Delen via

Algemeen beleid voor Defender voor Cloud-app-beveiliging tegen bedreigingen

  • Artikel

Defender voor Cloud Apps stelt u in staat om problemen met hoog risicogebruik en cloudbeveiliging te identificeren, abnormaal gebruikersgedrag te detecteren en bedreigingen in uw opgegeven cloud-apps te voorkomen. Krijg inzicht in activiteiten van gebruikers en beheerders en definieer beleidsregels om automatisch te waarschuwen wanneer verdacht gedrag of specifieke activiteiten die u riskant beschouwt, worden gedetecteerd. Maak gebruik van de enorme hoeveelheid gegevens over bedreigingsinformatie en beveiligingsonderzoek van Microsoft om ervoor te zorgen dat uw ingerichte apps alle beveiligingscontroles hebben die u nodig hebt en u helpen de controle over deze apps te behouden.

Notitie

Wanneer u Defender voor Cloud-apps integreert met Microsoft Defender for Identity, worden beleidsregels van Defender for Identity ook weergegeven op de pagina met beleidsregels. Zie Beveiligingswaarschuwingen voor een lijst met Defender for Identity-beleid.

Gebruikersactiviteit detecteren en beheren vanaf onbekende locaties

Automatische detectie van gebruikerstoegang of -activiteit vanaf onbekende locaties die nooit door iemand anders in uw organisatie zijn bezocht.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer er toegang is vanaf nieuwe locaties. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Beleid voor anomaliedetectie voor meer informatie.

Detecteer gecompromitteerd account op een onmogelijke locatie (onmogelijke reis)

Automatische detectie van gebruikerstoegang of -activiteit vanaf twee verschillende locaties binnen een periode die korter is dan de tijd die nodig is om tussen de twee te reizen.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer er toegang is vanaf onmogelijke locaties. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Beleid voor anomaliedetectie voor meer informatie.

  2. Optioneel: u kunt beleidsregels voor anomaliedetectie aanpassen:

    • Het detectiebereik aanpassen in termen van gebruikers en groepen

    • Kies de typen aanmeldingen die u wilt overwegen

    • Uw gevoeligheidsvoorkeur voor waarschuwingen instellen

  3. Maak het anomaliedetectiebeleid.

Verdachte activiteit detecteren van een 'on-leave'-werknemer

Detecteer wanneer een gebruiker, die onbetaald verlof heeft en niet actief mag zijn op een organisatieresource, toegang heeft tot een van de cloudresources van uw organisatie.

Vereisten

  • U moet ten minste één app hebben verbonden met behulp van app-connectors.

  • Maak een beveiligingsgroep in Microsoft Entra-id voor de gebruikers die onbetaald verlof hebben en voeg alle gebruikers toe die u wilt bewaken.

Stappen

  1. Selecteer in het scherm Gebruikersgroepen de optie Gebruikersgroep maken en importeer de relevante Microsoft Entra-groep.

  2. Ga in de Microsoft Defender-portal onder Cloud-apps naar Beleid -> Beleidsbeheer. Maak een nieuw activiteitenbeleid.

  3. Stel de filtergebruikersgroep in die gelijk is aan de naam van de gebruikersgroepen die u hebt gemaakt in Microsoft Entra ID voor de onbetaalde verlofgebruikers.

  4. Optioneel: stel de beheeracties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare beheeracties variëren per service. U kunt gebruiker onderbreken kiezen.

  5. Maak het bestandsbeleid.

Detecteren en waarschuwen wanneer verouderd browser-besturingssysteem wordt gebruikt

Detecteren wanneer een gebruiker een browser gebruikt met een verouderde clientversie die mogelijk nalevings- of beveiligingsrisico's voor uw organisatie vormt.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Ga in de Microsoft Defender-portal onder Cloud-apps naar Beleid -> Beleidsbeheer. Maak een nieuw activiteitenbeleid.

  2. Stel de filter user agent tag is gelijk aan verouderde browser en verouderd besturingssysteem.

  3. Stel de beheeracties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare beheeracties variëren per service. Selecteer onder Alle apps de optie Gebruiker waarschuwen, zodat uw gebruikers kunnen reageren op de waarschuwing en de benodigde onderdelen kunnen bijwerken.

  4. Maak het activiteitsbeleid.

Detecteren en waarschuwen wanneer beheerdersactiviteit wordt gedetecteerd op riskante IP-adressen

Detecteer beheeractiviteiten die worden uitgevoerd vanaf en IP-adres dat wordt beschouwd als een riskant IP-adres en informeer de systeembeheerder voor verder onderzoek of stel een beheeractie in voor het account van de beheerder.

Vereisten

  • U moet ten minste één app hebben verbonden met behulp van app-connectors.

  • Selecteer ip-adresbereiken in het tandwiel Instellingen en selecteer de + om IP-adresbereiken toe te voegen voor uw interne subnetten en hun openbare IP-adressen voor uitgaand verkeer. Stel de categorie in op Intern.

Stappen

  1. Ga in de Microsoft Defender-portal onder Cloud-apps naar Beleid -> Beleidsbeheer. Maak een nieuw activiteitenbeleid.

  2. Stel Act on in op Enkelvoudige activiteit.

  3. Het IP-adres van het filter instellen op Categorie is gelijk aan Riskant

  4. De filterbeheeractiviteit instellen op Waar

  5. Stel de beheeracties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare beheeracties variëren per service. Selecteer onder Alle apps de optie Gebruiker waarschuwen, zodat uw gebruikers kunnen reageren op de waarschuwing en de benodigde onderdelen CC van de manager van de gebruiker kunnen bijwerken.

  6. Maak het activiteitenbeleid.

Activiteiten detecteren op serviceaccount van externe IP-adressen

Serviceaccountactiviteiten detecteren die afkomstig zijn van niet-interne IP-adressen. Dit kan duiden op verdacht gedrag of een aangetast account.

Vereisten

  • U moet ten minste één app hebben verbonden met behulp van app-connectors.

  • Selecteer ip-adresbereiken in het tandwiel Instellingen en selecteer de + om IP-adresbereiken toe te voegen voor uw interne subnetten en hun openbare IP-adressen voor uitgaand verkeer. Stel de categorie in op Intern.

  • Standaardiseer een naamconventie voor serviceaccounts in uw omgeving, stel bijvoorbeeld alle accountnamen in om te beginnen met 'svc'.

Stappen

  1. Ga in de Microsoft Defender-portal onder Cloud-apps naar Beleid -> Beleidsbeheer. Maak een nieuw activiteitenbeleid.

  2. Stel de filtergebruiker in op Naam en begin vervolgens met uw naamconventie, zoals svc.

  3. Het IP-adres van het filter instellen op Categorie is niet gelijk aan Overige en Zakelijk.

  4. Stel de beheeracties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare beheeracties variëren per service.

  5. Maak het beleid.

Massadownload detecteren (gegevensexfiltratie)

Detecteren wanneer een bepaalde gebruiker een groot aantal bestanden in een korte periode opent of downloadt.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Ga in de Microsoft Defender-portal onder Cloud-apps naar Beleid -> Beleidsbeheer. Maak een nieuw activiteitenbeleid.

  2. Het ip-adres van het filter instellen op Tag is niet gelijk aan Microsoft Azure. Hiermee worden niet-interactieve activiteiten op basis van apparaten uitgesloten.

  3. Stel de filteractiviteitstypen in die gelijk zijn aan en selecteer vervolgens alle relevante downloadactiviteiten.

  4. Stel de beheeracties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare beheeracties variëren per service.

  5. Maak het beleid.

Mogelijke ransomware-activiteit detecteren

Automatische detectie van mogelijke Ransomware-activiteit.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer er een mogelijk ransomware-risico is gedetecteerd. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Beleid voor anomaliedetectie voor meer informatie.

  2. Het is mogelijk om het bereik van de detectie te configureren en de beheeracties aan te passen die moeten worden uitgevoerd wanneer een waarschuwing wordt geactiveerd. Zie Bescherming van uw organisatie tegen ransomware voor meer informatie over hoe Defender voor Cloud Apps Ransomware identificeert.

Notitie

Dit geldt voor Microsoft 365, Google Workspace, Box en Dropbox.

Malware detecteren in de cloud

Detecteer bestanden met malware in uw cloudomgevingen door gebruik te maken van de integratie van Defender voor Cloud Apps met de Bedreigingsinformatie-engine van Microsoft.

Vereisten

  • Voor detectie van microsoft 365-malware moet u een geldige licentie hebben voor Microsoft Defender voor Microsoft 365 P1.
  • U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  • Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer er een bestand is dat malware kan bevatten. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Beleid voor anomaliedetectie voor meer informatie.

Malafide beheerdersovername detecteren

Detecteer herhaalde beheerdersactiviteiten die schadelijke bedoelingen kunnen aangeven.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Ga in de Microsoft Defender-portal onder Cloud-apps naar Beleid -> Beleidsbeheer. Maak een nieuw activiteitenbeleid.

  2. Stel Act on in op Herhaalde activiteit en pas de minimaal herhaalde activiteiten aan en stel een tijdsbestek in om te voldoen aan het beleid van uw organisatie.

  3. Stel de filtergebruiker in op Van groep en selecteer alle gerelateerde beheerdersgroep alleen als Actor.

  4. Stel het filteractiviteitstype in op alle activiteiten die betrekking hebben op wachtwoordupdates, wijzigingen en resets.

  5. Stel de beheeracties in die moeten worden uitgevoerd op bestanden wanneer een schending wordt gedetecteerd. De beschikbare beheeracties variëren per service.

  6. Maak het beleid.

Verdachte regels voor manipulatie van Postvak IN detecteren

Als er een verdachte regel voor Postvak IN is ingesteld voor het Postvak IN van een gebruiker, kan dit erop wijzen dat het gebruikersaccount is aangetast en dat het postvak wordt gebruikt om spam en malware in uw organisatie te distribueren.

Vereisten

  • Gebruik van Microsoft Exchange voor e-mail.

Stappen

  • Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer er een verdachte regelset voor Postvak IN is. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Beleid voor anomaliedetectie voor meer informatie.

Gelekte referenties detecteren

Wanneer cybercriminelen inbreuk maken op geldige wachtwoorden van legitieme gebruikers, delen ze deze referenties vaak. Dit wordt meestal gedaan door ze openbaar op het donkere web te plaatsen of sites te plakken of door de referenties op de zwarte markt te verhandelen of te verkopen.

Defender voor Cloud Apps maakt gebruik van bedreigingsinformatie van Microsoft om dergelijke referenties te koppelen aan de referenties die binnen uw organisatie worden gebruikt.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer een mogelijk referentielek wordt gedetecteerd. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Beleid voor anomaliedetectie voor meer informatie.

Afwijkende bestandsdownloads detecteren

Detecteren wanneer gebruikers in één sessie meerdere bestandsdownloadactiviteiten uitvoeren ten opzichte van de geleerde basislijn. Dit kan duiden op een poging tot inbreuk.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer er een afwijkende download plaatsvindt. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Beleid voor anomaliedetectie voor meer informatie.

  2. Het is mogelijk om het bereik van de detectie te configureren en de actie aan te passen die moet worden uitgevoerd wanneer een waarschuwing wordt geactiveerd.

Afwijkende bestandsshares detecteren door een gebruiker

Detecteren wanneer gebruikers meerdere activiteiten voor het delen van bestanden uitvoeren in één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een poging tot inbreuk.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer gebruikers meerdere bestanden delen. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Beleid voor anomaliedetectie voor meer informatie.

  2. Het is mogelijk om het bereik van de detectie te configureren en de actie aan te passen die moet worden uitgevoerd wanneer een waarschuwing wordt geactiveerd.

Afwijkende activiteiten detecteren uit onregelmatig land/regio

Detecteer activiteiten vanaf een locatie die niet recent was of die nooit door de gebruiker of door een gebruiker in uw organisatie is bezocht.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer een afwijkende activiteit plaatsvindt vanuit een onregelmatig land/regio. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Beleid voor anomaliedetectie voor meer informatie.

  2. Het is mogelijk om het bereik van de detectie te configureren en de actie aan te passen die moet worden uitgevoerd wanneer een waarschuwing wordt geactiveerd.

Notitie

Het detecteren van afwijkende locaties vereist een eerste leerperiode van 7 dagen. Tijdens de leerperiode genereert Defender voor Cloud Apps geen waarschuwingen voor nieuwe locaties.

Activiteit detecteren die wordt uitgevoerd door een beëindigde gebruiker

Detecteren wanneer een gebruiker die geen werknemer van uw organisatie is, een activiteit uitvoert in een opgegeven app. Dit kan duiden op schadelijke activiteiten door een beëindigde werknemer die nog steeds toegang heeft tot bedrijfsbronnen.

Vereisten

U moet ten minste één app hebben verbonden met behulp van app-connectors.

Stappen

  1. Deze detectie wordt automatisch out-of-the-box geconfigureerd om u te waarschuwen wanneer een activiteit wordt uitgevoerd door een beëindigde werknemer. U hoeft geen actie te ondernemen om dit beleid te configureren. Zie Beleid voor anomaliedetectie voor meer informatie.

  2. Het is mogelijk om het bereik van de detectie te configureren en de actie aan te passen die moet worden uitgevoerd wanneer een waarschuwing wordt geactiveerd.

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.