Tworzenie zasad usługi Cloud Discovery

Uwaga

  • Zmieniono nazwę Microsoft Cloud App Security. Jest on teraz nazywany Microsoft Defender for Cloud Apps. W najbliższych tygodniach zaktualizujemy zrzuty ekranu i instrukcje tutaj i na powiązanych stronach. Aby uzyskać więcej informacji na temat zmiany, zobacz to ogłoszenie. Aby dowiedzieć się więcej o niedawnej zmianie nazwy usług zabezpieczeń firmy Microsoft, zobacz blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps jest teraz częścią Microsoft 365 Defender. Portal Microsoft 365 Defender umożliwia administratorom zabezpieczeń wykonywanie zadań zabezpieczeń w jednej lokalizacji. Spowoduje to uproszczenie przepływów pracy i dodanie funkcjonalności innych usług Microsoft 365 Defender. Microsoft 365 Defender będzie domem do monitorowania zabezpieczeń i zarządzania nimi w tożsamościach firmy Microsoft, danych, urządzeniach, aplikacjach i infrastrukturze. Aby uzyskać więcej informacji na temat tych zmian, zobacz Microsoft Defender for Cloud Apps w Microsoft 365 Defender.

Możesz utworzyć zasady odnajdywania aplikacji, aby otrzymywać alerty po wykryciu nowych aplikacji. Usługa Defender for Cloud Apps wyszukuje również wszystkie dzienniki w usłudze Cloud Discovery pod kątem anomalii.

Tworzenie zasad odnajdywania aplikacji

Używając zasad odnajdywania można ustawić alerty, które powiadamiają o wykryciu nowych aplikacji w danej organizacji.

  1. Przejdź do obszaru Kontrola>zasad>w tle IT.

  2. Kliknij pozycję Utwórz zasady i wybierz pozycję Zasady odnajdywania aplikacji.

    Create a Cloud Discovery policy.

  3. Nadaj zasadom nazwę i opis. Jeśli chcesz, możesz go opierać na szablonie. Aby uzyskać więcej informacji na temat szablonów zasad, zobacz Kontrolowanie aplikacji w chmurze przy użyciu zasad.

  4. Ustaw ważność zasad.

  5. Aby ustawić, które odnalezione aplikacje wyzwalają te zasady, dodaj filtry.

  6. Możesz ustawić próg dla tego, jak poufne powinny być zasady. Włącz wyzwalanie dopasowania zasad, jeśli wszystkie następujące czynności występują w tym samym dniu. Możesz ustawić kryteria, które aplikacja musi przekraczać codziennie, aby odpowiadała zasadom. Wybierz jedno z następujących kryteriów:

    • Dzienny ruch
    • Pobrane dane
    • Liczba adresów IP
    • Liczba transakcji
    • Liczba użytkowników
    • Przekazane dane
  7. Ustaw dzienny limit alertów w obszarze Alerty. Wybierz, czy alert jest wysyłany jako wiadomość e-mail, wiadomość SMS, czy oba te elementy. Następnie podaj numery telefonów i adresy e-mail zgodnie z potrzebami.

    • Kliknięcie pozycji Zapisz ustawienia alertu jako domyślne dla organizacji umożliwia korzystanie z ustawienia w przyszłości.
    • Jeśli masz ustawienie domyślne, możesz wybrać pozycję Użyj ustawień domyślnych organizacji.
  8. Wybierz akcje ładu , które mają być stosowane, gdy aplikacja pasuje do tych zasad. Może oznaczać zasady jako zaakceptowane, niezaakceptowane lub tag niestandardowy.

  9. Kliknij pozycję Utwórz.

Uwaga

  • Nowo utworzone zasady odnajdywania (lub zasady z zaktualizowanymi raportami ciągłymi) wyzwalają alert raz na 90 dni na aplikację na ciągły raport, niezależnie od tego, czy istnieją alerty dla tej samej aplikacji. Na przykład jeśli tworzysz zasady do odnajdywania nowych popularnych aplikacji, może to spowodować wyzwolenie dodatkowych alertów dla aplikacji, które zostały już odnalezione i zaalarmowane.
  • Dane z raportów migawek nie wyzwalają alertów w zasadach odnajdywania aplikacji.

Jeśli na przykład interesuje Cię odnajdywanie ryzykownych aplikacji hostingowych znalezionych w środowisku chmury, ustaw zasady w następujący sposób:

Ustaw filtry zasad, aby odnaleźć wszystkie usługi znajdujące się w kategorii usług hostingowych i które mają wynik ryzyka 1, co oznacza, że są one wysoce ryzykowne.

Ustaw progi, które powinny wyzwalać alert dla określonej odnalezionej aplikacji u dołu. Na przykład alert dotyczy tylko wtedy, gdy w środowisku używało aplikacji ponad 100 użytkowników, a jeśli pobrali pewną ilość danych z usługi. Ponadto można ustawić dzienny limit alertów, które chcesz otrzymywać.

app discovery policy example.

Wykrywanie anomalii w rozwiązaniu Cloud Discovery

Usługa Defender for Cloud Apps wyszukuje wszystkie dzienniki w usłudze Cloud Discovery pod kątem anomalii. Na przykład gdy użytkownik, który nigdy wcześniej nie korzystał z usługi Dropbox, nagle przekaże do niego 600 GB lub gdy istnieje o wiele więcej transakcji niż zwykle w określonej aplikacji. Zasady wykrywania anomalii są domyślnie włączone. Nie trzeba konfigurować nowych zasad, aby działały. Można jednak dostosować typy anomalii, o których chcesz otrzymywać alerty w zasadach domyślnych.

  1. W konsoli kliknij pozycję Sterowanie, a następnie pozycję Zasady.

  2. Kliknij pozycję Utwórz zasady i wybierz pozycję Zasady wykrywania anomalii rozwiązania Cloud Discovery.

    cloud discovery anomaly detection policy menu.

  3. Nadaj zasadom nazwę i opis. Jeśli chcesz, możesz go opierać na szablonie, aby uzyskać więcej informacji na temat szablonów zasad, zobacz Kontrolowanie aplikacji w chmurze przy użyciu zasad.

  4. Aby ustawić, które odnalezione aplikacje wyzwalają te zasady, kliknij przycisk Dodaj filtry.

    Filtry są wybierane z list rozwijanych. Aby dodać filtry, kliknij przycisk plus. Aby usunąć filtr, kliknij znak "X".

  5. W obszarze Zastosuj, aby wybrać, czy te zasady dotyczą wszystkich raportów ciągłych , czy określonych raportów ciągłych. Wybierz, czy zasady mają zastosowanie do użytkowników, adresów IP, czy obu tych opcji.

  6. W polu Generuj alerty tylko dla podejrzanych aktywności występujących po dacie wybierz datę wyznaczającą okres, w którym wystąpienia anomalii będą powodować wyzwalanie alertów.

  7. Ustaw dzienny limit alertów w obszarze Alerty. Wybierz, czy alert jest wysyłany jako wiadomość e-mail, wiadomość SMS, czy oba te elementy. Następnie podaj numery telefonów i adresy e-mail zgodnie z potrzebami.

    • Kliknięcie pozycji Zapisz ustawienia alertu jako domyślne dla organizacji umożliwia korzystanie z ustawienia w przyszłości.
    • Jeśli masz ustawienie domyślne, możesz wybrać pozycję Użyj ustawień domyślnych organizacji.
  8. Kliknij pozycję Utwórz.

    new discovery anomaly policy.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.