Condividi tramite


Criteri comuni di protezione dalle minacce per le app di Defender per il cloud

Defender per il cloud App consente di identificare problemi di sicurezza cloud e uso ad alto rischio, rilevare comportamenti anomali degli utenti e prevenire minacce nelle app cloud approvate. Ottenere visibilità sulle attività degli utenti e degli amministratori e definire criteri per avvisare automaticamente quando vengono rilevati comportamenti sospetti o attività specifiche considerate rischiose. Trarre dalla grande quantità di dati di ricerca sulla sicurezza e intelligence sulle minacce Microsoft per garantire che le app approvate abbiano tutti i controlli di sicurezza necessari e aiutano a mantenere il controllo su di essi.

Nota

Quando si integra Defender per il cloud Apps con Microsoft Defender per identità, i criteri di Defender per identità vengono visualizzati anche nella pagina dei criteri. Per un elenco dei criteri di Defender per identità, vedere Avvisi di sicurezza.

Rilevare e controllare l'attività dell'utente da posizioni sconosciute

Rilevamento automatico dell'accesso utente o dell'attività da posizioni sconosciute che non sono mai state visitate da altri utenti dell'organizzazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

Questo rilevamento viene configurato automaticamente per avvisare l'utente quando è presente l'accesso da nuove posizioni. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento di anomalie.

Rilevare l'account compromesso in base alla posizione impossibile (viaggio impossibile)

Rilevamento automatico dell'accesso utente o dell'attività da 2 posizioni diverse entro un periodo di tempo più breve del tempo necessario per spostarsi tra i due.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

  1. Questo rilevamento viene configurato automaticamente per avvisare l'utente quando è presente l'accesso da posizioni impossibili. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento di anomalie.

  2. Facoltativo: è possibile personalizzare i criteri di rilevamento anomalie:

    • Personalizzare l'ambito di rilevamento in termini di utenti e gruppi

    • Scegliere i tipi di accessi da considerare

    • Impostare le preferenze di riservatezza per gli avvisi

  3. Creare i criteri di rilevamento anomalie.

Rilevare attività sospette da un dipendente "on-leave"

Rilevare quando un utente, che è in congedo non pagato e non deve essere attivo in alcuna risorsa organizzativa, accede a qualsiasi risorsa cloud dell'organizzazione.

Prerequisiti

  • È necessario avere almeno un'app connessa usando i connettori app.

  • Creare un gruppo di sicurezza in Microsoft Entra ID per gli utenti in uscita non pagata e aggiungere tutti gli utenti da monitorare.

Passaggi

  1. Nella schermata Gruppi di utenti selezionare Crea gruppo di utenti e importare il gruppo Microsoft Entra pertinente.

  2. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

  3. Impostare il filtro Gruppo utenti uguale al nome dei gruppi di utenti creati in MICROSOFT Entra ID per gli utenti non retribuiti.

  4. Facoltativo: impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano tra i servizi. È possibile scegliere Sospendi utente.

  5. Creare i criteri dei file.

Rilevare e notificare quando viene usato il sistema operativo del browser obsoleto

Rilevare quando un utente usa un browser con una versione client obsoleta che potrebbe comportare rischi per la conformità o la sicurezza per l'organizzazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

  2. Impostare il tag agente utente filtro uguale al browser obsoleto e al sistema operativo obsoleto.

  3. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano tra i servizi. In Tutte le app selezionare Notifica utente, in modo che gli utenti possano agire sull'avviso e aggiornare i componenti necessari.

  4. Creare i criteri attività.

Rilevare e avvisare quando viene rilevata l'attività di amministratore sugli indirizzi IP rischiosi

Rilevare le attività amministrative eseguite da e l'indirizzo IP considerato un indirizzo IP rischioso e inviare una notifica all'amministratore di sistema per ulteriori indagini o impostare un'azione di governance sull'account dell'amministratore.

Prerequisiti

  • È necessario avere almeno un'app connessa usando i connettori app.

  • Nell'ingranaggio Impostazioni selezionare Intervalli di indirizzi IP e selezionare + per aggiungere intervalli di indirizzi IP per le subnet interne e i relativi indirizzi IP pubblici in uscita. Impostare Categoria su Interno.

Passaggi

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

  2. Impostare Act on su Single Activity (Azione su singola attività).

  3. Impostare l'indirizzo IP del filtro su Categoria uguale a Rischio

  4. Impostare l'attività amministrativa del filtro su True

  5. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano tra i servizi. In Tutte le app selezionare Invia notifica all'utente, in modo che gli utenti possano agire sull'avviso e aggiornare i componenti necessari CC il responsabile dell'utente.

  6. Creare i criteri di attività.

Rilevare le attività in base all'account del servizio da indirizzi IP esterni

Rilevare le attività dell'account del servizio provenienti da indirizzi IP non interni. Ciò potrebbe indicare un comportamento sospetto o un account compromesso.

Prerequisiti

  • È necessario avere almeno un'app connessa usando i connettori app.

  • Nell'ingranaggio Impostazioni selezionare Intervalli di indirizzi IP e selezionare + per aggiungere intervalli di indirizzi IP per le subnet interne e i relativi indirizzi IP pubblici in uscita. Impostare Categoria su Interno.

  • Standardizzare le convenzioni di denominazione per gli account di servizio nell'ambiente, ad esempio impostare tutti i nomi di account per iniziare con "svc".

Passaggi

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

  2. Impostare il filtro User (Utente) su Name (Nome) e quindi Iniziare con e immettere la convenzione di denominazione, ad esempio svc.

  3. Impostare l'indirizzo IP del filtro su Category non uguale a Other e Corporate.

  4. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano tra i servizi.

  5. Creare i criteri.

Rilevare il download di massa (esfiltrazione di dati)

Rilevare quando un determinato utente accede o scarica un numero elevato di file in un breve periodo di tempo.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

  2. Impostare gli indirizzi IP del filtro su Tag non è uguale a Microsoft Azure. Ciò escluderà le attività non interattive basate su dispositivi.

  3. Impostare i tipi di attività filtro su e quindi selezionare tutte le attività di download pertinenti.

  4. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano tra i servizi.

  5. Creare i criteri.

Rilevare potenziali attività ransomware

Rilevamento automatico di potenziali attività ransomware.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

  1. Questo rilevamento viene configurato automaticamente per avvisare l'utente quando si verifica un potenziale rischio ransomware rilevato. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento di anomalie.

  2. È possibile configurare l'ambito del rilevamento e personalizzare le azioni di governance da eseguire quando viene attivato un avviso. Per altre informazioni su come Defender per il cloud App identifica ransomware, vedere Protezione dell'organizzazione da ransomware.

Nota

Questo vale per Microsoft 365, Google Workspace, Box e Dropbox.

Rilevare malware nel cloud

Rilevare i file contenenti malware negli ambienti cloud usando l'integrazione di Defender per il cloud Apps con il motore di Intelligence sulle minacce di Microsoft.

Prerequisiti

  • Per il rilevamento malware di Microsoft 365, è necessario disporre di una licenza valida per Microsoft Defender per Microsoft 365 P1.
  • È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

  • Questo rilevamento viene configurato automaticamente per avvisare l'utente quando è presente un file che può contenere malware. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento di anomalie.

Rilevare l'acquisizione di un amministratore non autorizzato

Rilevare attività amministrative ripetute che potrebbero indicare intenzioni dannose.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Creare un nuovo criterio attività.

  2. Impostare Act on su Attività ripetute e personalizzare le attività ripetute minime e impostare un intervallo di tempo per rispettare i criteri dell'organizzazione.

  3. Impostare il filtro Utente su Da gruppo uguale a e selezionare tutto il gruppo di amministrazione correlato solo come Attore.

  4. Impostare il tipo di attività filtro uguale a tutte le attività correlate a aggiornamenti, modifiche e reimpostazioni delle password.

  5. Impostare le azioni di governance da eseguire sui file quando viene rilevata una violazione. Le azioni di governance disponibili variano tra i servizi.

  6. Creare i criteri.

Rilevare regole di manipolazione della posta in arrivo sospette

Se è stata impostata una regola di posta in arrivo sospetta nella posta in arrivo di un utente, potrebbe indicare che l'account utente è compromesso e che la cassetta postale viene usata per distribuire posta indesiderata e malware nell'organizzazione.

Prerequisiti

  • Utilizzo di Microsoft Exchange per la posta elettronica.

Passaggi

  • Questo rilevamento viene configurato automaticamente per avvisare l'utente quando è presente un set di regole posta in arrivo sospetto. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento di anomalie.

Rilevare le credenziali perse

Quando i criminali informatici comprometteno password valide di utenti legittimi, spesso condividono tali credenziali. in genere pubblicandole sul dark Web o su pastebin oppure scambiandole o vendendole al mercato nero.

Defender per il cloud Apps usa l'intelligence sulle minacce di Microsoft per trovare le corrispondenze di tali credenziali a quelle usate all'interno dell'organizzazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

Questo rilevamento viene configurato automaticamente per avvisare l'utente quando viene rilevata una possibile perdita di credenziali. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento di anomalie.

Rilevare i download anomali dei file

Rilevare quando gli utenti eseguono più attività di download di file in una singola sessione, rispetto alla baseline appresa. Ciò potrebbe indicare un tentativo di violazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

  1. Questo rilevamento viene configurato automaticamente per avvisare l'utente quando si verifica un download anomalo. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento di anomalie.

  2. È possibile configurare l'ambito del rilevamento e personalizzare l'azione da eseguire quando viene attivato un avviso.

Rilevare condivisioni file anomale da un utente

Rilevare quando gli utenti eseguono più attività di condivisione file in una singola sessione rispetto alla baseline appresa, che potrebbe indicare un tentativo di violazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

  1. Questo rilevamento viene configurato automaticamente per avvisare l'utente quando gli utenti eseguono più condivisioni file. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento di anomalie.

  2. È possibile configurare l'ambito del rilevamento e personalizzare l'azione da eseguire quando viene attivato un avviso.

Rilevare attività anomale da paese/area geografica non frequente

Rilevare le attività da una posizione che non è stata di recente o non è mai stata visitata dall'utente o da qualsiasi utente dell'organizzazione.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

  1. Questo rilevamento viene configurato automaticamente per avvisare l'utente quando si verifica un'attività anomala da un paese/area geografica non frequente. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento di anomalie.

  2. È possibile configurare l'ambito del rilevamento e personalizzare l'azione da eseguire quando viene attivato un avviso.

Nota

Il rilevamento di posizioni anomale richiede un periodo di apprendimento iniziale di 7 giorni. Durante il periodo di apprendimento, Defender per il cloud Le app non generano avvisi per le nuove posizioni.

Rilevare l'attività eseguita da un utente terminato

Rilevare quando un utente che non è più un dipendente dell'organizzazione esegue un'attività in un'app approvata. Ciò può indicare attività dannose da parte di un dipendente terminato che ha ancora accesso alle risorse aziendali.

Prerequisiti

È necessario avere almeno un'app connessa usando i connettori app.

Passaggi

  1. Questo rilevamento viene configurato automaticamente per avvisare l'utente quando un'attività viene eseguita da un dipendente terminato. Non è necessario eseguire alcuna azione per configurare questo criterio. Per altre informazioni, vedere Criteri di rilevamento di anomalie.

  2. È possibile configurare l'ambito del rilevamento e personalizzare l'azione da eseguire quando viene attivato un avviso.

Passaggi successivi

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.