שתף באמצעות

בדוק סיכוני אפליקציות בענן ופעילות חשודה

  • מאמר

לאחר יישומי ענן של Microsoft Defender שלך בסביבה בענן, תזדקק לשלב למידה וחקירה. למד להשתמש יישומי ענן של Microsoft Defender כלים כדי להבין לעומק מה קורה בסביבה שלך בענן. בהתבסס על הסביבה המסוימת שלך ועל אופן השימוש בה, באפשרותך לזהות את הדרישות להגנה על הארגון שלך מפני סיכון. מאמר זה מתאר כיצד לבצע חקירה כדי להבין טוב יותר את סביבת הענן שלך.

תיוג אפליקציות כאפליקציות עם חוות דעת או ללא סעיף

שלב חשוב להבין את הענן שלך הוא לתייג אפליקציות כאפליקציות נותנות או לא מפורטות. לאחר שתסנן אפליקציה, תוכל לסנן אפליקציות שאינן מותת ולהתחיל העברה לאפליקציות אותן אתה מוזמן להשתמש מאותו סוג.

  • בפורטל Microsoft Defender, תחת אפליקציות ענן, עבור אל קטלוג היישומים בענן או גילויענן - אפליקציות >שהתגלו.

  • ברשימת האפליקציות, בשורה שבה מופיעה האפליקציה שברצונך לתייג כפריט רשום, בחר את שלוש הנקודות בסוף השורה תייג כנקודה מסומנת. ובחר באפשרות מותן.

    תיוג כפריט רשום.

שימוש בכלי החקירה

  1. בפורטל Microsoft Defender, תחת אפליקציות ענן, עבור אל יומן הפעילות וסנן לפי יישום ספציפי. בדוק את הפריטים הבאים:

    • מי ניגש לסביבת הענן שלך?

    • באילו טווחי IP?

    • מהי פעילות מנהל המערכת?

    • באילו מיקומים מנהלי מערכת מתחברים?

    • האם יש מכשירים מיושנים המחוברים לסביבת הענן שלך?

    • האם כניסות שנכשלו מגיעות מכתובות IP צפויות?

  2. בפורטל Microsoft Defender, תחת אפליקציות ענן, עבור אל קבצים ובדוק את הפריטים הבאים:

    • כמה קבצים משותפים באופן ציבורי כדי שכל אחד יוכל לגשת אליהם ללא קישור?

    • עם אילו שותפים אתה משתף קבצים (שיתוף יוצא)?

    • האם לקבצים כלשהם יש שם רגיש?

    • האם אחד מהקבצים המשותפים עם חשבון אישי של מישהו?

  3. בפורטל Microsoft Defender, עבור אל זהויות ובדוק את הפריטים הבאים:

    • האם חשבונות כלשהם לא היו פעילים בשירות מסוים במשך זמן רב? ייתכן שתוכל לבטל את הרשיון עבור משתמש זה לשירות זה.

    • האם ברצונך לדעת אילו משתמשים הם בעלי תפקיד ספציפי?

    • האם מישהו פוטר אך עדיין יש לו גישה לאפליקציה והוא יכול להשתמש בגישה זו כדי לגנוב מידע?

    • האם ברצונך לבטל הרשאה של משתמש לאפליקציה ספציפית או לדרוש ממשתמש ספציפי להשתמש באימות רב-גורמי?

    • באפשרותך לבצע הסתעפות לתוך חשבון המשתמש על-ידי בחירת שלוש הנקודות בסוף שורת החשבון של המשתמש ובחירה בפעולה שיש לבצע. בצע פעולה כגון השעיית משתמש אוהסרת שיתופי פעולה של המשתמש. אם המשתמש יובא מ- Microsoft Entra מזהה, באפשרותך גם לבחור Microsoft Entra החשבון שלך כדי לקבל גישה נוחה לתכונות מתקדמות של ניהול משתמשים. דוגמאות לתכונות ניהול כוללות ניהול קבוצות, MFA, פרטים על הכניסה של המשתמש והיכולת לחסום כניסה.

  4. בתיבה פורטל Microsoft Defender, בחר הגדרות. לאחר מכן בחר אפליקציות ענן. תחת אפליקציות מחוברות, בחר מחברי אפליקציות ולאחר מכן בחר אפליקציה. לוח המחוונים של האפליקציה נפתח ומספק לך מידע ותובנות. באפשרותך להשתמש בכרטיסיות לאורך החלק העליון כדי לבדוק:

    • באילו סוגים של מכשירים המשתמשים שלך משתמשים כדי להתחבר לאפליקציה?

    • אילו סוגי קבצים הם שומרים בענן?

    • איזו פעילות מתרחשת באפליקציה כרגע?

    • האם יש אפליקציות מחוברות של ספקים חיצוניים לסביבה שלך?

    • האם אתה מכיר את האפליקציות האלה?

    • האם הם מורשים לגשת לרמת הגישה שהם מורשים?

    • כמה משתמשים פרוסים אותם? מהי הנפוצה של אפליקציות אלה באופן כללי?

    לוח מחוונים של יישום.

  5. בפורטל Microsoft Defender, תחת אפליקציות ענן, עבור אל גילוי ענן. בחר את הכרטיסיה לוח מחוונים ובדוק את הפריטים הבאים:

    • באילו אפליקציות בענן נעשה שימוש, באיזו מידה, באילו משתמשים משתמשים?

    • לאילו מטרות הם נמצאים בשימוש?

    • כמה נתונים מועלים לאפליקציות ענן אלה?

    • באילו קטגוריות יש לך יישומי ענן מורשים, ועדיין, המשתמשים משתמשים בפתרונות חלופיים?

    • לקבלת הפתרונות החלופים, האם ברצונך לבטל את ההסתה של יישומי ענן בארגון שלך?

    • האם קיימים יישומי ענן שנמצאים בשימוש אך אינם תואמים למדיניות הארגון שלך?

חקירה לדוגמה

נניח שאתה מניח שאין לך גישה לסביבת הענן שלך באמצעות כתובות IP מתאימות. לדוגמה, נניח ת'ו. אך עליך ליצור מדיניות עבור הודעות IP לסיכון רק כדי לוודא:

  1. בפורטל Microsoft Defender, תחת אפליקציות ענן, עבור אל מדיניות ->תבניות מדיניות.

  2. בחר את מדיניות הפעילות עבור הסוג.

  3. בסוף הכניסה משורת כתובת IP מרשימה , בחר את סימן החיבור (+) כדי ליצור מדיניות חדשה.

  4. שנה את שם המדיניות כך שתוכל לזהות אותו.

  5. תחת פעילויות התואמות לכל האפשרויות הבאות, בחר + כדי להוסיף מסנן. גלול מטה אל תג IP ולאחר מכן בחר ת"ו.

    מדיניות לדוגמה עבור הודעות IP מסיכונים.

כעת, לאחר שהמדיניות הותקנה, אתה מציין שיש לך התראה על כך שהמדיניות הופרה.

  1. בפורטל Microsoft Defender, עבור אל אירועים & ->התראות והצג את ההתראה אודות הפרת המדיניות.

  2. אם אתה רואה שהיא נראית כמו הפרה אמיתית, ברצונך להכיל סיכון או לתקנו.

    כדי להכיל סיכון, באפשרותך לשלוח למשתמש הודעה כדי לשאול אם ההפרה היתה מכוונת ואם המשתמש היה מודע לכך.

    באפשרותך גם להסתעף לתוך ההתראה ולהשעות את המשתמש עד שתוכל לברר מה יש לעשות.

  3. אם זהו אירוע מותר שאינו חוזר, באפשרותך לבטל את ההתראה.

    אם היא מותרת ואתה מצפה שהיא חוזרת, באפשרותך לשנות את המדיניות כך שאירוע מסוג זה לא ייחשב להפרה בעתיד.

השלבים הבאים

אם אתה נתקל בבעיות כלשהן, אנחנו כאן כדי לעזור. כדי לקבל סיוע או תמיכה עבור בעיית המוצר שלך, פתח כרטיס תמיכה..