Menyelidiki peringatan pencegahan kehilangan data di Pertahanan Microsoft untuk Cloud Apps
Saat kebijakan File Aplikasi Defender untuk Cloud dibuat dengan konfigurasi terkait DLP, pemberitahuan pelanggaran kebijakan file dapat diselidiki di area Pemberitahuan Defender untuk Cloud Apps.
Untuk Mengelola pemberitahuan:
Dari halaman Pemberitahuan, pilih Buka untuk Status Resolusi.
Bagian dasbor ini memberikan visibilitas penuh terhadap aktivitas atau pelanggaran yang mencurigakan terhadap kebijakan yang Anda tetapkan. Ini dapat membantu Anda melindungi postur keamanan yang Anda tentukan untuk lingkungan cloud Anda.
Untuk setiap pemberitahuan, Anda perlu menyelidiki dan menentukan sifat pelanggaran dan respons yang diperlukan.
Anda dapat memfilter pemberitahuan berdasarkan jenis Pemberitahuan atau berdasarkan Keparahan untuk memproses yang paling penting terlebih dahulu.
Pilih pemberitahuan tertentu. Bergantung pada jenis pemberitahuannya, Anda akan melihat berbagai tindakan yang dapat diambil sebelum menyelesaikan pemberitahuan.
Anda dapat memfilter berdasarkan Aplikasi - Aplikasi yang terdaftar adalah aplikasi yang aktivitasnya terdeteksi oleh Pertahanan untuk Cloud Apps.
Ada tiga jenis pelanggaran yang perlu Anda tangani saat menyelidiki pemberitahuan:
Pelanggaran serius - Pelanggaran serius memerlukan respons segera.
Contoh:
Untuk pemberitahuan aktivitas yang mencurigakan, Anda mungkin ingin menangguhkan akun hingga pengguna mengubah kata sandi mereka.
Untuk kebocoran data, Anda mungkin ingin membatasi izin atau mengkarantina file.
Jika aplikasi baru ditemukan, Anda mungkin ingin memblokir akses ke layanan di proksi atau firewall Anda.
Pelanggaran yang dipertanyakan - Pelanggaran yang dipertanyakan memerlukan penyelidikan lebih lanjut.
Anda dapat menghubungi pengguna atau manajer pengguna tentang sifat aktivitas.
Biarkan aktivitas terbuka hingga Anda memiliki informasi lebih lanjut.
Pelanggaran yang sah atau perilaku ganjil - Pelanggaran yang diotorisasi atau perilaku ganjil dapat dihasilkan dari penggunaan yang sah.
- Anda dapat menutup pemberitahuan.
Setiap kali Anda menutup pemberitahuan, penting untuk mengirimkan umpan balik tentang mengapa Anda menutup pemberitahuan. Tim Pertahanan untuk Cloud Apps menggunakan umpan balik ini sebagai indikasi keakuratan peringatan. Informasi ini kemudian digunakan untuk menyempurnakan model pembelajaran mesin kami untuk peringatan di masa depan. Anda dapat mengikuti panduan ini ketika memutuskan cara mengategorikan pemberitahuan:
Jika penggunaan yang sah memicu pemberitahuan dan itu bukan masalah keamanan, itu mungkin salah satu dari jenis berikut:
Jinak positif: Pemberitahuan tersebut akurat, tetapi aktivitasnya sah. Anda dapat menutup pemberitahuan dan mengatur alasan ke Keparahan aktual lebih rendah atau Tidak menarik.
Positif palsu: Pemberitahuan tidak akurat. Tutup pemberitahuan dan tetapkan alasan ke Pemberitahuan tidak akurat.
Jika terlalu banyak kebisingan untuk menentukan legitimasi dan akurasi pemberitahuan, tutup dan tetapkan alasan ke Terlalu banyak pemberitahuan serupa.
Positif sejati: Jika pemberitahuan terkait dengan peristiwa berisiko aktual yang dilakukan secara jahat atau tidak sengaja oleh orang dalam atau orang luar, Anda harus mengatur peristiwa ke Menyelesaikan setelah semua tindakan yang sesuai telah diambil untuk memulihkan peristiwa.
Meskipun Anda tertarik dengan pemberitahuan kebijakan File untuk DLP, daftar pemberitahuan akan menampilkan banyak jenis pemberitahuan yang berbeda. Penting untuk memahami berbagai jenis pemberitahuan karena pemberitahuan non-DLP ini juga dapat memberikan wawasan tentang insiden keamanan.
Tabel berikut ini menyediakan daftar jenis pemberitahuan yang bisa dipicu dan merekomendasikan cara mengatasinya.
| Jenis pemberitahuan | Deskripsi | Resolusi yang disarankan |
|---|---|---|
| Pelanggaran kebijakan aktivitas | Jenis pemberitahuan ini adalah hasil dari kebijakan yang Anda buat. | Untuk bekerja dengan jenis pemberitahuan ini secara massal, kami sarankan Anda bekerja di Pusat Azure Policy untuk menguranginya. Sesuaikan kebijakan untuk mengecualikan entitas yang bising dengan menambahkan lebih banyak filter dan kontrol yang lebih terperinci. Jika kebijakan akurat, pemberitahuan dijamin, dan itu adalah pelanggaran yang ingin Anda hentikan segera, pertimbangkan untuk menambahkan remediasi otomatis dalam kebijakan. |
| Pelanggaran kebijakan file | Jenis pemberitahuan ini adalah hasil dari kebijakan yang Anda buat. | Untuk bekerja dengan jenis pemberitahuan ini secara massal, kami sarankan Anda bekerja di Pusat Azure Policy untuk menguranginya. Sesuaikan kebijakan untuk mengecualikan entitas yang bising dengan menambahkan lebih banyak filter dan kontrol yang lebih terperinci. |
| Akun yang disusupi | Jenis peringatan ini dipicu saat Pertahanan untuk Cloud Apps mengidentifikasi akun yang telah disusupi. Ini berarti ada kemungkinan besar bahwa akun itu digunakan dengan cara yang tidak sah. | Kami menyarankan agar Anda menangguhkan akun sampai Anda dapat menghubungi pengguna dan memastikan mereka mengubah kata sandi mereka. |
| Akun tidak aktif | Pemberitahuan ini dipicu saat akun belum digunakan dalam 60 hari di salah satu aplikasi cloud yang tersambungkan. | Hubungi pengguna dan manajer pengguna untuk menentukan apakah akun masih aktif. Jika tidak, tangguhkan pengguna dan hentikan lisensi untuk aplikasi. |
| Pengguna admin baru | Memberitahukan Anda tentang perubahan akun istimewa untuk aplikasi yang tersambung. | Konfirmasikan bahwa izin admin baru diperlukan untuk pengguna. Jika tidak, sarankan untuk mencabut hak istimewa admin untuk mengurangi paparan. |
| Lokasi admin baru | Memberitahukan Anda tentang perubahan akun istimewa untuk aplikasi yang tersambung. | Konfirmasikan bahwa rincian masuk dari lokasi ganjil ini sah. Jika tidak, sarankan untuk mencabut izin admin atau menangguhkan akun untuk mengurangi paparan. |
| Lokasi baru | Pemberitahuan informatif tentang akses ke aplikasi yang tersambung dari lokasi baru, dan hanya dipicu sekali per negara/wilayah. | Menyelidiki aktivitas pengguna tertentu. |
| Layanan baru ditemukan | Pemberitahuan ini adalah pemberitahuan tentang Shadow IT. Aplikasi baru terdeteksi oleh Cloud Discovery. | Menilai risiko layanan berdasarkan katalog aplikasi. |
| Aktivitas yang mencurigakan | Pemberitahuan ini memungkinkan Anda mengetahui bahwa aktivitas ganjil telah terdeteksi yang tidak selaras dengan aktivitas atau pengguna yang diharapkan di organisasi Anda. | Selidiki perilaku tersebut dan konfirmasikan dengan pengguna. Jenis pemberitahuan ini adalah tempat yang tepat untuk mulai mempelajari lebih lanjut tentang lingkungan Anda dan membuat kebijakan baru dengan pemberitahuan ini. Misalnya, jika seseorang tiba-tiba mengunggah sejumlah besar data ke salah satu aplikasi yang tersambung, Anda dapat menyetel aturan untuk mengatur jenis perilaku ganjil tersebut. |
| Penggunaan akun pribadi | Pemberitahuan ini memungkinkan Anda mengetahui bahwa akun pribadi baru memiliki akses ke sumber daya di aplikasi yang tersambung. | Menghapus kolaborasi pengguna di akun eksternal. |