Wprowadzenie do ładu aplikacji w usłudze Defender dla Chmury Apps
Rozwiązania do zapewniania ładu aplikacji wymagają głębokiego zrozumienia zachowania aplikacji w środowisku w celu identyfikowania i rozwiązywania działań należących do poziomu tolerancji, który wymaga dokładniejszego przeglądu w celu oceny złośliwych intencji. W przypadku warstw nad aplikacjami Defender dla Chmury ład aplikacji zapewnia szczegółowy nadzór przed ryzykownym zachowaniem aplikacji w danym środowisku.
W tym artykule opisano, jak rozpocząć korzystanie z funkcji ładu aplikacji w usłudze Microsoft Defender dla Chmury Apps.
Wymagania wstępne
Jeśli jeszcze tego nie zrobiono, zarejestruj się, aby uzyskać dostęp do aplikacji i wykonaj kroki dodawania jej do dzierżawy. Po zarejestrowaniu się w celu zapewnienia ładu aplikacji musisz poczekać do 10 godzin, aby zobaczyć i użyć produktu.
Aby uzyskać więcej informacji, zobacz Włączanie ładu aplikacji dla aplikacji Microsoft Defender dla Chmury.
Konto logowania musi mieć obsługiwaną rolę administratora ładu aplikacji, aby wyświetlić wszystkie dane ładu aplikacji.
Aby korzystać z pełnej funkcjonalności alertów ładu aplikacji, musisz aprowizować zarówno aplikacje Defender dla Chmury, jak i usługę Microsoft Defender XDR, korzystając z odpowiednich portali co najmniej raz.
Krok 1. Uzyskiwanie widoczności i szczegółowych informacji
Zacznij od wykonania następujących kroków, aby uzyskać wgląd i szczegółowe informacje o aplikacjach:
Zaloguj się: w przeglądarce przejdź do strony nadzoru aplikacji usługi Microsoft Defender XDR > Cloud Apps>.
Określanie stanu zgodności: użyj danych na karcie Przegląd ładu > aplikacji, aby ocenić stan zgodności aplikacji i zdarzeń w dzierżawie. Wyświetl szczegóły, takie jak liczba naduprzywilejowanych aplikacji w dzierżawie, liczba aktywnych zdarzeń, łączny dostęp do danych interfejsu API programu Graph i nie tylko.
Napiwek
Możesz również wyświetlić zalecenia dotyczące ładu aplikacji w obszarze Wskaźnik bezpieczeństwa , aby ułatwić całościowe zarządzanie stanem.
Wyświetlanie aplikacji: sortuj dane na kartach Zarządzanie aplikacjami według aplikacji z wysokim użyciem danych lub liczbą udzielonych zgody albo filtruj według aplikacji z wysokimi uprawnieniami uprzywilejowanymi, aplikacji z nieużywanymi uprawnieniami lub niezweryfikowanym wydawcą i niezweryfikowanym wydawcą.
Użyj tych opcji sortowania i filtrowania, aby uzyskać bardziej szczegółowy wgląd w aplikacje OAuth, w tym odpowiednie metadane aplikacji i dane użycia.
Uzyskaj szczegółowe informacje o aplikacji: na kartach Zarządzanie aplikacjami wybierz aplikację w siatce, aby wyświetlić stronę szczegółów aplikacji. Zbadaj użycie danych konta priorytetu dla określonej aplikacji, śledź dokładnie, do których danych uzyskuje się dostęp, które uprawnienia są używane i które uprawnienia nie są używane.
Aby uzyskać więcej informacji, zobacz Wprowadzenie do wglądu i szczegółowych informacji.
Krok 2. Implementowanie zasad aplikacji
Ład aplikacji używa algorytmów wykrywania opartego na uczeniu maszynowym do wykrywania nietypowego zachowania aplikacji w środowisku, a następnie generuje alerty, które można wyświetlać, badać i rozwiązywać.
Poza tą wbudowaną funkcją wykrywania użyj zestawu domyślnych szablonów zasad lub utwórz własne zasady aplikacji, aby wygenerować inne alerty.
Zasady dotyczące wzorców i zachowań aplikacji i użytkowników mogą chronić użytkowników przed używaniem niezgodnych lub złośliwych aplikacji oraz ograniczyć dostęp ryzykownych aplikacji do danych dzierżawy.
Nadzór nad aplikacjami obsługuje następujące typy zasad:
Typ zasad | opis |
---|---|
Wstępnie zdefiniowane zasady | Zarządzanie aplikacjami jest wyposażone w zestaw wstępnie zdefiniowanych zasad dostosowanych do środowiska. Wstępnie zdefiniowane zasady umożliwiają rozpoczęcie monitorowania aplikacji jeszcze przed skonfigurowaniem zasad. Użyj wstępnie zdefiniowanych zasad, aby upewnić się, że otrzymasz powiadomienia o wszelkich anomaliach aplikacji na wczesnym etapie. |
Zasady zdefiniowane przez użytkownika | Oprócz wstępnie zdefiniowanych zasad administratorzy mogą również używać dostępnych warunków do tworzenia zasad niestandardowych lub wybierania z dostępnych zalecanych zasad. |
Aby wyświetlić listę bieżących zasad ładu aplikacji, przejdź do karty Zasady ładu > aplikacji > usługi Microsoft Defender XDR > Cloud.
Uwaga
Wbudowane zasady wykrywania zagrożeń nie są wyświetlane na stronie ład aplikacji. Aby uzyskać więcej informacji, zobacz Badanie alertów wykrywania zagrożeń.
Aby zaimplementować zasady aplikacji:
Praca ze wstępnie zdefiniowanymi zasadami: ład aplikacji zawiera zestaw zasad gotowych do wykrywania nietypowych zachowań aplikacji. Te zasady są domyślnie aktywowane, ale można je dezaktywować, jeśli zdecydujesz się.
Tworzenie zasad aplikacji: ład aplikacji oferuje ponad 20 warunków zasad i szablonów do użycia. Zasady ładu aplikacji ułatwiają:
Określ warunki, za pomocą których ład aplikacji może otrzymywać alerty dotyczące zachowania aplikacji w celu automatycznego lub ręcznego korygowania.
Zaimplementuj zasady zgodności aplikacji dla organizacji.
Zarządzanie zasadami aplikacji: aby nadążyć za najnowszymi aplikacjami używanymi przez organizację, reagować na nowe ataki oparte na aplikacjach i w przypadku bieżących zmian w wymaganiach dotyczących zgodności aplikacji, może być konieczne zarządzanie zasadami aplikacji w następujący sposób:
Tworzenie nowych zasad przeznaczonych dla nowych aplikacji
Zmienianie stanu istniejących zasad (aktywne, nieaktywne, tryb inspekcji)
Zmienianie warunków istniejących zasad
Zmienianie akcji istniejących zasad na potrzeby automatycznego korygowania alertów
Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o zasadach aplikacji.
Krok 3. Wykrywanie i korygowanie zagrożeń aplikacji
Użyj ładu aplikacji, aby monitorować alerty zagrożeń generowane przez wbudowane metody wykrywania ładu aplikacji pod kątem złośliwych działań aplikacji i alertów opartych na zasadach generowanych przez utworzone zasady.
Te alerty mogą wskazywać na anomalie w działaniu aplikacji i gdy są używane niezgodne, złośliwe lub ryzykowne aplikacje. Można również użyć wzorców w alertach, aby utworzyć nowe zasady aplikacji lub zmodyfikować ustawienia istniejących zasad w celu uzyskania bardziej restrykcyjnych akcji.
Możesz również skorygować alerty, ręcznie po zbadaniu lub automatycznie za pomocą ustawień akcji dotyczących aktywnych zasad aplikacji.
Wykonaj dowolną z następujących czynności, aby wykryć i skorygować zagrożenia:
Wprowadzenie do wykrywania zagrożeń aplikacji i korygowania: zarządzanie aplikacjami zbiera alerty zagrożeń generowane przez wbudowane metody wykrywania ładu aplikacji oparte na uczeniu maszynowym. Alerty zagrożeń są oparte na złośliwych działaniach aplikacji i alertach opartych na zasadach generowanych przez tworzone aktywne zasady aplikacji.
Monitorowanie aplikacji i reagowanie na nietypowe użycie danych: Zarządzanie aplikacjami udostępnia informacje o użyciu danych, które mogą ułatwić identyfikowanie niechcianych i potencjalnie złośliwych działań aplikacji.
Badanie alertów wykrywania anomalii: ład aplikacji zapewnia wykrywanie zabezpieczeń i alerty dotyczące złośliwych działań. Celem tego przewodnika jest dostarczenie ogólnych i praktycznych informacji na temat każdego alertu, aby ułatwić badanie i zadania korygowania.
Korygowanie zagrożeń aplikacji: korygowanie szkodliwych działań aplikacji i aplikacji zidentyfikowanych przez alerty ładu aplikacji w usłudze Microsoft Defender XDR.
Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o wykrywaniu i korygowaniu zagrożeń aplikacji.