Wprowadzenie do ładu aplikacji w usłudze Defender dla Chmury Apps

  • Artykuł

Rozwiązania do zapewniania ładu aplikacji wymagają głębokiego zrozumienia zachowania aplikacji w środowisku w celu identyfikowania i rozwiązywania działań należących do poziomu tolerancji, który wymaga dokładniejszego przeglądu w celu oceny złośliwych intencji. W przypadku warstw nad aplikacjami Defender dla Chmury ład aplikacji zapewnia szczegółowy nadzór przed ryzykownym zachowaniem aplikacji w danym środowisku.

W tym artykule opisano, jak rozpocząć korzystanie z funkcji ładu aplikacji w usłudze Microsoft Defender dla Chmury Apps.

Wymagania wstępne

  • Jeśli jeszcze tego nie zrobiono, zarejestruj się, aby uzyskać dostęp do aplikacji i wykonaj kroki dodawania jej do dzierżawy. Po zarejestrowaniu się w celu zapewnienia ładu aplikacji musisz poczekać do 10 godzin, aby zobaczyć i użyć produktu.

    Aby uzyskać więcej informacji, zobacz Włączanie ładu aplikacji dla aplikacji Microsoft Defender dla Chmury.

  • Konto logowania musi mieć obsługiwaną rolę administratora ładu aplikacji, aby wyświetlić wszystkie dane ładu aplikacji.

  • Aby korzystać z pełnej funkcjonalności alertów ładu aplikacji, musisz aprowizować zarówno aplikacje Defender dla Chmury, jak i usługę Microsoft Defender XDR, korzystając z odpowiednich portali co najmniej raz.

Krok 1. Uzyskiwanie widoczności i szczegółowych informacji

Zacznij od wykonania następujących kroków, aby uzyskać wgląd i szczegółowe informacje o aplikacjach:

  1. Zaloguj się: w przeglądarce przejdź do strony nadzoru aplikacji usługi Microsoft Defender XDR > Cloud Apps>.

  2. Określanie stanu zgodności: użyj danych na karcie Przegląd ładu > aplikacji, aby ocenić stan zgodności aplikacji i zdarzeń w dzierżawie. Wyświetl szczegóły, takie jak liczba naduprzywilejowanych aplikacji w dzierżawie, liczba aktywnych zdarzeń, łączny dostęp do danych interfejsu API programu Graph i nie tylko.

    Napiwek

    Możesz również wyświetlić zalecenia dotyczące ładu aplikacji w obszarze Wskaźnik bezpieczeństwa , aby ułatwić całościowe zarządzanie stanem.

  3. Wyświetlanie aplikacji: sortuj dane na kartach Zarządzanie aplikacjami według aplikacji z wysokim użyciem danych lub liczbą udzielonych zgody albo filtruj według aplikacji z wysokimi uprawnieniami uprzywilejowanymi, aplikacji z nieużywanymi uprawnieniami lub niezweryfikowanym wydawcą i niezweryfikowanym wydawcą.

    Użyj tych opcji sortowania i filtrowania, aby uzyskać bardziej szczegółowy wgląd w aplikacje OAuth, w tym odpowiednie metadane aplikacji i dane użycia.

  4. Uzyskaj szczegółowe informacje o aplikacji: na kartach Zarządzanie aplikacjami wybierz aplikację w siatce, aby wyświetlić stronę szczegółów aplikacji. Zbadaj użycie danych konta priorytetu dla określonej aplikacji, śledź dokładnie, do których danych uzyskuje się dostęp, które uprawnienia są używane i które uprawnienia nie są używane.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do wglądu i szczegółowych informacji.

Krok 2. Implementowanie zasad aplikacji

Ład aplikacji używa algorytmów wykrywania opartego na uczeniu maszynowym do wykrywania nietypowego zachowania aplikacji w środowisku, a następnie generuje alerty, które można wyświetlać, badać i rozwiązywać.

Poza tą wbudowaną funkcją wykrywania użyj zestawu domyślnych szablonów zasad lub utwórz własne zasady aplikacji, aby wygenerować inne alerty.

Zasady dotyczące wzorców i zachowań aplikacji i użytkowników mogą chronić użytkowników przed używaniem niezgodnych lub złośliwych aplikacji oraz ograniczyć dostęp ryzykownych aplikacji do danych dzierżawy.

Nadzór nad aplikacjami obsługuje następujące typy zasad:

Typ zasad opis
Wstępnie zdefiniowane zasady Zarządzanie aplikacjami jest wyposażone w zestaw wstępnie zdefiniowanych zasad dostosowanych do środowiska. Wstępnie zdefiniowane zasady umożliwiają rozpoczęcie monitorowania aplikacji jeszcze przed skonfigurowaniem zasad. Użyj wstępnie zdefiniowanych zasad, aby upewnić się, że otrzymasz powiadomienia o wszelkich anomaliach aplikacji na wczesnym etapie.
Zasady zdefiniowane przez użytkownika Oprócz wstępnie zdefiniowanych zasad administratorzy mogą również używać dostępnych warunków do tworzenia zasad niestandardowych lub wybierania z dostępnych zalecanych zasad.

Aby wyświetlić listę bieżących zasad ładu aplikacji, przejdź do karty Zasady ładu > aplikacji > usługi Microsoft Defender XDR > Cloud.

Uwaga

Wbudowane zasady wykrywania zagrożeń niewyświetlane na stronie ład aplikacji. Aby uzyskać więcej informacji, zobacz Badanie alertów wykrywania zagrożeń.

Aby zaimplementować zasady aplikacji:

  1. Praca ze wstępnie zdefiniowanymi zasadami: ład aplikacji zawiera zestaw zasad gotowych do wykrywania nietypowych zachowań aplikacji. Te zasady są domyślnie aktywowane, ale można je dezaktywować, jeśli zdecydujesz się.

  2. Tworzenie zasad aplikacji: ład aplikacji oferuje ponad 20 warunków zasad i szablonów do użycia. Zasady ładu aplikacji ułatwiają:

    • Określ warunki, za pomocą których ład aplikacji może otrzymywać alerty dotyczące zachowania aplikacji w celu automatycznego lub ręcznego korygowania.

    • Zaimplementuj zasady zgodności aplikacji dla organizacji.

  3. Zarządzanie zasadami aplikacji: aby nadążyć za najnowszymi aplikacjami używanymi przez organizację, reagować na nowe ataki oparte na aplikacjach i w przypadku bieżących zmian w wymaganiach dotyczących zgodności aplikacji, może być konieczne zarządzanie zasadami aplikacji w następujący sposób:

    • Tworzenie nowych zasad przeznaczonych dla nowych aplikacji

    • Zmienianie stanu istniejących zasad (aktywne, nieaktywne, tryb inspekcji)

    • Zmienianie warunków istniejących zasad

    • Zmienianie akcji istniejących zasad na potrzeby automatycznego korygowania alertów

Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o zasadach aplikacji.

Krok 3. Wykrywanie i korygowanie zagrożeń aplikacji

Użyj ładu aplikacji, aby monitorować alerty zagrożeń generowane przez wbudowane metody wykrywania ładu aplikacji pod kątem złośliwych działań aplikacji i alertów opartych na zasadach generowanych przez utworzone zasady.

Te alerty mogą wskazywać na anomalie w działaniu aplikacji i gdy są używane niezgodne, złośliwe lub ryzykowne aplikacje. Można również użyć wzorców w alertach, aby utworzyć nowe zasady aplikacji lub zmodyfikować ustawienia istniejących zasad w celu uzyskania bardziej restrykcyjnych akcji.

Możesz również skorygować alerty, ręcznie po zbadaniu lub automatycznie za pomocą ustawień akcji dotyczących aktywnych zasad aplikacji.

Wykonaj dowolną z następujących czynności, aby wykryć i skorygować zagrożenia:

  • Wprowadzenie do wykrywania zagrożeń aplikacji i korygowania: zarządzanie aplikacjami zbiera alerty zagrożeń generowane przez wbudowane metody wykrywania ładu aplikacji oparte na uczeniu maszynowym. Alerty zagrożeń są oparte na złośliwych działaniach aplikacji i alertach opartych na zasadach generowanych przez tworzone aktywne zasady aplikacji.

  • Monitorowanie aplikacji i reagowanie na nietypowe użycie danych: Zarządzanie aplikacjami udostępnia informacje o użyciu danych, które mogą ułatwić identyfikowanie niechcianych i potencjalnie złośliwych działań aplikacji.

  • Badanie alertów wykrywania anomalii: ład aplikacji zapewnia wykrywanie zabezpieczeń i alerty dotyczące złośliwych działań. Celem tego przewodnika jest dostarczenie ogólnych i praktycznych informacji na temat każdego alertu, aby ułatwić badanie i zadania korygowania.

  • Korygowanie zagrożeń aplikacji: korygowanie szkodliwych działań aplikacji i aplikacji zidentyfikowanych przez alerty ładu aplikacji w usłudze Microsoft Defender XDR.

Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o wykrywaniu i korygowaniu zagrożeń aplikacji.

Następne kroki

Często zadawane pytania dotyczące ładu aplikacji