Megosztás a következőn keresztül:

Alkalmazásszabályzatok létrehozása az alkalmazásszabályozásban

  • Cikk

A rendellenes alkalmazás viselkedésének észlelésére és a gépi tanulási algoritmusokon alapuló riasztások létrehozására alkalmas beépített képességek mellett az alkalmazásszabályozási szabályzatok a következőket teszik lehetővé:

  • Adja meg azokat a feltételeket, amelyekkel az alkalmazásszabályozás automatikus vagy manuális szervizelés céljából riasztást küld az alkalmazás viselkedésére.

  • Az alkalmazásmegfelelési szabályzatok kikényszerítése a szervezet számára.

Az alkalmazásszabályozással OAuth-szabályzatokat hozhat létre a Microsoft Entra ID-hoz, a Google Workspace-hez és a Salesforce-hoz csatlakoztatott alkalmazásokhoz.


OAuth-alkalmazásszabályzatok létrehozása a Microsoft Entra-azonosítóhoz

A Microsoft Entra-azonosítóhoz csatlakoztatott alkalmazásokhoz hozzon létre alkalmazásszabályzatokat a megadott sablonokból, amelyek testre szabhatók, vagy hozzon létre saját egyéni alkalmazásszabályzatot.

  1. Ha új alkalmazásszabályzatot szeretne létrehozni az Azure AD-alkalmazásokhoz, nyissa meg a Microsoft Defender XDR > alkalmazásszabályozási > szabályzatait > az Azure AD-ben.

    Például:

    Screenshot of the Azure AD tab.

  2. Válassza az Új házirend létrehozása lehetőséget, majd hajtsa végre az alábbi lépések egyikét:

    • Ha új alkalmazásszabályzatot szeretne létrehozni egy sablonból, válassza ki a megfelelő sablonkategóriát, majd az abban a kategóriában szereplő sablont.
    • Egyéni szabályzat létrehozásához válassza ki az Egyéni kategóriát.

    Például:

    Screenshot of a Choose a policy template page.

Alkalmazásszabályzat-sablonok

Ha új alkalmazásszabályzatot szeretne létrehozni egy alkalmazásszabályzatsablon alapján, az Alkalmazásszabályzat-sablon kiválasztása lapon válassza ki az alkalmazássablon egy kategóriáját, válassza ki a sablon nevét, majd válassza a Tovább gombot.

Az alábbi szakaszok az alkalmazásszabályzat-sablonkategóriákat ismertetik.

Usage

Az alábbi táblázat az alkalmazáshasználatra vonatkozó riasztások létrehozásához támogatott alkalmazásszabályozási sablonokat sorolja fel.

Sablon neve Leírás
Új alkalmazás magas adathasználattal Olyan újonnan regisztrált alkalmazások keresése, amelyek nagy mennyiségű adatot töltöttek fel vagy töltöttek le a Graph API használatával. Ez a szabályzat a következő feltételeket ellenőrzi:

  • Regisztráció életkora: Hét nap vagy kevesebb (testreszabható)
  • Adathasználat: Egy nap alatt 1 GB-nál nagyobb (testreszabható)
    		•
    Felhasználók számának növekedése A felhasználók számának jelentős növekedésével rendelkező alkalmazások keresése. Ez a szabályzat a következő feltételeket ellenőrzi:

  • Időtartomány: Elmúlt 90 nap
  • Hozzájárulási felhasználók számának növelése: Legalább 50% (testreszabható)
    		•

    Permissions

    Az alábbi táblázat az alkalmazásengedélyek riasztásainak létrehozásához támogatott alkalmazásszabályozási sablonokat sorolja fel.

    Sablon neve Leírás
    Túlprivilegált alkalmazás Nem használt Graph API-engedélyekkel rendelkező alkalmazások keresése. Ezek az alkalmazások olyan engedélyeket kaptak, amelyek szükségtelenek lehetnek a rendszeres használathoz.
    Új kiemelt jogosultságú alkalmazás Keresse meg az újonnan regisztrált alkalmazásokat, amelyek írási hozzáférést és más hatékony Graph API-engedélyeket kaptak. Ez a szabályzat a következő feltételeket ellenőrzi:

  • Regisztráció életkora: Hét nap vagy kevesebb (testreszabható)
    		•
    Új alkalmazás nem Graph API-engedélyekkel Olyan újonnan regisztrált alkalmazások keresése, amelyek nem Graph API-kra vonatkozó engedélyekkel rendelkeznek. Ezek az alkalmazások kockázatot jelenthetnek, ha az általuk elérhető API-k korlátozott támogatást és frissítéseket kapnak.
    Ez a szabályzat a következő feltételeket ellenőrzi:

  • Regisztráció életkora: Hét nap vagy kevesebb (testreszabható)
  • Nem Graph API-engedélyek: Igen
    		•

    Tanúsítvány

    Az alábbi táblázat a Microsoft 365-tanúsítással kapcsolatos riasztások létrehozásához támogatott alkalmazásszabályozási sablonokat sorolja fel.

    Sablon neve Leírás
    Új nem hitelesített alkalmazás Olyan újonnan regisztrált alkalmazásokat kereshet, amelyek nem rendelkeznek közzétevői igazolással vagy Microsoft 365-tanúsítvánnyal. Ez a szabályzat a következő feltételeket ellenőrzi:

  • Regisztráció életkora: Hét nap vagy kevesebb (testreszabható)
  • Minősítés: Nincs minősítés (testreszabható)
    		•

    Egyéni szabályzatok

    Egyéni alkalmazásszabályzatot akkor használjon, ha olyan műveletet kell végrehajtania, amelyet az egyik beépített sablon még nem hajtott végre.

    1. Új egyéni alkalmazásszabályzat létrehozásához először válassza az Új szabályzat létrehozása lehetőséget a Szabályzatok lapon. Az Alkalmazásszabályzat kiválasztása sablonlapon válassza ki az Egyéni kategóriát, az Egyéni szabályzatsablont, majd a Tovább gombot.

    2. A Név és leírás lapon konfigurálja a következőket:

      • Házirend neve
      • Szabályzat leírása
      • Válassza ki a szabályzat súlyosságát, amely meghatározza a szabályzat által létrehozott riasztások súlyosságát.
        • Magas
        • Közepes
        • Alacsony

    3. A Szabályzat beállításainak és feltételeinek kiválasztása lapon válassza ki, hogy mely alkalmazásokra vonatkozik ez a szabályzat, válassza a következőt:

      • Minden alkalmazás
      • Adott alkalmazások kiválasztása
      • Minden alkalmazás, kivéve

    4. Ha adott alkalmazásokat vagy a szabályzat kivételével minden alkalmazást kiválaszt, válassza az Alkalmazások hozzáadása lehetőséget, és válassza ki a kívánt alkalmazásokat a listából. Az Alkalmazások kiválasztása panelen több olyan alkalmazást is kijelölhet, amelyre ez a szabályzat vonatkozik, majd válassza a Hozzáadás lehetőséget. Válassza a Tovább lehetőséget, ha elégedett a listával.

    5. Válassza a Szerkesztési feltételek lehetőséget. Válassza a Feltétel hozzáadása lehetőséget, és válasszon ki egy feltételt a listából. Adja meg a kívánt küszöbértéket a kiválasztott feltételhez. Ismételje meg a műveletet további feltételek hozzáadásához. A szabály mentéséhez válassza a Mentés lehetőséget, és ha befejezte a szabályok hozzáadását, válassza a Tovább gombot.

      Megjegyzés:

      Egyes szabályzatfeltételek csak a Graph API-engedélyeket elérő alkalmazásokra vonatkoznak. A csak nem Graph API-khoz hozzáférő alkalmazások értékelésekor az alkalmazásszabályozás kihagyja ezeket a szabályzatfeltételeket, és csak a többi szabályzatfeltételt ellenőrzi.

    6. Az egyéni alkalmazásszabályzatok elérhető feltételei a következők:

      Feltétel A feltételértékek elfogadottak Leírás További információ
      Regisztráció életkora Az elmúlt X napon belül A Microsoft Entra ID-ra regisztrált alkalmazások az aktuális dátumtól számított meghatározott időszakon belül
      Hitelesítés Nincs minősítés, Publisher igazolása, Microsoft 365 Certified A Microsoft 365 Minősítésű alkalmazások közzétevői igazolási jelentéssel rendelkeznek, vagy egyik sem Microsoft 365-tanúsítvány
      Közzétevő ellenőrzött Igen vagy nem Igazolt közzétevőkkel rendelkező alkalmazások Közzétevő ellenőrzése
      Alkalmazásengedélyek (csak gráf esetén) Válasszon ki egy vagy több API-engedélyt a listából Közvetlenül megadott Graph API-engedélyekkel rendelkező alkalmazások Microsoft Graph-engedélyek – referencia
      Delegált engedélyek (csak gráf) Válasszon ki egy vagy több API-engedélyt a listából Adott Graph API-engedélyekkel rendelkező alkalmazások, amelyeket egy felhasználó adott Microsoft Graph-engedélyek – referencia
      Kiemelt jogosultság ( csak gráf) Igen vagy nem Viszonylag hatékony Graph API-engedélyekkel rendelkező alkalmazások A Felhőhöz készült Defender Apps által használt logikán alapuló belső megjelölés.
      Túlprivilegált (csak gráf) Igen vagy nem Nem használt Graph API-engedélyekkel rendelkező alkalmazások Az alkalmazások által használtnál nagyobb engedélyekkel rendelkező alkalmazások.
      Nem Graph API-engedélyek Igen vagy nem Nem Graph API-kra vonatkozó engedélyekkel rendelkező alkalmazások. Ezek az alkalmazások kockázatot jelenthetnek, ha az általuk elérhető API-k korlátozott támogatást és frissítéseket kapnak.
      Adathasználat (csak grafikonon) Naponta letöltött és feltöltött X GB-nál nagyobb adat Olyan alkalmazások, amelyek a Graph API-val több adatot olvastak és írtak, mint egy adott mennyiségű adat
      Adathasználati trend (csak grafikonon) X %-os adathasználat-növekedés az előző naphoz képest Azok az alkalmazások, amelyek adatai a Graph API használatával olvasnak és írnak, meghatározott százalékkal nőttek az előző naphoz képest
      API-hozzáférés (csak Graph) Nagyobb, mint az X API-hívások száma naponta Adott számú Graph API-híváson keresztül egy nap alatt végrehajtott alkalmazások
      API-hozzáférési trend (csak grafikonon) Az API-hívások X%-os növekedése az előző naphoz képest Azok az alkalmazások, amelyekben a Graph API-hívások száma meghatározott százalékkal nőtt az előző naphoz képest
      Hozzájárulást használók száma (Nagyobb vagy kisebb, mint) X hozzájárulású felhasználók A megadottnál nagyobb vagy kevesebb felhasználó által hozzájárulást kapott alkalmazások
      A hozzájárulást használók számának növelése A felhasználók x %-os növekedése az elmúlt 90 napban Az elmúlt 90 napban több mint egy százalékkal nőtt a hozzájárulást használók száma
      Prioritási fiókhoz adott hozzájárulás Igen vagy nem A prioritást élvező felhasználók által hozzájárulást kapott alkalmazások Prioritási fiókkal rendelkező felhasználó.
      A hozzájáruló felhasználók nevei Felhasználók kijelölése a listából Adott felhasználók által hozzájárulást kapott alkalmazások
      A felhasználók hozzájárulásának szerepkörei Szerepkörök kiválasztása a listából Adott szerepkörrel rendelkező felhasználók által hozzájárulást kapott alkalmazások Több kijelölés engedélyezett.

      Ebben a listában elérhetővé kell tenni a hozzárendelt taggal rendelkező Microsoft Entra-szerepköröket.
      Elérhető bizalmassági címkék Válasszon ki egy vagy több bizalmassági címkét a listából Azok az alkalmazások, amelyek az elmúlt 30 napban speciális bizalmassági címkékkel rendelkező adatokat fértek hozzá.
      Elérhető szolgáltatások (csak grafikonon) Exchange és/vagy OneDrive és/vagy SharePoint és/vagy Teams A OneDrive-hoz, SharePointhoz vagy Exchange Online-hoz a Graph API használatával hozzáférő alkalmazások Több kijelölés engedélyezett.
      Hibaarány (csak grafikonon) A hibaarány nagyobb, mint az X% az elmúlt hét napban Azok az alkalmazások, amelyek graph API-hibaaránya az elmúlt hét napban nagyobb, mint egy megadott százalék

      A riasztás létrehozásához az összes megadott feltételnek teljesülnie kell ahhoz, hogy ez az alkalmazásházirend létrejönjön.

    7. Ha befejezte a feltételek megadását, válassza a Mentés, majd a Tovább gombot.

    8. A Szabályzatműveletek definiálása lapon válassza az Alkalmazás letiltása lehetőséget, ha azt szeretné, hogy az alkalmazásszabályozás letiltsa az alkalmazást a szabályzat alapján létrehozott riasztások esetén, majd válassza a Tovább gombot. A műveletek alkalmazásakor körültekintően járjon el, mert egy szabályzat hatással lehet a felhasználókra és a jogszerű alkalmazáshasználatra.

    9. A Szabályzat állapotának meghatározása lapon válasszon az alábbi lehetőségek közül:

      • Naplózási mód: A szabályzatok kiértékelése megtörténik, de a konfigurált műveletek nem fordulnak elő. A naplózási mód szabályzatai a házirendek listájában a Naplózás állapottal jelennek meg. Új szabályzat teszteléséhez naplózási módot kell használnia.
      • Aktív: A szabályzatok kiértékelése és a konfigurált műveletek végrehajtása megtörténik.
      • Inaktív: A szabályzatok kiértékelése nem történik meg, és a konfigurált műveletek nem lesznek végrehajtva.

    10. Gondosan tekintse át az egyéni szabályzat összes paraméterét. Ha elégedett, válassza a Küldés lehetőséget. A beállításokat úgy is módosíthatja, hogy bármelyik beállítás alatt a Szerkesztés lehetőséget választja.

    Az új alkalmazásszabályzat tesztelése és figyelése

    Az alkalmazásszabályzat létrehozása után figyelnie kell a Szabályzatok lapon, hogy biztosan regisztrálja-e az aktív riasztások és az összes riasztás várt számát a tesztelés során.

    Screenshot of the app governance policies summary page in Microsoft Defender XDR, with a highlighted policy.

    Ha a riasztások száma váratlanul alacsony, módosítsa az alkalmazásházirend beállításait, hogy biztosan helyesen konfigurálja azt az állapot beállítása előtt.

    Íme egy példa egy új szabályzat létrehozásának, tesztelésének és aktívvá tételének folyamatára:

    1. Hozza létre az új szabályzatot a súlyosság, az alkalmazások, a feltételek és a műveletek kezdeti értékre, az állapot pedig naplózási módra van állítva.
    2. Ellenőrizze a várt viselkedést, például a létrehozott riasztásokat.
    3. Ha a viselkedés nem várható, szükség szerint szerkessze a szabályzatalkalmazásokat, a feltételeket és a műveleti beállításokat, és térjen vissza a 2. lépéshez.
    4. Ha a viselkedés várható, szerkessze a szabályzatot, és módosítsa az állapotát Aktív értékre.

    Az alábbi folyamatábra például az érintett lépéseket mutatja be:

    Diagram of the create app policy workflow.

    Új szabályzat létrehozása a Salesforce-hoz és a Google Workspace-hez csatlakoztatott OAuth-alkalmazásokhoz

    Az OAuth-alkalmazásokra vonatkozó szabályzatok csak a bérlő felhasználói által engedélyezett szabályzatok esetén aktiválnak riasztásokat.

    Új alkalmazásszabályzat létrehozása a Salesforce, a Google és más alkalmazások számára:

    1. Lépjen a Microsoft Defender XDR > alkalmazásszabályozási > szabályzataihoz > Egyéb alkalmazások. Például:

      Other apps-policy creation

    2. Szűrje az alkalmazásokat az igényeinek megfelelően. Előfordulhat például, hogy meg szeretné tekinteni az összes olyan alkalmazást, amely engedélyt kér a postaládában lévő naptárak módosítására.

      Tipp.

      A Közösségi szűrővel információkat kaphat arról, hogy az alkalmazás engedélyének engedélyezése gyakori, ritka vagy ritka. Ez a szűrő akkor lehet hasznos, ha olyan alkalmazással rendelkezik, amely ritka, és olyan engedélyt kér, amely magas súlyossági szinttel rendelkezik, vagy sok felhasználótól kér engedélyt.

    3. Előfordulhat, hogy az alkalmazásokat engedélyező felhasználók csoporttagsága alapján szeretné beállítani a szabályzatot. A rendszergazdák dönthetnek például úgy, hogy beállítanak egy szabályzatot, amely visszavonja a nem gyakori alkalmazásokat, ha magas engedélyeket kérnek, csak akkor, ha az engedélyeket engedélyező felhasználó tagja a Rendszergazda istrators csoportnak.

    Például:

    new OAuth app policy.

    ANomáliadetektálási szabályzatok a Salesforce-hoz és a Google Workspace-hez csatlakoztatott OAuth-alkalmazásokhoz

    A létrehozható Oauth-alkalmazásszabályzatok mellett az Felhőhöz készült Defender alkalmazások beépített anomáliadetektálási szabályzatokat is biztosítanak, amelyek az OAuth-alkalmazások metaadatainak profilozásával azonosítják a potenciálisan rosszindulatú alkalmazásokat.

    Ez a szakasz csak a Salesforce és a Google Workspace-alkalmazások esetében releváns.

    Megjegyzés:

    Az anomáliadetektálási szabályzatok csak a Microsoft Entra-azonosítóban engedélyezett OAuth-alkalmazásokhoz érhetők el. Az OAuth-alkalmazás anomáliadetektálási szabályzatainak súlyossága nem módosítható.

    Az alábbi táblázat a Felhőhöz készült Defender Apps által biztosított beépített anomáliadetektálási szabályzatokat ismerteti:

    Házirend Leírás
    Félrevezető OAuth-alkalmazásnév Megvizsgálja a környezethez csatlakoztatott OAuth-alkalmazásokat, és riasztást aktivál, ha egy félrevezető nevű alkalmazást észlel. A félrevezető nevek, például a latin betűkre hasonlító idegen betűk arra utalhatnak, hogy egy rosszindulatú alkalmazást egy ismert és megbízható alkalmazásként próbálnak álcázni.
    OAuth-alkalmazás félrevezető közzétevői neve Megvizsgálja a környezethez csatlakoztatott OAuth-alkalmazásokat, és riasztást indít el, ha egy félrevezető közzétevői névvel rendelkező alkalmazást észlel. A félrevezető közzétevők nevei, például a latin betűkre hasonlító idegen betűk, arra utalhatnak, hogy egy rosszindulatú alkalmazást egy ismert és megbízható közzétevőtől származó alkalmazásként próbálnak álcázni.
    Rosszindulatú OAuth-alkalmazás hozzájárulása Megvizsgálja a környezethez csatlakoztatott OAuth-alkalmazásokat, és riasztást aktivál, ha egy potenciálisan rosszindulatú alkalmazás engedélyezve van. A rosszindulatú OAuth-alkalmazások adathalászati kampány részeként használhatók a felhasználók biztonsága érdekében. Ez az észlelés a Microsoft biztonsági kutatási és fenyegetésfelderítési szakértelmét használja a rosszindulatú alkalmazások azonosításához.
    Gyanús OAuth-alkalmazásfájl-letöltési tevékenységek További információ: Anomáliadetektálási szabályzatok.

    Következő lépés

    Alkalmazásszabályzatok kezelése