Controllare le app cloud con i criteri

I criteri consentono di definire il comportamento degli utenti nel cloud. I criteri consentono di rilevare comportamenti a rischio, violazioni o punti dati e attività sospette nel proprio ambiente cloud. Se necessario, è possibile integrare flussi di lavoro di correzione per ottenere mitigazione dei rischi completa. Esistono diversi tipi di criteri correlati ai diversi tipi di informazioni da raccogliere sull'ambiente cloud e ai tipi di azioni correttive che è possibile eseguire.

Ad esempio, se è presente una minaccia di violazione dei dati che si vuole mettere in quarantena, è necessario applicare un tipo di criterio diverso rispetto a quello usato dall'organizzazione per impedire l'uso di un'app cloud rischiosa.

Tipo di criteri

Quando si esamina la pagina Gestione criteri, i vari criteri e modelli possono essere distinti in base al tipo e all'icona per vedere quali criteri sono disponibili. I criteri possono essere visualizzati insieme nella scheda Tutti i criteri o nelle rispettive schede delle categorie. I criteri disponibili dipendono dall'origine dati e da ciò che è stato abilitato in app di Defender per il cloud per l'organizzazione. Ad esempio, se sono stati caricati Cloud Discovery log, vengono visualizzati i criteri relativi ai Cloud Discovery.

È possibile creare i tipi di criteri seguenti:

Icona tipo di criterio	Tipo di criterio	Categoria	Usare
	Criteri attività	Rilevamento di minacce	I criteri di attività consentono di applicare un'ampia gamma di processi automatizzati usando le API del provider di app. Questi criteri consentono di monitorare attività specifiche eseguite da vari utenti o di seguire frequenze inaspettatamente elevate di un determinato tipo di attività. Ulteriori informazioni
	Criteri di rilevamento anomalie	Rilevamento di minacce	I criteri di rilevamento anomalie consentono di rilevare attività insolite nel cloud. Il rilevamento si basa sui fattori di rischio impostati per avvisare l'utente quando si verifica un evento diverso dalla baseline dell'organizzazione o dall'attività regolare dell'utente. Ulteriori informazioni
	Criteri per le applicazioni OAuth	Rilevamento di minacce	I criteri delle app OAuth consentono di analizzare le autorizzazioni richieste da ogni app OAuth e approvarla o revocarla automaticamente. Si tratta di criteri predefiniti inclusi in app Defender per il cloud e che non possono essere creati. Ulteriori informazioni
	Criteri di rilevamento malware	Rilevamento di minacce	I criteri di rilevamento malware consentono di identificare i file dannosi nell'archiviazione cloud e di approvarlo o revocarlo automaticamente. Si tratta di un criterio predefinito fornito con app Defender per il cloud e non può essere creato. Ulteriori informazioni
	Criteri file	Protezione delle informazioni	I criteri file consentono di analizzare le app cloud per identificare file o tipi di file specifici (condivisi, condivisi con domini esterni) e dati (informazioni proprietarie, informazioni personali, informazioni relative alle carte di credito e altri tipi di dati). Consentono anche di applicare azioni di governance ai file (le azioni di governance sono specifiche delle app cloud). Ulteriori informazioni
	Criteri di accesso	Accesso condizionale	I criteri di accesso consentono il monitoraggio in tempo reale e il controllo degli accessi degli utenti alle app cloud. Ulteriori informazioni
	Criteri della sessione	Accesso condizionale	I criteri di accesso consentono il monitoraggio in tempo reale e il controllo delle attività degli utenti alle app cloud. Ulteriori informazioni
	Criteri di individuazione delle app	Ombreggiatura IT	Come già menzionato, i criteri di individuazione delle app consentono di impostare avvisi di notifica quando vengono rilevate nuove app all'interno dell'organizzazione. Ulteriori informazioni
	Criterio di rilevamento anomalie di Cloud Discovery	Ombreggiatura IT	I criteri di rilevamento di anomalie Cloud Discovery sono basati sui log usati per individuare app cloud e cercare eventi insoliti. Ad esempio, quando un utente che non ha mai usato Dropbox prima carica improvvisamente 600 GB in Dropbox o quando sono presenti molte più transazioni del solito in una determinata app. Ulteriori informazioni

Identificazione del rischio

Defender per app cloud consente di attenuare i diversi rischi nel cloud. È possibile configurare qualsiasi criterio e avviso da associare a uno dei rischi seguenti:

• Controllo di accesso: quali utenti stanno accedendo, a quali applicazioni accedono e da dove?

  Monitorare in modo continuativo il comportamento e rilevare le attività anomale, inclusi attacchi ad alto rischio dall'interno e dall'esterno, e applicare un criterio per generare un avviso, bloccare l'accesso o richiedere la verifica dell'identità per qualsiasi app o azione specifica nell'ambito di un'app. Abilita i criteri di controllo degli accessi locali e per dispositivi mobili in base a utenti, dispositivi e aree geografiche con blocco grossolano e visualizzazione granulare, modifica e blocco. Rilevare gli eventi di accesso sospetti, tra cui autenticazioni a più fattori non riuscite, errori di accesso ad account disabilitati ed eventi di rappresentazione.

• Conformità: i requisiti di conformità sono violati?

  Catalogare e identificare dati sensibili o regolamentati, tra cui autorizzazioni di condivisione per ciascun file, con archiviazione in servizi di sincronizzazione dei file per assicurare la conformità a normative quali PCI, SOX e HIPAA

• Controllo della configurazione: sono in corso modifiche non autorizzate della configurazione?

  Monitorare le modifiche di configurazione, inclusa la manipolazione della configurazione remota.

• Cloud Discovery: nell'organizzazione vengono usate app nuove? Si è verificato un problema relativo all'uso di app Shadow IT di cui non si è a conoscenza?

  Valuta il rischio complessivo per ogni app cloud in base alle certificazioni e alle procedure consigliate di settore e normative. Consente di monitorare il numero di utenti, le attività, il volume di traffico e le ore di utilizzo tipiche per ogni applicazione cloud.

• DLP (Data Loss Prevention, prevenzione della perdita dei dati): sono presenti file proprietari condivisi pubblicamente? È necessario mettere in quarantena i file?

  L'integrazione DLP locale offre l'integrazione e la correzione a ciclo chiuso con le soluzioni DLP locali esistenti.

• Account con privilegi: è necessario monitorare gli account amministratore?

  Monitoraggio e creazione di report delle attività in tempo reale di utenti e amministratori con privilegi.

• Controllo della condivisione: in che modo vengono condivisi i dati nell'ambiente cloud?

  Esaminare il contenuto dei file e del contenuto nel cloud e applicare criteri di condivisione interni ed esterni. Monitorare la collaborazione e applicare i criteri di condivisione, ad esempio il blocco della condivisione dei file all'esterno dell'organizzazione.

• Rilevamento delle minacce: sono presenti attività sospette che minacciano l'ambiente cloud?

  Ricevere notifiche in tempo reale per qualsiasi violazione dei criteri o soglia di attività tramite posta elettronica. Applicando algoritmi di Machine Learning, Defender per le app cloud consente di rilevare il comportamento che potrebbe indicare che un utente sta usando i dati in modo errato.

Come controllare il rischio

Per controllare il rischio mediante l'uso di criteri, seguire questo processo:

1. Creare un criterio a partire da un modello o da una query.

2. Ottimizzare il criterio per ottenere i risultati previsti.

3. Aggiungere azioni automatizzate per rispondere e correggere automaticamente i rischi.

Creare un criterio

È possibile usare i modelli di criteri delle app di Defender per il cloud come base per tutti i criteri o creare criteri da una query.

I modelli di criteri consentono di impostare le configurazioni e i filtri appropriati necessari per rilevare eventi specifici all'interno dell'organizzazione. I modelli includono criteri di tutti i tipi e si applicano a diversi servizi.

Per creare un criterio a partire da Modelli del criterio, seguire questa procedura:

1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Modelli di criteri.

   

2. Selezionare il segno più (+) all'estrema destra della riga del modello da usare. Si aprirà la pagina Crea criterio, contenente la configurazione predefinita del modello.

3. Modificare il modello nel modo necessario per il criterio personalizzato. È possibile modificare ogni proprietà e campo del nuovo criterio basato su modello a seconda delle specifiche esigenze.

   Nota

   Quando si usano i filtri criteri, l'opzione Contiene consente di cercare solo parole complete separate da virgole, punti, spazi o caratteri di sottolineatura. Se, ad esempio, si cerca malware o virus, viene trovato virus_malware_file.exe ma non malwarevirusfile.exe. Se cerchi malware.exe, trovi tutti i file con malware o exe nel nome file, mentre se cerchi "malware.exe" (con le virgolette) troverai solo i file che contengono esattamente "malware.exe".
   L'opzione Uguale a consente di cercare soltanto una stringa completa. Se, ad esempio, si cerca malware.exe, verrà trovato malware.exe ma non malware.exe.txt.

4. Dopo aver creato il nuovo criterio basato su modello, nella colonna Criteri collegati della tabella Modello del criterio viene visualizzato un collegamento al nuovo criterio accanto al modello a partire da cui è stato creato. È possibile creare tutti i criteri necessari da ogni modello. Tutti i criteri verranno collegati al modello originale, in modo che sia possibile tenere traccia di tutti i criteri creati con lo stesso modello.

In alternativa, è possibile creare un criterio durante la fase di analisi. Se si sta esaminando il log attività, i file o le identità ed è possibile eseguire il drill-down per cercare qualcosa di specifico, in qualsiasi momento è possibile creare un nuovo criterio in base ai risultati dell'indagine.

Ad esempio, è possibile crearne uno se si sta esaminando il log attività e visualizzare un'attività di amministratore dall'esterno degli indirizzi IP dell'ufficio.

Per creare un criterio sulla base dei risultati dell'analisi, seguire questa procedura:

1. Nel portale di Microsoft Defender passare a uno dei seguenti:

   • App cloud -> Log attività
   • App cloud -> File
   • Asset -> Identità

2. Usare i filtri nella parte superiore della pagina per limitare i risultati della ricerca all'area sospetta. Ad esempio, nella pagina Log attività selezionare Amministrazione attivitàstrativa e selezionare True. Quindi in Indirizzo IP selezionare Categoria e impostare il valore in modo che non vengano incluse le categorie di indirizzi IP create per i domini riconosciuti, ad esempio gli indirizzi IP dell'amministratore, dell'azienda e della VPN.

   

3. Sotto la query selezionare Nuovo criterio dalla ricerca.

   

4. Viene visualizzata la pagina Crea criterio, contenente i filtri usati durante l'analisi.

5. Modificare il modello nel modo necessario per il criterio personalizzato. È possibile modificare ogni proprietà e campo del nuovo criterio basato su analisi a seconda delle specifiche esigenze.

   Nota

   Quando si usano i filtri criteri, l'opzione Contiene consente di cercare solo parole complete separate da virgole, punti, spazi o caratteri di sottolineatura. Se, ad esempio, si cerca malware o virus, viene trovato virus_malware_file.exe ma non malwarevirusfile.exe.
   L'opzione Uguale a consente di cercare soltanto una stringa completa. Se, ad esempio, si cerca malware.exe, verrà trovato malware.exe ma non malware.exe.txt.

   

   Nota

   Per altre informazioni sull'impostazione dei campi dei criteri, vedere la documentazione dei criteri corrispondenti:

   Criteri attività utente

   Criteri di protezione dei dati

   Criteri di Cloud Discovery

Aggiungere azioni automatizzate per rispondere e correggere automaticamente i rischi

Per un elenco delle azioni di governance disponibili per ogni app, vedere Governance delle app connesse.

È anche possibile impostare il criterio per inviare un avviso tramite posta elettronica quando vengono rilevate corrispondenze.

Per impostare le preferenze di notifica, passare a Preferenze di notifica tramite posta elettronica.

Abilitare e disabilitare criteri

Dopo aver creato un criterio è possibile abilitarlo o disabilitarlo. Se un criterio viene disabilitato, non è necessario eliminarlo dopo averlo creato per doverlo arrestare. Se per qualche motivo si vuole arrestare il criterio, disabilitarlo fino a quando non si sceglie di abilitarlo di nuovo.

• Per abilitare un criterio, nella pagina Criteri selezionare i tre puntini alla fine della riga del criterio da abilitare. Seleziona Abilita.

  

• Per disabilitare un criterio, nella pagina Criteri selezionare i tre puntini alla fine della riga del criterio da disabilitare. Seleziona Disabilita.

  

Per impostazione predefinita, un criterio nuovo viene abilitato dopo essere stato creato.

Report di panoramica dei criteri

Defender per il cloud App consente di esportare un report di panoramica dei criteri che mostra le metriche degli avvisi aggregate per ogni criterio per consentire di monitorare, comprendere e personalizzare i criteri per proteggere meglio l'organizzazione.

Per esportare un log, seguire questa procedura:

1. Nella pagina Criteri selezionare il pulsante Esporta.

2. Specificare l'intervallo di tempo necessario.

3. Selezionare Esporta. Questo processo può richiedere qualche minuto.

Per scaricare il report esportato:

1. Dopo aver pronto il report, i n il portale di Microsoft Defender, passare a Report e quindi a App cloud - Report esportati> report.

2. Nella tabella selezionare il report pertinente e quindi selezionare Scarica.

   

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.