Cloud Discovery policies

Megjegyzés:

Felhőhöz készült Microsoft Defender Alkalmazások mostantól a A Microsoft 365 Defender, amely korrelál a Microsoft Defender-csomag különböző jeleivel, és incidensszintű észlelést, vizsgálatot és hatékony válaszképességeket biztosít. További információ: Felhőhöz készült Microsoft Defender Alkalmazások a Microsoft 365 Defenderben.

Ez a cikk áttekintést nyújt arról, hogyan kezdheti el használni a Felhőhöz készült Defender-alkalmazásokat, hogy áttekintse a szervezeten belüli árnyék informatikát a Cloud Discovery használatával.

Felhőhöz készült Defender Alkalmazások segítségével felderítheti és elemezheti a szervezet környezetében használt felhőalkalmazásokat. A Cloud Discovery irányítópultja megjeleníti a környezetben futó összes felhőalkalmazást, és funkció és vállalati felkészültség szerint kategorizálja őket. Minden alkalmazás esetében felderítheti a társított felhasználókat, IP-címeket, eszközöket, tranzakciókat, és kockázatfelmérést végez anélkül, hogy ügynököt kellene telepítenie a végponteszközökre.

Új nagy mennyiségű vagy széles körű alkalmazáshasználat észlelése

A magas kihasználtságú új alkalmazások észlelése a felhasználók száma vagy a szervezeten belüli forgalom mennyisége szempontjából.

Előfeltételek

A folyamatos Cloud Discovery-jelentések automatikus naplófeltöltésének konfigurálása a folyamatos jelentések automatikus naplófeltöltésének konfigurálása vagy az Felhőhöz készült Defender-alkalmazások integrációjának engedélyezése a Defender for Endpoint szolgáltatással az Integrálás Végponthoz készült Microsoft Defender című cikkben leírtak szerint Felhőhöz készült Defender Alkalmazások.

Lépések

1. A Microsoft 365 Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Hozzon létre egy új alkalmazásfelderítési szabályzatot.

2. A Szabályzatsablon mezőben válassza az Új nagy kötetű alkalmazás vagy az Új népszerű alkalmazás lehetőséget, és alkalmazza a sablont.

3. A szabályzatszűrők testreszabása a szervezet követelményeinek megfelelően.

4. Konfigurálja a riasztás aktiválásakor végrehajtandó műveleteket.

Megjegyzés:

A rendszer minden olyan új alkalmazáshoz létrehoz egy riasztást, amelyet az elmúlt 90 napban nem fedeztek fel.

Új kockázatos vagy nem megfelelő alkalmazáshasználat észlelése

Észlelheti a szervezet potenciális expozícióját olyan felhőalkalmazásokban, amelyek nem felelnek meg a biztonsági szabványoknak.

Előfeltételek

A folyamatos Cloud Discovery-jelentések automatikus naplófeltöltésének konfigurálása a folyamatos jelentések automatikus naplófeltöltésének konfigurálása vagy az Felhőhöz készült Defender-alkalmazások integrációjának engedélyezése a Defender for Endpoint szolgáltatással az Integrálás Végponthoz készült Microsoft Defender című cikkben leírtak szerint Felhőhöz készült Defender Alkalmazások.

Lépések

1. A Microsoft 365 Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Hozzon létre egy új alkalmazásfelderítési szabályzatot.

2. A Szabályzatsablon mezőben válassza ki az Új kockázatos alkalmazássablont, és alkalmazza a sablont.

3. Az alábbi feltételeknek megfelelő alkalmazásnál állítsa be a Kockázati pontszám csúszkát és a Megfelelőségi kockázati tényezőt a riasztás aktiválni kívánt kockázati szintjének testreszabásához, és állítsa be a többi szabályzatszűrőt a szervezet biztonsági követelményeinek megfelelően.

   1. Nem kötelező: A pontosabb észlelés érdekében testre szabhatja a riasztást aktiváló forgalom mennyiségét.

   2. Ellenőrizze, hogy az eseményindító egyezik-e a szabályzattal, ha az alábbiak ugyanazon a napon történnek.

   3. Válassza ki a 2000 GB-nál nagyobb napi forgalmat (vagy egyéb).

4. Konfigurálja a riasztások aktiválásakor végrehajtandó irányítási műveleteket. Az Irányítás területen válassza a Tag app as unsanctioned (Tag app as unsanctioned) lehetőséget.
   A szabályzat egyeztetésekor az alkalmazáshoz való hozzáférés automatikusan le lesz tiltva.

5. Nem kötelező: Az alkalmazáshozzáférés letiltásához használja Felhőhöz készült Defender Alkalmazások natív integrációját a Biztonságos webátjárókkal.

Nem célzott üzleti alkalmazások használatának észlelése

Észlelheti, hogy alkalmazottai mikor használják továbbra is a nem engedélyezett alkalmazásokat a jóváhagyott, üzleti használatra kész alkalmazások helyettesítésére.

Előfeltételek

• A folyamatos Cloud Discovery-jelentések automatikus naplófeltöltésének konfigurálása a folyamatos jelentések automatikus naplófeltöltésének konfigurálása vagy az Felhőhöz készült Defender-alkalmazások integrációjának engedélyezése a Defender for Endpoint szolgáltatással az Integrálás Végponthoz készült Microsoft Defender című cikkben leírtak szerint Felhőhöz készült Defender Alkalmazások.

Lépések

1. A Felhőalkalmazás-katalógusban keressen üzleti használatra kész alkalmazásokat, és jelölje meg őket egy egyéni alkalmazáscímkével.

2. Kövesse az új nagy mennyiségű vagy széles alkalmazáshasználat észlelése című témakörben leírt lépéseket.

3. Vegyen fel egy alkalmazáscímkeszűrőt, és válassza ki az üzleti használatra kész alkalmazásokhoz létrehozott alkalmazáscímkéket.

4. Konfigurálja a riasztások aktiválásakor végrehajtandó irányítási műveleteket. Az Irányítás területen válassza a Tag app as unsanctioned (Tag app as unsanctioned) lehetőséget.
   A szabályzat egyeztetésekor az alkalmazáshoz való hozzáférés automatikusan le lesz tiltva.

5. Nem kötelező: Az alkalmazáshozzáférés letiltásához használja Felhőhöz készült Defender Alkalmazások natív integrációját a Biztonságos webátjárókkal.

Szokatlan használati minták észlelése a hálózaton

Észlelheti a rendellenes forgalomhasználati mintákat (feltöltéseket/letöltéseket) a felhőalkalmazásokban, amelyek a szervezet hálózatán belüli felhasználóktól vagy IP-címektől származnak.

Előfeltételek

A folyamatos Cloud Discovery-jelentések automatikus naplófeltöltésének konfigurálása a folyamatos jelentések automatikus naplófeltöltésének konfigurálása vagy az Felhőhöz készült Defender-alkalmazások integrációjának engedélyezése a Defender for Endpoint szolgáltatással az Integrálás Végponthoz készült Microsoft Defender című cikkben leírtak szerint Felhőhöz készült Defender Alkalmazások.

Lépések

1. A Microsoft 365 Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Hozzon létre egy új Cloud Discovery anomáliadetektálási szabályzatot.

2. A Szabályzatsablon mezőben válassza a rendellenes viselkedést a felderített felhasználóknál vagy a rendellenes viselkedést a felderített IP-címeken.

3. Testre szabhatja a szűrőket a szervezet követelményeinek megfelelően.

4. Ha csak akkor szeretne riasztást kapni, ha a kockázatos alkalmazásokat érintő anomáliák vannak, használja a kockázati pontszám szűrőit, és adja meg azt a tartományt, amelyben az alkalmazások kockázatosnak minősülnek.

5. A csúszkával válassza ki az anomáliadetektálási érzékenységet.

Megjegyzés:

A folyamatos naplófeltöltés létrehozása után az anomáliadetektálási motor néhány napig tart, amíg létre nem jön egy alapkonfiguráció (tanulási időszak) a szervezet várt viselkedéséhez. Az alapkonfiguráció létrehozása után riasztásokat fog kapni a felhasználók vagy AZ IP-címek által készített felhőalkalmazások várható forgalmi viselkedésének eltérései alapján.

Rendellenes felhőfelderítési viselkedés észlelése olyan tárolóalkalmazásokban, amelyek nem engedélyezettek

A felhasználó rendellenes viselkedésének észlelése egy nem engedélyezett felhőalapú tárolóalkalmazásban.

Előfeltételek

A folyamatos Cloud Discovery-jelentések automatikus naplófeltöltésének konfigurálása a folyamatos jelentések automatikus naplófeltöltésének konfigurálása vagy az Felhőhöz készült Defender-alkalmazások integrációjának engedélyezése a Defender for Endpoint szolgáltatással az Integrálás Végponthoz készült Microsoft Defender című cikkben leírtak szerint Felhőhöz készült Defender Alkalmazások.

Lépések

1. A Microsoft 365 Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Hozzon létre egy új Cloud Discovery anomáliadetektálási szabályzatot.

2. Válassza ki azt a szűrőalkalmazás-kategóriát, amely egyenlő a felhőbeli tárolással.

3. Válassza ki a szűrőalkalmazás címkéjét , amely nem egyenlő a Jóváhagyott beállítással.

4. Jelölje be a jelölőnégyzetet, ha riasztást szeretne létrehozni minden olyan eseményhez, amely megfelel a szabályzat súlyosságának.

5. Konfigurálja a riasztások aktiválásakor végrehajtandó műveleteket.

Kockázatos OAuth-alkalmazások észlelése

Áttekintheti és szabályozhatja az olyan alkalmazásokban telepített OAuth-alkalmazásokat , mint a Google Workspace, a Microsoft 365 és a Salesforce. Kockázatosnak tekinthetők azok az OAuth-alkalmazások, amelyek magas engedélyeket igényelnek, és amelyek ritkán használják a közösségeket.

Előfeltételek

A Google Workspace, a Microsoft 365 vagy a Salesforce alkalmazásnak alkalmazás-összekötőkkel kell kapcsolódnia.

Lépések

1. 1. A Microsoft 365 Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Hozzon létre egy új OAuth-alkalmazásszabályzatot.

2. Válassza ki a szűrőalkalmazást, és állítsa be azt az alkalmazást, amelyre a szabályzatnak vonatkoznia kell, a Google Workspacere, a Microsoft 365-re vagy a Salesforce-ra.

3. Válassza ki a Magas szintű jogosultsági szintű szűrőt (a Google Workspace és a Microsoft 365 esetén érhető el).

4. Adja hozzá a szűrőközösséget, amely a Ritka értékekkel egyenlő.

5. Konfigurálja a riasztások aktiválásakor végrehajtandó műveleteket. A Microsoft 365 esetében például ellenőrizze a szabályzat által észlelt OAuth-alkalmazások visszavonása alkalmazást .

Megjegyzés:

A Google Workspace, a Microsoft 365 és a Salesforce alkalmazástárolók támogatottak.

Következő lépések

Ajánlott eljárások a szervezet védelméhez

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.