Tworzenie zasad usługi Cloud Discovery

  • Artykuł

Możesz utworzyć zasady odnajdywania aplikacji, aby otrzymywać alerty po wykryciu nowych aplikacji. Defender dla Chmury Apps wyszukuje również wszystkie dzienniki w rozwiązaniu Cloud Discovery pod kątem anomalii.

Tworzenie zasad odnajdywania aplikacji

Używając zasad odnajdywania można ustawić alerty, które powiadamiają o wykryciu nowych aplikacji w danej organizacji.

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Następnie wybierz kartę Shadow IT (Niezatwierdzonych zasobów IT ).

  2. Wybierz pozycję Utwórz zasady , a następnie wybierz pozycję Zasady odnajdywania aplikacji.

    Create a Cloud Discovery policy.

  3. Nadaj zasadom nazwę i opis. Jeśli chcesz, możesz go oprzeć na szablonie. Aby uzyskać więcej informacji na temat szablonów zasad, zobacz Kontrolowanie aplikacji w chmurze za pomocą zasad.

  4. Ustaw ważność zasad.

  5. Aby ustawić, które odnalezione aplikacje wyzwalają te zasady, dodaj filtry.

  6. Można ustawić próg dla tego, jak wrażliwe powinny być zasady. Włącz wyzwalanie dopasowania zasad, jeśli wszystkie następujące elementy wystąpią w tym samym dniu. Możesz ustawić kryteria, które aplikacja musi przekraczać codziennie, aby odpowiadała zasadom. Wybierz jedno z następujących kryteriów:

    • Dzienny ruch
    • Pobrane dane
    • Liczba adresów IP
    • Liczba transakcji
    • Liczba użytkowników
    • Przekazane dane

  7. Ustaw dzienny limit alertów w obszarze Alerty. Wybierz, czy alert jest wysyłany jako wiadomość e-mail. Następnie podaj adresy e-mail zgodnie z potrzebami.

    • Wybranie pozycji Zapisz ustawienia alertu jako domyślne dla organizacji umożliwia korzystanie z tego ustawienia w przyszłych zasadach.
    • Jeśli masz ustawienie domyślne, możesz wybrać pozycję Użyj domyślnych ustawień organizacji.

  8. Wybierz pozycję Akcje nadzoru , które mają być stosowane, gdy aplikacja pasuje do tych zasad. Może oznaczać zasady jako zaakceptowane, niezaakceptowane, monitorowane lub niestandardowe.

  9. Wybierz pozycję Utwórz.

Uwaga

  • Nowo utworzone zasady odnajdywania (lub zasady ze zaktualizowanymi raportami ciągłymi) wyzwalają alert raz na 90 dni dla aplikacji na raport ciągły, niezależnie od tego, czy istnieją alerty dla tej samej aplikacji. Na przykład jeśli utworzysz zasady na potrzeby odnajdywania nowych popularnych aplikacji, może ona wyzwolić dodatkowe alerty dla aplikacji, które zostały już odnalezione i alertowane.
  • Dane z raportów migawek nie wyzwalają alertów w zasadach odnajdywania aplikacji.

Jeśli na przykład interesuje Cię odnajdywanie ryzykownych aplikacji hostingowych znalezionych w środowisku chmury, ustaw zasady w następujący sposób:

Ustaw filtry zasad, aby odnaleźć wszystkie usługi znajdujące się w kategorii usług hostingowych i które mają ocenę ryzyka 1, co oznacza, że są one wysoce ryzykowne.

Ustaw progi, które powinny wyzwalać alert dla określonej odnalezionej aplikacji u dołu. Na przykład alert dotyczy tylko tego, że ponad 100 użytkowników w środowisku korzystało z aplikacji i czy pobrało pewną ilość danych z usługi. Ponadto można ustawić dzienny limit alertów, które chcesz otrzymywać.

app discovery policy example.

Wykrywanie anomalii w rozwiązaniu Cloud Discovery

Defender dla Chmury Apps wyszukuje wszystkie dzienniki w rozwiązaniu Cloud Discovery pod kątem anomalii. Na przykład gdy użytkownik, który nigdy wcześniej nie korzystał z usługi Dropbox, nagle przekazuje do niego 600 GB lub gdy w określonej aplikacji jest o wiele więcej transakcji niż zwykle. Zasady wykrywania anomalii są domyślnie włączone. Nie trzeba konfigurować nowych zasad, aby działały. Można jednak dostosować typy anomalii, o których chcesz otrzymywać alerty w zasadach domyślnych.

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Następnie wybierz kartę Shadow IT (Niezatwierdzonych zasobów IT ).

  2. Wybierz pozycję Utwórz zasady i wybierz pozycję Zasady wykrywania anomalii rozwiązania Cloud Discovery.

    cloud discovery anomaly detection policy menu.

  3. Nadaj zasadom nazwę i opis. Jeśli chcesz, możesz opierać go na szablonie. Aby uzyskać więcej informacji na temat szablonów zasad, zobacz Kontrolowanie aplikacji w chmurze przy użyciu zasad.

  4. Aby ustawić, które odnalezione aplikacje wyzwalają te zasady, wybierz pozycję Dodaj filtry.

    Filtry są wybierane z list rozwijanych. Aby dodać filtry, wybierz pozycję Dodaj filtr. Aby usunąć filtr, wybierz znak "X".

  5. W obszarze Zastosuj, aby wybrać, czy te zasady dotyczą wszystkich raportów ciągłych, czy określonych raportów ciągłych. Wybierz, czy zasady mają zastosowanie do użytkowników, adresów IP, czy obu tych zasad.

  6. W polu Generuj alerty tylko dla podejrzanych aktywności występujących po dacie wybierz datę wyznaczającą okres, w którym wystąpienia anomalii będą powodować wyzwalanie alertów.

  7. Ustaw dzienny limit alertów w obszarze Alerty. Wybierz, czy alert jest wysyłany jako wiadomość e-mail. Następnie podaj adresy e-mail zgodnie z potrzebami.

    • Wybranie pozycji Zapisz ustawienia alertu jako domyślne dla organizacji umożliwia korzystanie z tego ustawienia w przyszłych zasadach.
    • Jeśli masz ustawienie domyślne, możesz wybrać pozycję Użyj domyślnych ustawień organizacji.

  8. Wybierz pozycję Utwórz.

    new discovery anomaly policy.

Seminarium internetowe dotyczące odnajdywania aplikacji i konfiguracji modułu zbierającego dzienniki

Następne kroki

Zasady dotyczące działań użytkowników

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.