Controllare le app cloud con i criteri
Nota
Microsoft Defender for Cloud Apps (noto in precedenza come Microsoft Cloud App Security) fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.
I criteri consentono di definire il modo in cui si vuole che gli utenti si comportino nel cloud. Consentono di rilevare comportamenti rischiosi, violazioni, punti dati sospetti e attività pericolose nell'ambiente cloud. Se necessario, è possibile integrare flussi di lavoro di correzione per ottenere una mitigazione dei rischi completa. Sono disponibili diversi tipi di criteri, correlati ai differenti tipi di informazioni che si vogliono raccogliere riguardo all'ambiente cloud e ai tipi di azioni di correzione da eseguire.
Ad esempio, se si presenta una minaccia di violazione dei dati e si vuole ricorrere alla quarantena, è necessario applicare un tipo di criterio diverso da quello usato per bloccare l'uso di un'app cloud rischiosa da parte dell'organizzazione.
Tipi di criteri
Esaminando la pagina Criteri, si può notare che i vari criteri e modelli possono essere classificati in base al tipo e all'icona, in modo da visualizzare quelli disponibili. I criteri possono essere visualizzati insieme nella scheda Tutti i criteri o nelle rispettive schede categoria. I criteri disponibili dipendono dall'origine dati e da ciò che è stato abilitato in Defender for Cloud Apps per l'organizzazione. Ad esempio, se sono stati caricati log di Cloud Discovery, vengono visualizzati i criteri relativi a Cloud Discovery.
È possibile creare i tipi di criteri seguenti:
| Icona tipo di criterio | Tipo di criteri | Category | Uso |
|---|---|---|---|
 |
Criteri di attività | Rilevamento delle minacce | I criteri di attività consentono di applicare un'ampia gamma di processi automatizzati usando le API del provider di app. Questi criteri consentono di monitorare specifiche attività svolte dai diversi utenti o di seguire i livelli inaspettatamente elevati di un determinato tipo di attività. Scopri di più |
 |
Rilevamento di anomalie | Rilevamento delle minacce | I criteri di rilevamento anomalie consentono di rilevare attività insolite nel cloud. Il rilevamento si basa sui fattori di rischio impostati per inviare un avviso quando si verifica un evento anomalo rispetto alle normali operazioni dell'organizzazione o alla regolare attività dell'utente. Scopri di più |
 |
Criterio dell'app OAuth | Rilevamento delle minacce | I criteri dell'app OAuth consentono di analizzare le autorizzazioni richieste da ogni app OAuth e approvarla o revocarla automaticamente. Questi sono criteri predefiniti che vengono creati con Defender for Cloud Apps e non possono essere creati. Scopri di più |
 |
Criteri di rilevamento malware | Rilevamento delle minacce | I criteri di rilevamento malware consentono di identificare i file dannosi nell'archiviazione cloud e approvarlo o revocarlo automaticamente. Questo è un criterio predefinito che include Defender for Cloud Apps e non può essere creato. Scopri di più |
 |
Criteri file | Protezione delle informazioni | I criteri file consentono di analizzare le app cloud per identificare file o tipi di file specifici (condivisi, condivisi con domini esterni) e dati (informazioni proprietarie, informazioni personali, informazioni relative alle carte di credito e altri tipi di dati). Consentono anche di applicare azioni di governance ai file (le azioni di governance sono specifiche delle app cloud). Scopri di più |
 |
Criterio di accesso | Accesso condizionale: | I criteri di accesso consentono il monitoraggio in tempo reale e il controllo degli accessi degli utenti alle app cloud. Scopri di più |
|
Criteri della sessione | Accesso condizionale: | I criteri della sessione forniscono il monitoraggio in tempo reale e il controllo delle attività utente nelle app cloud. Scopri di più |
 |
Criteri di individuazione delle app | Shadow IT | I criteri di individuazione delle app consentono di impostare avvisi che segnalano il rilevamento di nuove app all'interno dell'organizzazione. Scopri di più |
|
Criteri di rilevamento anomalie di Cloud Discovery | Shadow IT | I criteri di rilevamento di anomalie Cloud Discovery sono basati sui log usati per individuare app cloud e cercare eventi insoliti. Può trattarsi, ad esempio, dell'improvviso caricamento di 600 GB su Dropbox da parte di un utente che non ha mai usato questa applicazione o dell'insolito aumento delle transazioni su una particolare app. Scopri di più |
Identificazione del rischio
Defender for Cloud Apps consente di attenuare i diversi rischi nel cloud. È possibile configurare criteri e avvisi da associare a uno dei rischi seguenti:
Controllo di accesso: quali utenti stanno accedendo, a quali applicazioni accedono e da dove?
Monitorare in modo continuativo il comportamento e rilevare le attività anomale, inclusi attacchi ad alto rischio dall'interno e dall'esterno, e applicare un criterio per generare un avviso, bloccare l'accesso o richiedere la verifica dell'identità per qualsiasi app o azione specifica nell'ambito di un'app. Abilita criteri di controllo dell'accesso mobile e locale basati su utente, dispositivo e posizione imponendo un blocco grossolano e criteri basati su vista, modifica e blocco granulari. Rilevare gli eventi di accesso sospetti, tra cui autenticazioni a più fattori non riuscite, errori di accesso ad account disabilitati ed eventi di rappresentazione.
Conformità: i requisiti di conformità sono violati?
Catalogare e identificare dati sensibili o regolamentati, tra cui autorizzazioni di condivisione per ciascun file, con archiviazione in servizi di sincronizzazione dei file per assicurare la conformità a normative quali PCI, SOX e HIPAA
Controllo della configurazione: sono in corso modifiche non autorizzate della configurazione?
Monitorare le modifiche della configurazione, inclusa la manipolazione in remoto.
Cloud Discovery: nell'organizzazione vengono usate app nuove? Si verificano problemi relativi all'uso di app shadow IT di cui non si era a conoscenza?
Consente di valutare il rischio complessivo per ogni app cloud sulla base di certificazioni standard del settore e di conformità alle normative, nonché sulla base di procedure consigliate. Consente di monitorare il numero di utenti, le attività, il volume di traffico e gli orari di utilizzo tipici di ogni applicazione cloud.
DLP (Data Loss Prevention, prevenzione della perdita dei dati): sono presenti file proprietari condivisi pubblicamente? È necessario mettere in quarantena i file?
L'applicazione di criteri DLP offre correzione a ciclo chiuso e integrazione con le soluzioni DLP locali esistenti.
Account con privilegi: è necessario monitorare gli account amministratore?
Monitoraggio delle attività in tempo reale e creazione di report sugli amministratori e gli utenti con privilegi.
Controllo della condivisione: in che modo vengono condivisi i dati nell'ambiente cloud?
Esaminare i contenuti sia dei file che del cloud e applicare criteri di condivisione interni ed esterni. Monitorare la collaborazione e applicare criteri di condivisione, ad esempio per bloccare la condivisione di file all'esterno dell'organizzazione.
Rilevamento delle minacce: sono presenti attività sospette che minacciano l'ambiente cloud?
Ricevere notifiche in tempo reale per qualsiasi violazione o soglia di attività dei criteri tramite posta elettronica. Applicando algoritmi di Machine Learning, Defender for Cloud Apps consente di rilevare il comportamento che potrebbe indicare che un utente sta usando in modo non corretto i dati.
Come controllare il rischio
Per controllare il rischio mediante l'uso di criteri, seguire questo processo:
Creare un criterio a partire da un modello o da una query.
Ottimizzare il criterio per ottenere i risultati previsti.
Aggiungere azioni automatizzate per rispondere e correggere automaticamente i rischi.
Creare un criterio
È possibile usare i modelli di criteri Defender for Cloud Apps come base per tutti i criteri o creare criteri da una query.
I modelli di criteri consentono di impostare le configurazioni e i filtri appropriati necessari per rilevare eventi specifici all'interno dell'organizzazione. I modelli includono criteri di tutti i tipi e si applicano a diversi servizi.
Per creare un criterio a partire da Modelli del criterio, seguire questa procedura:
Nella console selezionare Controllo seguito da Modelli.
Selezionare il segno più (+) a destra della riga del modello da usare. Si aprirà la pagina Crea criterio, contenente la configurazione predefinita del modello.
Modificare il modello nel modo necessario per il criterio personalizzato. È possibile modificare ogni proprietà e campo del nuovo criterio basato su modello a seconda delle specifiche esigenze.
Nota
Quando si usano i filtri dei criteri, contiene ricerche solo per parole complete, separate da coma, punti, spazi o caratteri di sottolineatura. Se, ad esempio, si cerca malware o virus, viene trovato virus_malware_file.exe ma non malwarevirusfile.exe. Se si cerca malware.exe, si trovano TUTTI i file con malware o exe nel nome file, mentre se si cerca "malware.exe" (con le virgolette) si troveranno solo file che contengono esattamente "malware.exe".
L'opzione Uguale a consente di cercare soltanto una stringa completa. Se, ad esempio, si cerca malware.exe, verrà trovato malware.exe ma non malware.exe.txt.Dopo aver creato il nuovo criterio basato su modello, nella colonna Criteri collegati della tabella Modello del criterio viene visualizzato un collegamento al nuovo criterio accanto al modello a partire da cui è stato creato. È possibile creare tutti i criteri necessari da ogni modello. Tutti i criteri verranno collegati al modello originale, in modo che sia possibile tenere traccia di tutti i criteri creati con lo stesso modello.
In alternativa, è possibile creare un criterio durante la fase di analisi. Se si stanno analizzando gli elementi Log attività, File o Account e si esegue il drill-down per cercare un oggetto specifico, è possibile creare in qualsiasi momento un nuovo criterio sulla base dei risultati dell'analisi.
Ad esempio, se si sta esaminando il log attività e si visualizza un'attività di amministratore dall'esterno degli indirizzi IP dell'ufficio.
Per creare un criterio sulla base dei risultati dell'analisi, seguire questa procedura:
Nella console selezionare Analizza seguito da Log attività, File o Account.
Usare i filtri nella parte superiore della pagina per limitare i risultati della ricerca all'area sospetta. Ad esempio, nella pagina Log attività selezionare Tipo di attività e selezionare Scrivi amministratori in Operazione di Azure. Quindi in Indirizzo IP selezionare Categoria e impostare il valore in modo che non vengano incluse le categorie di indirizzi IP create per i domini riconosciuti, ad esempio gli indirizzi IP dell'amministratore, dell'azienda e della VPN.
Nell'angolo superiore destro della console selezionare Nuovo criterio dalla ricerca.
Viene visualizzata la pagina Crea criterio, contenente i filtri usati durante l'analisi.
Modificare il modello nel modo necessario per il criterio personalizzato. È possibile modificare ogni proprietà e campo del nuovo criterio basato su analisi a seconda delle specifiche esigenze.
Nota
Quando si usano i filtri dei criteri, contiene ricerche solo per parole complete, separate da coma, punti, spazi o caratteri di sottolineatura. Se, ad esempio, si cerca malware o virus, viene trovato virus_malware_file.exe ma non malwarevirusfile.exe.
L'opzione Uguale a consente di cercare soltanto una stringa completa. Se, ad esempio, si cerca malware.exe, verrà trovato malware.exe ma non malware.exe.txt.
Nota
Per altre informazioni sull'impostazione dei campi dei criteri, vedere la documentazione dei criteri corrispondenti:
Aggiungere azioni automatizzate per rispondere e correggere automaticamente i rischi
Per un elenco delle azioni di governance disponibili per ogni app, vedere Governance delle app connesse.
È anche possibile impostare il criterio per inviare un avviso tramite posta elettronica quando vengono rilevate corrispondenze.
Per impostare le preferenze di notifica, vedere Personalizzare il portale
Abilitare e disabilitare criteri
Dopo aver creato un criterio è possibile abilitarlo o disabilitarlo. Se un criterio viene disabilitato, non è necessario eliminarlo dopo averlo creato per doverlo arrestare. Se per qualche motivo si vuole arrestare il criterio, disabilitarlo fino a quando non si sceglie di abilitarlo di nuovo.
Per abilitare un criterio, nella pagina Criteri selezionare i tre punti alla fine della riga del criterio che si vuole abilitare. Selezionare Abilita.
Per disabilitare un criterio, nella pagina Criteri selezionare i tre punti alla fine della riga del criterio da disabilitare. Selezionare Disabilita.
Per impostazione predefinita, un criterio nuovo viene abilitato dopo essere stato creato.
Report di panoramica dei criteri
Defender for Cloud Apps consente di esportare un report di panoramica dei criteri che mostra le metriche di avviso aggregate per criterio per consentire di monitorare, comprendere e personalizzare i criteri per proteggere meglio l'organizzazione.
Per esportare un log, seguire questa procedura:
Nella pagina Criteri selezionare il pulsante Esporta .
Specificare l'intervallo di tempo necessario.
Selezionare Esporta. Questo processo potrebbe richiedere alcuni minuti.
Per scaricare il report esportato:
Quando il report è pronto, passare a Impostazioni e a Report esportati.
Nella tabella selezionare il report pertinente nell'elenco del report Panoramica criteri e selezionare download.
Passaggi successivi
Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.