Condividi tramite

Analizzare i rischi delle app cloud e le attività sospette

  • Articolo

Dopo aver eseguito Microsoft Defender per il cloud App nell'ambiente cloud, è necessaria una fase di apprendimento e analisi. Informazioni su come usare gli strumenti delle app di Microsoft Defender per il cloud per ottenere una comprensione più approfondita delle operazioni eseguite nell'ambiente cloud. In base all'ambiente specifico e al modo in cui viene usato, è possibile identificare i requisiti per proteggere l'organizzazione da eventuali rischi. Questo articolo descrive come eseguire un'analisi approfondita per ottenere una migliore comprensione dell'ambiente cloud.

Contrassegnare le app come approvate o non approvate

Un passaggio importante per la comprensione del cloud è l'applicazione alle app di tag di approvazione o non approvazione. Dopo l'approvazione di un'app, è possibile filtrare le app che non sono state approvate e iniziare la migrazione alle app approvate dello stesso tipo.

  • Nel portale di Microsoft Defender, in App cloud, passare al catalogo app cloud o Cloud Discovery - >App individuate.

  • Nell'elenco delle app, nella riga in cui viene visualizzata l'app da contrassegnare come approvato, scegliere i tre puntini alla fine della riga Tag as sanctioned dots. e scegliere Approvato.

    Tag as sanctioned.

Usare gli strumenti di analisi

  1. Nel portale di Microsoft Defender, in App cloud, passare al log attività e filtrare in base a un'app specifica. Verificare quanto segue:

    • Chi accede all'ambiente cloud?

    • Da quali intervalli di indirizzi IP?

    • Qual è l'attività amministrativa?

    • Da quali posizioni si connettono gli amministratori?

    • Sono presenti eventuali dispositivi obsoleti che si connettono all'ambiente cloud?

    • Gli accessi non riusciti provengono da indirizzi IP previsti?

  2. Nel portale di Microsoft Defender, in App cloud, passare a File e controllare gli elementi seguenti:

    • Quanti file vengono condivisi pubblicamente in modo che chiunque possa accedervi senza un collegamento?

    • Con quali partner vengono condivisi i file (condivisione in uscita)?

    • Sono presenti file con un nome sensibile?

    • Sono presenti file condivisi con l'account personale di un utente?

  3. Nel portale di Microsoft Defender passare a Identità e verificare gli elementi seguenti:

    • Sono presenti account che non sono attivi in un particolare servizio da molto tempo? In tal caso, è possibile revocare la licenza di tali utenti per quel servizio?

    • Si vuole sapere quali utenti hanno un ruolo specifico?

    • Sono presenti utenti che sono stati licenziati, ma che hanno ancora accesso a un'app e possono usare tale accesso per rubare informazioni?

    • Si vuole revocare l'autorizzazione di un utente ad accedere a un'app specifica o si vuole richiedere l'autenticazione a più fattori per un utente specifico?

    • È possibile eseguire il drill-down nell'account dell'utente selezionando i tre puntini alla fine della riga dell'account dell'utente e selezionando un'azione da eseguire. Eseguire un'azione, ad esempio Sospendi l'utente o Rimuovi le collaborazioni dell'utente. Se l'utente è stato importato da Microsoft Entra ID, è anche possibile selezionare le impostazioni dell'account Microsoft Entra per accedere facilmente alle funzionalità avanzate di gestione degli utenti. Le funzionalità di gestione includono ad esempio la gestione dei gruppi, l'autenticazione a più fattori, la visualizzazione dei dettagli relativi agli accessi utente e il blocco degli accessi.

  4. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App Connessione ed selezionare Connettore app e quindi selezionare un'app. Viene visualizzato il dashboard dell'app con informazioni e approfondimenti. È possibile usare le schede disponibili nella parte superiore per verificare quanto segue:

    • Che tipo di dispositivi usano gli utenti per connettersi all'app?

    • Che tipo di file salvano nel cloud?

    • Quali attività avvengono nell'app in questo momento?

    • Sono presenti app di terze parti connesse all'ambiente?

    • Si ha familiarità con queste app?

    • Le app sono autorizzate per il livello di accesso consentito?

    • Quanti utenti le hanno distribuite? Quanto sono diffuse queste app in generale?

    App dashboard.

  5. Nel portale di Microsoft Defender, in App cloud, passare a Cloud Discovery. Selezionare la scheda Dashboard e controllare gli elementi seguenti:

    • Quali app cloud vengono usate, in quale misura e da quali utenti?

    • Per quali scopi vengono usate?

    • Quanti dati vengono caricati in queste app cloud?

    • In quali categorie sono presenti app cloud approvate? Gli utenti usano soluzioni alternative?

    • Per le soluzioni alternative, si vuole annullare l'approvazione di app nell'organizzazione?

    • Sono presenti app cloud usate ma non conformi ai criteri dell'organizzazione?

Esempio di analisi

Si presuppone di non avere accesso all'ambiente cloud tramite indirizzi IP rischiosi, ad esempio Tor. Per sicurezza, si crea comunque un criterio per gli indirizzi IP rischiosi:

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Modelli di criteri.

  2. Scegliere i Criteri attività per il Tipo.

  3. Alla fine della riga Accesso da un indirizzo IP rischioso scegliere il segno più (+) per creare un nuovo criterio.

  4. Modificare il nome del criterio in modo da poterlo identificare.

  5. In Attività corrispondenti a tutti gli elementi seguenti scegliere + per aggiungere un filtro. Scorrere verso il basso fino a Tag IP e quindi scegliere Tor.

    Example policy for risky IPs.

Ora che i criteri sono stati applicati, si scopre di avere un avviso che indica che il criterio è stato violato.

  1. Nel portale di Microsoft Defender passare a Eventi imprevisti e avvisi ->Avvisi e visualizzare l'avviso relativo alla violazione dei criteri.

  2. Se la violazione sembra reale, è consigliabile contenere o correggere il rischio.

    Per contenere il rischio, inviare una notifica all'utente per sapere se la violazione era intenzionale e se l'utente ne era consapevole.

    È possibile eseguire il drill-down dell'avviso e sospendere l'utente fino a quando non si capisce quali azioni devono essere eseguite.

  3. Se si tratta di un evento consentito che probabilmente non si ripeterà, ignorare l'avviso.

    Se si tratta di un evento consentito e si prevede che si ripeta, modificare il criterio in modo che in futuro questo tipo di evento non venga considerato una violazione.

Passaggi successivi

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.