Kebijakan perlindungan ancaman Aplikasi Defender untuk Cloud umum
Defender untuk Cloud Apps memungkinkan Anda mengidentifikasi masalah penggunaan berisiko tinggi dan keamanan cloud, mendeteksi perilaku pengguna yang tidak normal, dan mencegah ancaman di aplikasi cloud yang dikenai sanksi. Dapatkan visibilitas ke dalam aktivitas pengguna dan admin dan tentukan kebijakan untuk memperingatkan secara otomatis saat perilaku mencurigakan atau aktivitas tertentu yang Anda anggap berisiko terdeteksi. Ambil dari sejumlah besar data penelitian keamanan dan inteligensi ancaman Microsoft untuk membantu memastikan bahwa aplikasi yang diberi sanksi memiliki semua kontrol keamanan yang Anda butuhkan dan membantu Anda mempertahankan kontrol atasnya.
Catatan
Saat mengintegrasikan Aplikasi Defender untuk Cloud dengan Microsoft Defender untuk Identitas, kebijakan dari Defender for Identity juga muncul di halaman kebijakan. Untuk daftar kebijakan Pertahanan untuk Identitas, lihat Pemberitahuan Keamanan.
Mendeteksi dan mengontrol aktivitas pengguna dari lokasi yang tidak dikenal
Deteksi otomatis akses atau aktivitas pengguna dari lokasi asing yang tidak pernah dikunjungi oleh orang lain di organisasi Anda.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Langkah-langkah
Deteksi ini secara otomatis dikonfigurasi di luar kotak untuk memberi tahu Anda saat ada akses dari lokasi baru. Anda tidak perlu mengambil tindakan apa pun untuk mengonfigurasi kebijakan ini. Untuk informasi selengkapnya, lihat Kebijakan deteksi anomali.
Mendeteksi akun yang disusupi oleh lokasi yang tidak mungkin (perjalanan tidak mungkin)
Deteksi otomatis akses atau aktivitas pengguna dari 2 lokasi berbeda dalam periode waktu yang lebih singkat dari waktu yang diperlukan untuk bepergian di antara keduanya.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Langkah-langkah
Deteksi ini secara otomatis dikonfigurasi di luar kotak untuk memberi tahu Anda saat ada akses dari lokasi yang tidak mungkin. Anda tidak perlu mengambil tindakan apa pun untuk mengonfigurasi kebijakan ini. Untuk informasi selengkapnya, lihat Kebijakan deteksi anomali.
Opsional: Anda dapat menyesuaikan kebijakan deteksi anomali:
Mengkustomisasi cakupan deteksi dalam hal pengguna dan grup
Pilih jenis rincian masuk yang perlu dipertimbangkan
Mengatur preferensi sensitivitas Anda untuk pemberitahuan
Buat kebijakan deteksi anomali.
Mendeteksi aktivitas mencurigakan dari karyawan "saat cuti"
Deteksi saat pengguna, yang sedang cuti tidak dibayar dan tidak boleh aktif di sumber daya organisasi apa pun, mengakses sumber daya cloud organisasi Anda.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Buat grup keamanan di ID Microsoft Entra untuk pengguna yang tidak dibayar dan tambahkan semua pengguna yang ingin Anda pantau.
Langkah-langkah
Pada layar Grup pengguna, pilih Buat grup pengguna dan impor grup Microsoft Entra yang relevan.
Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka Kebijakan ->Manajemen kebijakan. Buat kebijakan Aktivitas baru.
Atur filter Grup pengguna sama dengan nama grup pengguna yang Anda buat di ID Microsoft Entra untuk pengguna yang belum dibayar.
Opsional: Atur tindakan Tata Kelola yang akan diambil pada file saat pelanggaran terdeteksi. Tindakan tata kelola yang tersedia bervariasi di antara layanan. Anda dapat memilih Tangguhkan pengguna.
Buat kebijakan file.
Mendeteksi dan memberi tahu saat OS browser yang sudah kedaluarsa digunakan
Deteksi saat pengguna menggunakan browser dengan versi klien kedaluarsa yang mungkin menimbulkan risiko kepatuhan atau keamanan kepada organisasi Anda.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Langkah-langkah
Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka Kebijakan ->Manajemen kebijakan. Buat kebijakan Aktivitas baru.
Atur tag agen pengguna filter sama dengan browser kedaluarsa dan sistem operasi Kedaluarsa.
Atur tindakan Tata Kelola yang akan diambil pada file saat pelanggaran terdeteksi. Tindakan tata kelola yang tersedia bervariasi di antara layanan. Di bawah Semua aplikasi, pilih Beri tahu pengguna, sehingga pengguna Anda dapat bertindak berdasarkan pemberitahuan dan memperbarui komponen yang diperlukan.
Buat kebijakan Aktivitas.
Mendeteksi dan memperingatkan saat Aktivitas admin terdeteksi pada alamat IP berisiko
Deteksi aktivitas admin yang dilakukan dari dan alamat IP yang dianggap sebagai alamat IP berisiko, dan beri tahu admin sistem untuk penyelidikan lebih lanjut atau tetapkan tindakan tata kelola pada akun admin.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Dari cog Pengaturan, pilih Rentang alamat IP dan pilih + untuk menambahkan rentang alamat IP untuk subnet internal Anda dan alamat IP publik keluar mereka. Atur Kategori ke Internal.
Langkah-langkah
Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka Kebijakan ->Manajemen kebijakan. Buat kebijakan Aktivitas baru.
Atur Act on ke Aktivitas tunggal.
Atur alamat IP filter ke Kategori sama dengan Riskan
Atur aktivitas Administratif filter ke True
Atur tindakan Tata Kelola yang akan diambil pada file saat pelanggaran terdeteksi. Tindakan tata kelola yang tersedia bervariasi di antara layanan. Di bawah Semua aplikasi, pilih Beri tahu pengguna, sehingga pengguna Anda dapat bertindak berdasarkan pemberitahuan dan memperbarui komponen yang diperlukan CC manajer pengguna.
Buat kebijakan aktivitas.
Mendeteksi aktivitas berdasarkan akun layanan dari alamat IP eksternal
Mendeteksi aktivitas akun layanan yang berasal dari alamat IP non-internal. Ini dapat menunjukkan perilaku mencurigakan atau akun yang disusupi.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Dari cog Pengaturan, pilih Rentang alamat IP dan pilih + untuk menambahkan rentang alamat IP untuk subnet internal Anda dan alamat IP publik keluar mereka. Atur Kategori ke Internal.
Standarisasi konvensi penamaan untuk akun layanan di lingkungan Anda, misalnya, atur semua nama akun untuk memulai dengan "svc".
Langkah-langkah
Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka Kebijakan ->Manajemen kebijakan. Buat kebijakan Aktivitas baru.
Atur filter Pengguna ke Nama lalu Mulai dengan dan masukkan konvensi penamaan Anda, seperti svc.
Atur alamat IP filter ke Kategori tidak sama dengan Lainnya dan Perusahaan.
Atur tindakan Tata Kelola yang akan diambil pada file saat pelanggaran terdeteksi. Tindakan tata kelola yang tersedia bervariasi di antara layanan.
Buat kebijakan.
Mendeteksi unduhan massal (penyelundupan data)
Deteksi kapan pengguna tertentu mengakses atau mengunduh sejumlah besar file dalam waktu singkat.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Langkah-langkah
Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka Kebijakan ->Manajemen kebijakan. Buat kebijakan Aktivitas baru.
Atur alamat IP filter ke Tag tidak sama dengan Microsoft Azure. Ini akan mengecualikan aktivitas berbasis perangkat non-interaktif.
Atur filter Jenis aktivitas sama dengan lalu pilih semua aktivitas unduhan yang relevan.
Atur tindakan Tata Kelola yang akan diambil pada file saat pelanggaran terdeteksi. Tindakan tata kelola yang tersedia bervariasi di antara layanan.
Buat kebijakan.
Mendeteksi potensi aktivitas Ransomware
Deteksi otomatis potensi aktivitas Ransomware.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Langkah-langkah
Deteksi ini secara otomatis dikonfigurasi secara langsung untuk memberi tahu Anda ketika ada potensi risiko ransomware yang terdeteksi. Anda tidak perlu mengambil tindakan apa pun untuk mengonfigurasi kebijakan ini. Untuk informasi selengkapnya, lihat Kebijakan deteksi anomali.
Anda dapat mengonfigurasi Cakupan deteksi dan menyesuaikan tindakan Tata Kelola yang akan diambil saat pemberitahuan dipicu. Untuk informasi selengkapnya tentang cara Defender untuk Cloud Apps mengidentifikasi Ransomware, lihat Melindungi organisasi Anda dari ransomware.
Catatan
Berlaku untuk Microsoft 365, Google Workspace, Box, dan Dropbox.
Mendeteksi malware di cloud
Deteksi file yang berisi malware di lingkungan cloud Anda dengan menggunakan integrasi aplikasi Defender untuk Cloud dengan mesin Inteligensi Ancaman Microsoft.
Prasyarat
- Untuk deteksi malware Microsoft 365, Anda harus memiliki lisensi yang valid untuk Pertahanan Microsoft untuk Microsoft 365 P1.
- Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Langkah-langkah
- Deteksi ini secara otomatis dikonfigurasi di luar kotak untuk memberi tahu Anda ketika ada file yang mungkin berisi malware. Anda tidak perlu mengambil tindakan apa pun untuk mengonfigurasi kebijakan ini. Untuk informasi selengkapnya, lihat Kebijakan deteksi anomali.
Mendeteksi pengamanan admin nakal
Mendeteksi aktivitas admin berulang yang mungkin menunjukkan niat jahat.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Langkah-langkah
Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka Kebijakan ->Manajemen kebijakan. Buat kebijakan Aktivitas baru.
Atur Undang-undang ke Aktivitas berulang dan sesuaikan Aktivitas berulang minimum dan atur Jangka Waktu untuk mematuhi kebijakan organisasi Anda.
Atur filter Pengguna ke Dari grup sama dan pilih semua grup admin terkait sebagai Actor saja.
Atur filter Jenis aktivitas sama dengan semua aktivitas yang terkait dengan pembaruan kata sandi, perubahan, dan reset.
Atur tindakan Tata Kelola yang akan diambil pada file saat pelanggaran terdeteksi. Tindakan tata kelola yang tersedia bervariasi di antara layanan.
Buat kebijakan.
Mendeteksi aturan manipulasi kotak masuk yang mencurigakan
Jika aturan kotak masuk yang mencurigakan ditetapkan pada kotak masuk pengguna, itu mungkin menunjukkan bahwa akun pengguna disusupi, dan bahwa kotak surat sedang digunakan untuk mendistribusikan spam dan malware di organisasi Anda.
Prasyarat
- Penggunaan Microsoft Exchange untuk email.
Langkah-langkah
- Deteksi ini secara otomatis dikonfigurasi di luar kotak untuk memberi tahu Anda saat ada seperangkat aturan kotak masuk yang mencurigakan. Anda tidak perlu mengambil tindakan apa pun untuk mengonfigurasi kebijakan ini. Untuk informasi selengkapnya, lihat Kebijakan deteksi anomali.
Mendeteksi kredensial yang bocor
Ketika penjahat cyber membahayakan kata sandi yang valid dari pengguna yang sah, mereka sering berbagi kredensial tersebut. Ini biasanya dilakukan dengan mempostingnya secara publik di web gelap atau menempelkan situs atau dengan memperdagangkan atau menjual kredensial di pasar gelap.
Defender untuk Cloud Apps menggunakan inteligensi Ancaman Microsoft untuk mencocokkan kredensial tersebut dengan yang digunakan di dalam organisasi Anda.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Langkah-langkah
Deteksi ini secara otomatis dikonfigurasi di luar kotak untuk memberi tahu Anda ketika kemungkinan kebocoran kredensial terdeteksi. Anda tidak perlu mengambil tindakan apa pun untuk mengonfigurasi kebijakan ini. Untuk informasi selengkapnya, lihat Kebijakan deteksi anomali.
Mendeteksi unduhan file anomali
Deteksi saat pengguna melakukan beberapa aktivitas pengunduhan file dalam satu sesi, relatif terhadap garis besar yang dipelajari. Ini bisa menunjukkan upaya pelanggaran.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Langkah-langkah
Deteksi ini secara otomatis dikonfigurasi di luar kotak untuk memperingatkan Anda ketika unduhan anomali terjadi. Anda tidak perlu mengambil tindakan apa pun untuk mengonfigurasi kebijakan ini. Untuk informasi selengkapnya, lihat Kebijakan deteksi anomali.
Anda dapat mengonfigurasi cakupan deteksi dan menyesuaikan tindakan yang akan diambil saat pemberitahuan dipicu.
Mendeteksi berbagi file anomali oleh pengguna
Deteksi saat pengguna melakukan beberapa aktivitas berbagi file dalam satu sesi sehubungan dengan garis besar yang dipelajari, yang dapat menunjukkan upaya pelanggaran.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Langkah-langkah
Deteksi ini secara otomatis dikonfigurasi di luar kotak untuk memperingatkan Anda saat pengguna melakukan beberapa berbagi file. Anda tidak perlu mengambil tindakan apa pun untuk mengonfigurasi kebijakan ini. Untuk informasi selengkapnya, lihat Kebijakan deteksi anomali.
Anda dapat mengonfigurasi cakupan deteksi dan menyesuaikan tindakan yang akan diambil saat pemberitahuan dipicu.
Mendeteksi aktivitas anomali dari negara/wilayah yang jarang terjadi
Mendeteksi aktivitas dari lokasi yang baru-baru ini atau tidak pernah dikunjungi oleh pengguna atau oleh pengguna mana pun di organisasi Anda.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Langkah-langkah
Deteksi ini secara otomatis dikonfigurasi di luar kotak untuk memperingatkan Anda ketika aktivitas anomali terjadi dari negara/wilayah yang jarang terjadi. Anda tidak perlu mengambil tindakan apa pun untuk mengonfigurasi kebijakan ini. Untuk informasi selengkapnya, lihat Kebijakan deteksi anomali.
Anda dapat mengonfigurasi cakupan deteksi dan menyesuaikan tindakan yang akan diambil saat pemberitahuan dipicu.
Catatan
Mendeteksi lokasi anomali memerlukan periode pembelajaran awal 7 hari. Selama periode pembelajaran, Defender untuk Cloud Apps tidak menghasilkan pemberitahuan untuk lokasi baru.
Mendeteksi aktivitas yang dilakukan oleh pengguna yang dihentikan
Deteksi saat pengguna yang bukan lagi karyawan organisasi Anda melakukan aktivitas di aplikasi yang diberi sanksi. Ini dapat menunjukkan aktivitas berbahaya oleh karyawan yang dihentikan yang masih memiliki akses ke sumber daya perusahaan.
Prasyarat
Anda harus memiliki setidaknya satu aplikasi yang terhubung menggunakan konektor aplikasi.
Langkah-langkah
Deteksi ini secara otomatis dikonfigurasi secara langsung untuk memberi tahu Anda saat aktivitas dilakukan oleh karyawan yang dihentikan. Anda tidak perlu mengambil tindakan apa pun untuk mengonfigurasi kebijakan ini. Untuk informasi selengkapnya, lihat Kebijakan deteksi anomali.
Anda dapat mengonfigurasi cakupan deteksi dan menyesuaikan tindakan yang akan diambil saat pemberitahuan dipicu.
Langkah berikutnya
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.