Waarschuwingen voor preventie van gegevensverlies onderzoeken in Microsoft Defender voor Cloud Apps
Wanneer een beleid voor Defender voor Cloud Apps-bestanden wordt gemaakt met een DLP-gerelateerde configuratie, kunnen waarschuwingen voor schending van bestandsbeleid worden onderzocht in het gebied Waarschuwingen van Defender voor Cloud Apps.
Waarschuwingen beheren:
Selecteer Openen voor de oplossingsstatus op de pagina Waarschuwingen.
Dit gedeelte van het dashboard biedt volledige zichtbaarheid van alle verdachte activiteiten of schendingen van de ingestelde beleidsregels. Het kan u helpen de beveiligingspostuur te beschermen die u hebt gedefinieerd voor uw cloudomgeving.
Bij elke waarschuwing dient u de aard van de schending te onderzoeken en de vereiste actie te bepalen.
U kunt de waarschuwingen filteren op waarschuwingstype of op ernst om eerst de belangrijkste te verwerken.
Selecteer een specifieke waarschuwing. Afhankelijk van het type waarschuwing ziet u verschillende acties die kunnen worden uitgevoerd voordat u de waarschuwing oplost.
U kunt filteren op basis van app: de vermelde apps zijn de apps waarvoor activiteiten zijn gedetecteerd door Defender voor Cloud Apps.
Er zijn drie soorten schendingen waarmee u moet omgaan bij het onderzoeken van waarschuwingen:
Ernstige schendingen : ernstige schendingen vereisen een onmiddellijke reactie.
Voorbeelden:
Voor een waarschuwing voor verdachte activiteiten wilt u het account mogelijk onderbreken totdat de gebruiker het wachtwoord wijzigt.
Voor een gegevenslek wilt u mogelijk machtigingen beperken of het bestand in quarantaine plaatsen.
Als er een nieuwe app wordt gedetecteerd, wilt u mogelijk de toegang tot de service op uw proxy of firewall blokkeren.
Twijfelachtige schendingen : twijfelachtige schendingen vereisen verder onderzoek.
U kunt contact opnemen met de gebruiker of de manager van de gebruiker over de aard van de activiteit.
Laat de activiteit open totdat u meer informatie heeft.
Geautoriseerde schendingen of afwijkend gedrag : geautoriseerde schendingen of afwijkend gedrag kunnen het gevolg zijn van legitiem gebruik.
- U kunt de waarschuwing sluiten.
Wanneer u een waarschuwing negeert, is het belangrijk om feedback te geven over waarom u de waarschuwing negeert. Het Defender voor Cloud Apps-team gebruikt deze feedback als indicatie van de nauwkeurigheid van de waarschuwing. Deze informatie wordt vervolgens gebruikt om onze machine learning-modellen af te stemmen op toekomstige waarschuwingen. U kunt deze richtlijnen volgen om te bepalen hoe u de waarschuwing categoriseert:
Als legitiem gebruik de waarschuwing heeft geactiveerd en dit geen beveiligingsprobleem is, kan dit een van de volgende typen zijn:
Goedaardig positief: de waarschuwing is nauwkeurig, maar de activiteit is legitiem. U kunt de waarschuwing sluiten en de reden instellen op Werkelijke ernst is lager of Niet interessant.
Fout-positief: de waarschuwing is onjuist. Sluit de waarschuwing en stel de reden voor Waarschuwing niet nauwkeurig in.
Als er te veel ruis is om de geldigheid en nauwkeurigheid van een waarschuwing te bepalen, sluit u deze en stelt u de reden in op Te veel vergelijkbare waarschuwingen.
Terecht positief: als de waarschuwing is gerelateerd aan een werkelijke riskante gebeurtenis die kwaadwillig of onbedoeld is doorgevoerd door een insider of buitenstaand, moet u de gebeurtenis instellen op Oplossen nadat alle passende actie is ondernomen om de gebeurtenis te herstellen.
Hoewel u geïnteresseerd bent in waarschuwingen voor bestandsbeleid voor DLP, worden in de lijst met waarschuwingen veel verschillende waarschuwingstypen weergegeven. Het is belangrijk om inzicht te krijgen in de verschillende waarschuwingstypen, omdat deze niet-DLP-waarschuwingen ook inzicht kunnen bieden in een beveiligingsincident.
De volgende tabel bevat een lijst met de typen waarschuwingen die kunnen worden geactiveerd en aanbevolen manieren om ze op te lossen.
| Waarschuwingstype | Beschrijving | Aanbevolen oplossing |
|---|---|---|
| Schending van activiteitenbeleid | Dit type waarschuwing is het resultaat van een beleid dat u hebt gemaakt. | Als u groepsgewijs met dit type waarschuwingen wilt werken, wordt u aangeraden in het beleidscentrum te werken om deze te verhelpen. Verfijn het beleid om ruisentiteiten uit te sluiten door meer filters en gedetailleerdere besturingselementen toe te voegen. Als het beleid nauwkeurig is, de waarschuwing gerechtvaardigd was en het een schending is die u onmiddellijk wilt stoppen, kunt u overwegen automatisch herstel aan het beleid toe te voegen. |
| Schending van bestandsbeleid | Dit type waarschuwing is het resultaat van een beleid dat u hebt gemaakt. | Als u groepsgewijs met dit type waarschuwingen wilt werken, wordt u aangeraden in het beleidscentrum te werken om deze te verhelpen. Verfijn het beleid om ruisentiteiten uit te sluiten door meer filters en gedetailleerdere besturingselementen toe te voegen. |
| Verdacht account | Dit type waarschuwing wordt geactiveerd wanneer Defender voor Cloud Apps een account identificeert dat is aangetast. Dit betekent dat er een hoge kans is dat het account op een niet-geautoriseerde manier is gebruikt. | U wordt aangeraden het account te blokkeren totdat u de gebruiker kunt bereiken en ervoor kunt zorgen dat deze zijn of haar wachtwoord wijzigt. |
| Inactieve account | Deze waarschuwing wordt geactiveerd wanneer een account in 60 dagen niet is gebruikt in een van uw verbonden cloud-apps. | Neem contact op met de gebruiker en de manager van de gebruiker om te bepalen of het account nog steeds actief is. Als dat niet het geval is, blokkeer dan de gebruiker en beëindig de licentie voor de app. |
| Nieuwe gebruiker met beheerdersrechten | Waarschuwt u voor wijzigingen in uw bevoegde accounts voor verbonden apps. | Controleer of de nieuwe beheerdersmachtigingen vereist zijn voor de gebruiker. Als dat niet zo is, kunt u het beste beheerdersbevoegdheden intrekken om de blootstelling te verminderen. |
| Nieuwe locatie beheerder | Waarschuwt u voor wijzigingen in uw bevoegde accounts voor verbonden apps. | Controleer of de aanmelding vanaf deze afwijkende locatie legitiem was. Als dit niet het geval is, kunt de beheerdersbevoegdheden het beste intrekken of het account tijdelijk intrekken om beveiligingsrisico's te beperken. |
| Nieuwe locatie | Een informatieve waarschuwing over toegang tot een verbonden app vanaf een nieuwe locatie en wordt slechts eenmaal per land/regio geactiveerd. | Onderzoek de activiteit van de specifieke gebruiker. |
| Nieuwe gedetecteerde service | Deze waarschuwing is een waarschuwing over Shadow IT. Er is een nieuwe app gedetecteerd door Cloud Discovery. | Bepaal het risico van de service op basis van de app-catalogus. |
| Verdachte activiteiten | Deze waarschuwing laat u weten dat afwijkende activiteiten zijn gedetecteerd die niet zijn afgestemd op verwachte activiteiten of gebruikers in uw organisatie. | Onderzoek het gedrag en bevestig het met de gebruiker. Dit type waarschuwing is een goed uitgangspunt om meer over uw omgeving te weten te komen en nieuwe beleidsregels te maken met deze waarschuwingen. Als iemand bijvoorbeeld plotseling een grote hoeveelheid gegevens naar een van uw verbonden apps uploadt, kunt u een regel instellen voor dat type afwijkend gedrag. |
| Gebruik van persoonlijk account | Deze waarschuwing laat u weten dat een nieuw persoonlijk account toegang heeft tot bronnen in uw verbonden apps. | Verwijder de samenwerkingen van de gebruiker in het externe account. |