Introduzione alla governance delle app in app Defender per il cloud
Le soluzioni di governance delle app richiedono una conoscenza approfondita del comportamento delle app all'interno di un ambiente per identificare e gestire le attività che rientrano in un livello di tolleranza che richiede una revisione più approfondita per valutare le finalità dannose. Quando viene eseguito il livello su app Defender per il cloud, la governance delle app offre una governance approfondita rispetto al comportamento delle app rischiose nell'ambiente in uso.
Questo articolo descrive come iniziare a usare le funzionalità di governance delle app in Microsoft Defender per il cloud App.
Prerequisiti
Se non è già stato fatto, iscriversi alla governance delle app e completare la procedura per aggiungerla al tenant. Dopo aver effettuato l'iscrizione alla governance delle app, è necessario attendere fino a 10 ore per visualizzare e usare il prodotto.
Per altre informazioni, vedere Attivare la governance delle app per le app Microsoft Defender per il cloud.
L'account di accesso deve avere un ruolo di amministratore della governance delle app supportato per visualizzare i dati di governance delle app.
Per usare le funzionalità complete per gli avvisi di governance delle app, è necessario aver effettuato il provisioning sia di app Defender per il cloud che di Microsoft Defender XDR accedendo almeno una volta ai rispettivi portali.
Passaggio 1: Ottenere visibilità e informazioni dettagliate
Per iniziare, seguire questa procedura per ottenere visibilità e informazioni dettagliate sulle app:
Accedi: nel browser passare alla pagina di governance delle app >cloud di Microsoft Defender XDR>.
Determinare il comportamento di conformità: usare i dati nella scheda Panoramica sulla governance > delle app per valutare il comportamento di conformità delle app e degli eventi imprevisti nel tenant. Visualizzare dettagli come il numero di app con privilegi eccessivo nel tenant, il numero di eventi imprevisti attivi, l'accesso totale ai dati dell'API Graph e altro ancora.
Suggerimento
È anche possibile visualizzare le raccomandazioni relative alla governance delle app in Secure Score per facilitare la gestione olistica del comportamento.
Visualizzare le app: ordinare i dati nelle schede Governance delle app in base alle app con un utilizzo elevato dei dati o il numero di consensi specificati o filtrare in base ad app con privilegi elevati, app con autorizzazioni inutilizzate o autore non verificato e altro ancora.
Usare queste opzioni di ordinamento e filtro per ottenere informazioni più approfondite sulle app OAuth, inclusi i metadati dell'app e i dati di utilizzo pertinenti.
Ottenere informazioni dettagliate sull'app: nelle schede Governance delle app selezionare un'app nella griglia per visualizzare una pagina dei dettagli dell'app. Esaminare l'utilizzo dei dati dell'account prioritario per un'app specifica, tracciare esattamente i cui dati sono accessibili, quali autorizzazioni vengono usate e quali autorizzazioni non vengono usate.
Per altre informazioni, vedere Introduzione alla visibilità e alle informazioni dettagliate.
Passaggio 2: Implementare i criteri delle app
La governance delle app usa algoritmi di rilevamento basati su Machine Learning per rilevare il comportamento anomalo delle app nell'ambiente e quindi genera avvisi che è possibile visualizzare, analizzare e risolvere.
Oltre a questa funzionalità di rilevamento predefinita, usare un set di modelli di criteri predefiniti o creare criteri delle app personalizzati per generare altri avvisi.
I criteri per i modelli e i comportamenti di app e utenti possono proteggere gli utenti dall'uso di app non conformi o dannose e limitare l'accesso delle app rischiose ai dati del tenant.
La governance delle app supporta i tipi di criteri seguenti:
| Tipo di criterio | Descrizione |
|---|---|
| Criteri predefiniti | La governance delle app è dotata di un set di criteri predefiniti personalizzati per l'ambiente. I criteri predefiniti consentono di avviare il monitoraggio delle app anche prima di configurare i criteri. Usare i criteri predefiniti per assicurarsi di ricevere una notifica di eventuali anomalie delle app all'inizio. |
| Criteri definiti dall'utente | Oltre ai criteri predefiniti, gli amministratori possono anche usare le condizioni disponibili per creare i criteri personalizzati o scegliere tra i criteri consigliati disponibili. |
Per visualizzare l'elenco dei criteri di governance delle app correnti, passare alla scheda Criteri di governance > delle app > cloud di Microsoft Defender XDR > Cloud.
Nota
I criteri di rilevamento delle minacce predefiniti non sono elencati nella pagina Governance delle app. Per altre informazioni, vedere Analizzare gli avvisi di rilevamento delle minacce.
Per implementare i criteri delle app:
Usare i criteri predefiniti: la governance delle app contiene un set di criteri predefiniti per rilevare comportamenti anomali delle app. Questi criteri vengono attivati per impostazione predefinita, ma è possibile disattivarli se si sceglie di.
Creare criteri per le app: la governance delle app offre oltre 20 condizioni e modelli di criteri da usare. I criteri di governance delle app consentono di:
Specificare le condizioni in base alle quali la governance delle app può avvisare il comportamento dell'app per la correzione automatica o manuale.
Implementare i criteri di conformità delle app per l'organizzazione.
Gestire i criteri delle app: per mantenere il passo con le app più recenti che l'organizzazione usa, rispondere ai nuovi attacchi basati su app e per le modifiche in corso alle esigenze di conformità delle app, potrebbe essere necessario gestire i criteri delle app come indicato di seguito:
Creare nuovi criteri destinati alle nuove app
Modificare lo stato di un criterio esistente (attivo, inattivo, modalità di controllo)
Modificare le condizioni di un criterio esistente
Modificare le azioni di un criterio esistente per la correzione automatica degli avvisi
Per altre informazioni, vedere Informazioni sui criteri delle app.
Passaggio 3: Rilevare e correggere le minacce alle app
Usare la governance delle app per monitorare gli avvisi delle minacce generati dai metodi predefiniti di rilevamento della governance delle app per le attività dannose delle app e gli avvisi basati su criteri generati dai criteri delle app attivi creati.
Questi avvisi possono indicare anomalie nell'attività dell'app e quando vengono usate app non conformi, dannose o rischiose. È anche possibile usare i modelli negli avvisi per creare nuovi criteri delle app o modificare le impostazioni dei criteri esistenti per azioni più restrittive.
È anche possibile correggere gli avvisi, manualmente dopo l'indagine o automaticamente tramite le impostazioni di azione nei criteri delle app attive.
Eseguire una delle operazioni seguenti per rilevare e correggere le minacce:
Introduzione al rilevamento e alla correzione delle minacce delle app: la governance delle app raccoglie gli avvisi sulle minacce generati dai metodi predefiniti di rilevamento della governance delle app basate su Machine Learning. Gli avvisi sulle minacce sono basati su attività di app dannose e avvisi basati su criteri generati dai criteri delle app attivi creati dall'utente.
Monitorare e rispondere alle app con un utilizzo insolito dei dati: la governance delle app fornisce informazioni sull'utilizzo dei dati che consentono di identificare le attività indesiderate e potenzialmente dannose delle app.
Analizzare gli avvisi di rilevamento anomalie: la governance delle app fornisce rilevamenti di sicurezza e avvisi per attività dannose. Lo scopo di questa guida è fornire informazioni generali e pratiche su ogni avviso, per facilitare le attività di analisi e correzione.
Correggere le minacce alle app: è possibile correggere le attività dannose dell'app e delle app identificate dagli avvisi di governance delle app in Microsoft Defender XDR.
Per altre informazioni, vedere Informazioni sul rilevamento e la correzione delle minacce delle app.