Kontrola aplikacji w chmurze za pomocą zasad

Uwaga

  • Zmieniono nazwę Microsoft Cloud App Security. Jest on teraz nazywany Microsoft Defender for Cloud Apps. W najbliższych tygodniach zaktualizujemy zrzuty ekranu i instrukcje tutaj i na powiązanych stronach. Aby uzyskać więcej informacji na temat zmiany, zobacz to ogłoszenie. Aby dowiedzieć się więcej o niedawnej zmianie nazwy usług zabezpieczeń firmy Microsoft, zobacz blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps jest teraz częścią Microsoft 365 Defender. Portal Microsoft 365 Defender umożliwia administratorom zabezpieczeń wykonywanie zadań zabezpieczeń w jednej lokalizacji. Spowoduje to uproszczenie przepływów pracy i dodanie funkcjonalności innych usług Microsoft 365 Defender. Microsoft 365 Defender będzie domem do monitorowania zabezpieczeń i zarządzania nimi w tożsamościach firmy Microsoft, danych, urządzeniach, aplikacjach i infrastrukturze. Aby uzyskać więcej informacji na temat tych zmian, zobacz Microsoft Defender for Cloud Apps w Microsoft 365 Defender.

Zasady umożliwiają zdefiniowanie sposobu, w jaki użytkownicy mają zachowywać się w chmurze. Umożliwiają one wykrywanie ryzykownych zachowań, naruszeń lub podejrzanych punktów danych i działań w środowisku chmury. W razie potrzeby można zintegrować przepływy pracy korygujące, aby osiągnąć całkowite ograniczenie ryzyka. Jest wiele typów zasad skorelowanych z różnymi typami informacji, które można zbierać w środowisku chmury. Są też różne typy akcji korygowania, które można wykonywać.

Jeśli na przykład istnieje zagrożenie naruszenia danych, które chcesz poddać kwarantannie, potrzebujesz innego typu zasad niż jeśli chcesz zablokować ryzykowną aplikację w chmurze przed użyciem przez organizację.

Typy zasad

Na stronie Zasady można odróżnić różne zasady i szablony według typu i ikony, aby zobaczyć, które zasady są dostępne. Zasady można wyświetlić razem na karcie Wszystkie zasady lub na odpowiednich kartach kategorii. Dostępne zasady zależą od źródła danych i tego, co zostało włączone w usłudze Defender for Cloud Apps dla organizacji. Jeśli na przykład przekazano dzienniki usługi Cloud Discovery, zostaną wyświetlone zasady dotyczące rozwiązania Cloud Discovery.

Można utworzyć następujące typy zasad:

Ikona typu zasad Typ zasad Kategoria Zastosowanie
ikona zasad działania. Zasady działania Wykrywanie zagrożeń Zasady działań umożliwiają wymuszanie szerokiej gamy zautomatyzowanych procesów przy użyciu interfejsów API dostawcy aplikacji. Te zasady pozwalają monitorować konkretne działania wykonywane przez różnych użytkowników lub śledzić nieoczekiwanie wysokie wskaźniki dotyczące określonego typu działania. Dowiedz się więcej
ikona zasad wykrywania anomalii. Zasady wykrywania anomalii Wykrywanie zagrożeń Zasady wykrywania anomalii umożliwiają wyszukiwanie nietypowych działań w chmurze. Wykrywanie jest oparte na czynnikach ryzyka ustawionych na alerty, gdy coś się dzieje inaczej niż punkt odniesienia organizacji lub od regularnej aktywności użytkownika. Dowiedz się więcej
Ikona zasad aplikacji OAuth. Zasady aplikacji OAuth Wykrywanie zagrożeń Zasady aplikacji OAuth umożliwiają badanie uprawnień żądanych przez każdą aplikację OAuth i automatyczne zatwierdzanie lub odwoływanie. Są to wbudowane zasady, które są dostarczane z usługą Defender for Cloud Apps i nie można ich utworzyć. Dowiedz się więcej
Ikona zasad wykrywania złośliwego oprogramowania. Zasady wykrywania złośliwego oprogramowania Wykrywanie zagrożeń Zasady wykrywania złośliwego oprogramowania umożliwiają identyfikowanie złośliwych plików w magazynie w chmurze i automatyczne zatwierdzanie lub odwoływanie. Jest to wbudowana zasada, która jest dostarczana z usługą Defender for Cloud Apps i nie można jej utworzyć. Dowiedz się więcej
ikona zasad pliku. Zasady plików Ochrona informacji Zasady dotyczące plików umożliwiają skanowanie aplikacji w chmurze pod kątem określonych plików lub typów plików (udostępnionych, udostępnionych domenom zewnętrznym), danych (zastrzeżonych informacji, danych osobowych, informacji o karcie kredytowej i innych typów danych) oraz stosowania akcji ładu do plików (akcje ładu są specyficzne dla aplikacji w chmurze). Dowiedz się więcej
ikona zasad dostępu. Zasady dostępu Dostęp warunkowy Zasady dostępu zapewniają monitorowanie w czasie rzeczywistym i kontrolę nad logowaniem użytkowników do aplikacji w chmurze. Dowiedz się więcej
ikona zasad sesji. Zasady sesji Dostęp warunkowy Zasady sesji zapewniają monitorowanie w czasie rzeczywistym oraz kontrolę aktywności użytkowników w aplikacjach w chmurze. Dowiedz się więcej
ikona zasad odnajdywania w chmurze. Zasady odnajdywania aplikacji Shadow IT Zasady odnajdywania aplikacji pozwalają ustawić alerty, które powiadamiają o wykryciu nowych aplikacji w organizacji. Dowiedz się więcej
ikona zasad wykrywania anomalii. Zasady wykrywania anomalii w usłudze Cloud Discovery Shadow IT Zasady wykrywania anomalii w usłudze Cloud Discovery sprawdzają dzienniki używane do wykrywania aplikacji w chmurze i wyszukują nietypowe wystąpienia. Na przykład gdy użytkownik, który nigdy wcześniej nie korzystał z usługi Dropbox, nagle przekazuje do niej 600 GB danych, lub gdy w określonej aplikacji wykonywanych jest znacznie więcej transakcji niż zwykle. Dowiedz się więcej

Identyfikowanie ryzyka

Usługa Defender for Cloud Apps pomaga ograniczyć różne zagrożenia w chmurze. Można skonfigurować dowolne zasady i alerty do skojarzenia z jednym z następujących czynników ryzyka:

  • Kontrola dostępu: kto, do czego i skąd uzyskuje dostęp?

    Ciągłe monitorowanie zachowania i wykrywanie nietypowych działań, włącznie z atakami wewnętrznymi i zewnętrznymi wysokiego ryzyka, oraz stosowanie zasad w celu wyzwalania alertów, blokowania lub żądania weryfikacji tożsamości dla dowolnej aplikacji lub konkretnej akcji w obrębie aplikacji. Włącza zasady dostępu lokalnego i zdalnego (z urządzeń przenośnych) na podstawie użytkownika, urządzenia i lokalizacji geograficznej z ogólnym blokowaniem oraz szczegółowym podglądem, edycją i blokowaniem. Wykrywa podejrzane zdarzenia logowania, w tym niepowodzenia uwierzytelniania wieloskładnikowego, niepowodzenia logowania do wyłączonych kont oraz zdarzenia personifikacji.

  • Zgodność: czy wymagania dotyczące zgodności zostały naruszone?

    Katalogowanie i identyfikowanie danych poufnych lub podlegających przepisom (w tym uprawnień do udostępniania dla każdego pliku) przechowywanych w usługach synchronizacji plików w celu zapewnienia zgodności z przepisami, takimi jak PCI, SOX i HIPAA.

  • Kontrola konfiguracji: czy są wprowadzane nieautoryzowane zmiany w konfiguracji?

    Monitorowanie zmian konfiguracji, w tym zdalnego manipulowania konfiguracją.

  • Usługa Cloud Discovery: czy w organizacji są używane nowe aplikacje? Czy masz problem związany z korzystaniem z aplikacji niezatwierdzonych przez dział IT, o których nie wiesz?

    Oceń ogólne ryzyko dla każdej aplikacji w chmurze na podstawie certyfikatów regulacyjnych i branżowych oraz najlepszych rozwiązań. Umożliwia monitorowanie liczby użytkowników, działań, ilości ruchu i typowych godzin użycia dla każdej aplikacji w chmurze.

  • Funkcja DLP: czy zastrzeżone pliki są udostępniane publicznie? Czy jest wymagana kwarantanna plików?

    Integracja z lokalną funkcją DLP zapewnia integrację i korygowanie w pętli zamkniętej przy użyciu istniejących lokalnych rozwiązań DLP.

  • Konta uprzywilejowane: czy potrzebujesz monitorować konta administratorów?

    Monitorowanie i raportowanie w czasie rzeczywistym aktywności użytkowników uprzywilejowanych i administratorów.

  • Kontrola udostępniania: jakie dane są udostępniane w środowisku chmury?

    Sprawdzanie zawartości plików i zawartości w chmurze oraz wymuszanie wewnętrznych i zewnętrznych zasad udostępniania. Monitorowanie współpracy i wymuszanie zasad udostępniania, na przykład blokowanie udostępniania plików poza organizacją.

  • Wykrywanie zagrożeń: czy występują podejrzane działania zagrażające środowisku chmury?

    Odbieranie powiadomień w czasie rzeczywistym (za pomocą wiadomości SMS lub wiadomości e-mail) o wszelkich naruszeniach zasad lub przekroczeniach progu działania. Stosując algorytmy uczenia maszynowego, usługa Defender for Cloud Apps umożliwia wykrywanie zachowania, które może wskazywać, że użytkownik nieprawidłowo stosuje dane.

Jak kontrolować ryzyko

Aby kontrolować ryzyko za pomocą zasad, wykonaj następujące czynności:

  1. Utwórz zasady na podstawie szablonu lub zapytania.

  2. Dostosuj zasady w celu osiągnięcia oczekiwanych rezultatów.

  3. Dodaj akcje automatyczne w celu automatycznego reagowania na czynniki ryzyka i korygowania ich.

Tworzenie zasad

Możesz użyć szablonów zasad usługi Defender for Cloud Apps jako podstawy dla wszystkich zasad lub utworzyć zasady na podstawie zapytania.

Szablony zasad ułatwiają ustawianie prawidłowych filtrów i konfiguracji niezbędnych do wykrywania określonych zdarzeń zainteresowania w danym środowisku. Szablony obejmują zasady wszystkich typów i mogą być stosowane do różnych usług.

Aby utworzyć zasady na podstawie szablonów zasad, wykonaj następujące kroki:

  1. W konsoli wybierz pozycję Kontrolka , a następnie pozycję Szablony.

    Utwórz zasady na podstawie szablonu.

  2. Wybierz znak plus (+) po prawej stronie wiersza szablonu, którego chcesz użyć. Zostanie otwarta strona tworzenia zasad ze wstępnie zdefiniowaną konfiguracją szablonu.

  3. Zmodyfikuj szablon odpowiednio do potrzeb w celu zdefiniowania zasad niestandardowych. Każdą właściwość i pole tych nowych zasad opartych na szablonie można zmodyfikować zgodnie z potrzebami.

    Uwaga

    W przypadku korzystania z filtrów zasad funkcja Zawiera wyszukuje tylko pełne wyrazy — oddzielone przecinkami, kropkami, spacjami lub podkreśleniami. Na przykład w przypadku wyszukiwania złośliwego oprogramowania lub wirusa znajduje virus_malware_file.exe, ale nie znajduje malwarevirusfile.exe. Jeśli szukasz malware.exe, znajdziesz wszystkie pliki ze złośliwym oprogramowaniem lub plikiem exe w nazwie pliku, natomiast jeśli wyszukasz ciąg "malware.exe" (z cudzysłowami), znajdziesz tylko pliki zawierające dokładnie "malware.exe".
    Równa się wyszukuje tylko pełny ciąg, na przykład jeśli wyszukaszmalware.exeznajdzie malware.exe , ale nie malware.exe.txt.

  4. Po utworzeniu nowych zasad na podstawie szablonu link do nowych zasad będzie wyświetlany w tabeli szablonów zasad w kolumnie Połączone zasady obok szablonu, za pomocą którego zasady zostały utworzone. Możesz utworzyć dowolną liczbę zasad na podstawie każdego szablonu, a wszystkie będą połączone z oryginalnym szablonem. Łączenie umożliwia śledzenie wszystkich zasad utworzonych przy użyciu tego samego szablonu.

Można też tworzyć zasady podczas badania. Jeśli badasz dziennik aktywności, pliki lub konta i przechodzisz do szczegółów, aby wyszukać coś konkretnego, w dowolnym momencie możesz utworzyć nowe zasady na podstawie wyników badania.

Jeśli na przykład przeglądasz dziennik aktywności i widzisz aktywność administratora spoza adresów IP biura.

Aby utworzyć zasady na podstawie wyników badania, wykonaj następujące czynności:

  1. W konsoli wybierz pozycję Zbadaj , a następnie dziennik aktywności, pliki lub konta.

  2. Użyj filtrów w górnej części strony, aby ograniczyć wyniki wyszukiwania do podejrzanego obszaru. Na przykład na stronie Dziennik aktywności wybierz pozycję Typ działania i wybierz pozycję Zapisuj administratorów w obszarze Operacja platformy Azure. Następnie w obszarze Adres IP wybierz pozycję Kategoria i ustaw wartość, aby nie uwzględniać kategorii adresów IP utworzonych dla rozpoznanych domen, takich jak adresy IP administratora, firmy i sieci VPN.

    Utwórz plik na podstawie badania.

  3. W prawym górnym rogu konsoli wybierz pozycję Nowe zasady z wyszukiwania.

    Nowe zasady z przycisku wyszukiwania.

  4. Zostanie otwarta strona tworzenia zasad zawierająca filtry użyte w badaniu.

  5. Zmodyfikuj szablon odpowiednio do potrzeb w celu zdefiniowania zasad niestandardowych. Każdą właściwość i każde pole tych nowych zasad opartych na badaniu można zmodyfikować zgodnie z potrzebami.

    Uwaga

    W przypadku korzystania z filtrów zasad funkcja Zawiera wyszukuje tylko pełne wyrazy — oddzielone przecinkami, kropkami, spacjami lub podkreśleniami. Na przykład w przypadku wyszukiwania złośliwego oprogramowania lub wirusa znajduje virus_malware_file.exe, ale nie znajduje malwarevirusfile.exe.
    Równa się wyszukuje tylko pełny ciąg, na przykład jeśli wyszukaszmalware.exeznajdzie malware.exe , ale nie malware.exe.txt.

    tworzenie zasad działań na podstawie badania.

    Uwaga

    Aby uzyskać więcej informacji na temat ustawiania pól zasad, zobacz odpowiednią dokumentację zasad:

    Zasady dotyczące działań użytkowników

    Zasady ochrony danych

    Zasady usługi Cloud Discovery

Dodawanie akcji automatycznych w celu automatycznego reagowania na czynniki ryzyka i korygowania ich

Aby zapoznać się z listą działań ładu dostępnych dla aplikacji, zobacz Zarządzanie połączonymi aplikacjami.

Można również ustawić zasady, aby otrzymywać alerty za pomocą wiadomości e-mail lub SMS po wykryciu dopasowań.

Aby ustawić preferencje powiadomień, przejdź do sekcji Dostosowywanie portalu

Uwaga

Maksymalna liczba alertów wysyłanych za pośrednictwem wiadomości SMS wynosi 10 na numer telefonu dziennie. Dzień jest obliczany zgodnie ze strefą czasową UTC.

Włączanie i wyłączanie zasad

Po utworzeniu zasad możesz je włączyć lub wyłączyć. Wyłączenie pozwala uniknąć konieczności usunięcia zasad po jego utworzeniu, aby je zatrzymać. Zamiast tego, jeśli z jakiegoś powodu chcesz zatrzymać zasady, wyłącz je do momentu ponownego włączenia.

  • Aby włączyć zasady, na stronie Zasady wybierz trzy kropki na końcu wiersza zasad, które chcesz włączyć. Wybierz pozycję Włącz.

    Włącz zasady.

  • Aby wyłączyć zasady, na stronie Zasady wybierz trzy kropki na końcu wiersza zasad, które chcesz wyłączyć. Wybierz pozycję Wyłącz.

    Wyłącz zasady.

Domyślnie po utworzeniu nowych zasad jest ona włączona.

Raport omówienia zasad

Usługa Defender for Cloud Apps umożliwia eksportowanie raportu z omówieniem zasad przedstawiający zagregowane metryki alertów dla poszczególnych zasad, które ułatwiają monitorowanie, zrozumienie i dostosowywanie zasad w celu lepszej ochrony organizacji.

Aby wyeksportować dziennik, wykonaj następujące kroki:

  1. Na stronie Zasady wybierz przycisk Eksportuj .

  2. Określ wymagany zakres czasu.

  3. Wybierz pozycję Eksportuj. Ten proces może trochę potrwać.

Aby pobrać wyeksportowany raport:

  1. Gdy raport będzie gotowy, przejdź do obszaru Ustawienia , a następnie pozycję Wyeksportowane raporty.

  2. W tabeli wybierz odpowiedni raport z listy Raport omówienia zasad i wybierz pozycję Pobierz.

    przycisk pobierania.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.