace>. Příklad:

      Other apps-policy creation

    2. Filtrujte aplikace podle svých potřeb. Můžete například chtít zobrazit všechny aplikace, které požadují oprávnění k úpravě kalendářů ve vaší poštovní schránce.

      Tip

      Pomocí filtru komunity můžete získat informace o tom, jestli je povolení oprávnění k této aplikaci běžné, neobvyklé nebo vzácné. Tento filtr může být užitečný v případě, že máte aplikaci, která je vzácná a vyžaduje oprávnění s vysokou úrovní závažnosti nebo žádostí od mnoha uživatelů.

    3. Můžete chtít nastavit zásady na základě členství ve skupinách uživatelů, kteří aplikace autorizovali. Správce se například může rozhodnout nastavit zásadu, která odvolá neobvyklé aplikace, pokud požádá o vysoká oprávnění, pouze pokud je uživatel, který oprávnění autorizoval, členem skupiny Správa istrators.

    Příklad:

    new OAuth app policy.

    Zásady detekce anomálií pro aplikace OAuth připojené k Salesforce a Google Workspace

    Kromě zásad aplikací OAuth, které můžete vytvořit, poskytuje Defender pro cloudové aplikace předem připravenou detekci anomálií, které profilují metadata aplikací OAuth a identifikují ty, které jsou potenciálně škodlivé.

    Tato část je relevantní jenom pro aplikace Salesforce a Google Workspace.

    Poznámka:

    Zásady detekce anomálií jsou dostupné jenom pro aplikace OAuth, které jsou autorizované ve vašem ID Microsoft Entra. Závažnost zásad detekce anomálií aplikace OAuth nelze upravit.

    Následující tabulka popisuje předvyhleděné zásady detekce anomálií, které poskytuje Defender for Cloud Apps:

    Zásady Popis
    Zavádějící název aplikace OAuth Prohledá aplikace OAuth připojené k vašemu prostředí a aktivuje výstrahu při zjištění aplikace s zavádějícím názvem. Zavádějící názvy, jako jsou cizí písmena podobná latince, by mohly znamenat pokus o maskování škodlivé aplikace jako známé a důvěryhodné aplikace.
    Zavádějící název vydavatele pro aplikaci OAuth Prohledá aplikace OAuth připojené k vašemu prostředí a aktivuje upozornění, když se zjistí aplikace s zavádějícím názvem vydavatele. Zavádějící názvy vydavatelů, jako jsou cizí písmena podobná latince, by mohly znamenat pokus o maskování škodlivé aplikace jako aplikace pocházející ze známého a důvěryhodného vydavatele.
    Souhlas aplikace OAuth se zlými úmysly Prohledá aplikace OAuth připojené k vašemu prostředí a aktivuje výstrahu, když je potenciálně škodlivá aplikace autorizovaná. Škodlivé aplikace OAuth se můžou používat jako součást phishingové kampaně při pokusu o napadení uživatelů. Tato detekce používá k identifikaci škodlivých aplikací výzkum zabezpečení a analýzy hrozeb od Microsoftu.
    Podezřelé aktivity stahování souborů aplikace OAuth Další informace najdete v tématu Zásady detekce anomálií.

    Další krok

    Správa zásad aplikací