Udostępnij za pośrednictwem

Badanie ryzyka aplikacji w chmurze i podejrzanych działań

  • Artykuł

Po uruchomieniu Microsoft Defender dla Chmury Apps w środowisku chmury potrzebny będzie etap nauki i badania. Dowiedz się, jak używać narzędzi Microsoft Defender dla Chmury Apps, aby lepiej zrozumieć, co dzieje się w środowisku chmury. Na podstawie konkretnego środowiska i sposobu jego użycia można zidentyfikować wymagania dotyczące ochrony organizacji przed ryzykiem. W tym artykule opisano sposób badania w celu lepszego zrozumienia środowiska chmury.

Oznaczanie aplikacji jako zaakceptowanych lub niezatwierdzonych

Ważnym krokiem do zrozumienia chmury jest oznaczenie tagami aplikacji jako oficjalnie zaakceptowanych lub odrzuconych. Po oficjalnym zaakceptowaniu aplikacji można filtrować aplikacje, które nie zostały zaakceptowane, i rozpoczynać ich migrację do oficjalnie zaakceptowanych aplikacji tego samego typu.

  • W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do katalogu aplikacji w chmurze lub rozwiązania Cloud Discovery — >odnalezione aplikacje.

  • Na liście aplikacji w wierszu, w którym aplikacja, którą chcesz oznaczyć jako zaakceptowaną sankcję, wybierz trzy kropki na końcu wiersza Tag as sanctioned dots. i wybierz pozycję Zaakceptowano sankcje.

    Tag as sanctioned.

Korzystanie z narzędzi analitycznych

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do dziennika aktywności i filtruj według określonej aplikacji. Sprawdź następujące elementy:

    • Kto uzyskuje dostęp do środowiska chmury?

    • Z jakich zakresów adresów IP?

    • Jakie działania wykonuje administrator?

    • Z jakich lokalizacji łączą się administratorzy?

    • Czy ze środowiskiem chmury łączą się jakieś nieaktualne urządzenia?

    • Czy próby logowania zakończone niepowodzeniem są wykonywane z oczekiwanych adresów IP?

  2. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Pliki i sprawdź następujące elementy:

    • Ile plików jest udostępnianych publicznie tak, że każdy ma do nich dostęp bez linku?

    • Którym partnerom są udostępniane pliki (udostępnianie danych wychodzących)?

    • Czy jakieś pliki mają poufne nazwy?

    • Czy którekolwiek z tych plików były udostępniane na konto osobiste innego użytkownika?

  3. W witrynie Microsoft Defender Portal przejdź do pozycji Tożsamości i sprawdź następujące elementy:

    • Czy jakieś konta były nieaktywne w konkretnej usłudze przez dłuższy czas? Być może możesz odwołać licencję dla tego użytkownika do tej usługi.

    • Czy chcesz wiedzieć, którzy użytkownicy pełnią określoną rolę?

    • Czy ktoś, kto został zwolniony, ma nadal dostęp do aplikacji i może go wykorzystać do wykradania informacji?

    • Czy chcesz odwołać uprawnienie użytkownika do określonej aplikacji lub wymagać od określonego użytkownika korzystania z uwierzytelniania wieloskładnikowego?

    • Możesz przejść do szczegółów konta użytkownika, wybierając trzy kropki na końcu wiersza konta użytkownika i wybierając akcję do wykonania. Wykonaj akcję, na przykład Wstrzymaj użytkownika lub Usuń współpracę użytkownika. Jeśli użytkownik został zaimportowany z witryny Microsoft Entra ID, możesz również wybrać ustawienia konta Microsoft Entra, aby uzyskać łatwy dostęp do zaawansowanych funkcji zarządzania użytkownikami. Przykłady funkcji zarządzania obejmują zarządzanie grupami, uwierzytelnianie wieloskładnikowe, szczegółowe informacje o logowaniach użytkownika oraz możliwość blokowania logowania.

  4. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Połączenie ed Apps (Aplikacje) wybierz pozycję Łącznik aplikacji s, a następnie wybierz aplikację. Zostanie otwarty pulpit nawigacyjny aplikacji z informacjami i szczegółowymi danymi. Możesz użyć kart u góry, aby sprawdzić:

    • Jakiego rodzaju urządzeń użytkownicy używają do łączenia się z aplikacją?

    • Jakiego typu pliki są zapisywane w chmurze?

    • Jakie działanie jest aktualnie wykonywane w aplikacji?

    • Czy ze środowiskiem są połączone jakiekolwiek aplikacje innych firm?

    • Czy znasz te aplikacje?

    • Czy są one autoryzowane na poziom dostępu, który jest dozwolony?

    • Ilu użytkowników je wdrożyło? Jak często spotykane są te aplikacje?

    App dashboard.

  5. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Cloud Discovery. Wybierz kartę Pulpit nawigacyjny i sprawdź następujące elementy:

    • Jakie aplikacje w chmurze są używane, w jakim zakresie i przez jakich użytkowników?

    • Do jakich celów są one wykorzystywane?

    • Jak dużo danych jest przekazywanych do tych aplikacji w chmurze?

    • W których kategoriach istnieją oficjalnie zaakceptowane aplikacje w chmurze i czy mimo to są używane rozwiązania alternatywne?

    • Czy w przypadku tych rozwiązań alternatywnych istnieją aplikacje w chmurze, które mają być oficjalnie odrzucone w organizacji?

    • Czy istnieją aplikacje w chmurze, które są używane, ale nie są zgodne z zasadami organizacji?

Przykładowa analiza

Załóżmy, że nie masz dostępu do środowiska chmury przez ryzykowne adresy IP. Załóżmy na przykład Tor. Jednak dla pewności tworzysz zasady dotyczące ryzykownych adresów IP:

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> szablony zasad.

  2. Wybierz zasady działania dla typu.

  3. Na końcu wiersza ryzykownego adresu IP wybierz znak plus (+), aby utworzyć nowe zasady.

  4. Zmień nazwę zasad, aby można było ją zidentyfikować.

  5. W obszarze Działania zgodne ze wszystkimi poniższymi elementami wybierz + , aby dodać filtr. Przewiń w dół do tagu IP, a następnie wybierz pozycję Tor.

    Example policy for risky IPs.

Teraz, gdy masz już zasady, odkryjesz, że masz alert informujący, że zasady zostały naruszone.

  1. W witrynie Microsoft Defender Portal przejdź do pozycji Zdarzenia i alerty —> alerty i wyświetl alert dotyczący naruszenia zasad.

  2. Jeśli widzisz, że wygląda to jak prawdziwe naruszenie, chcesz je powstrzymać lub skorygować.

    Aby zredukować ryzyko, można wysłać do użytkownika powiadomienie z pytaniem o to, czy naruszenie było zamierzone i czy użytkownik był świadomy naruszenia.

    Można także zapoznać się ze szczegółami alertu i zawiesić użytkownika do czasu ustalenia zakresu koniecznych działań.

  3. Jeśli jest to dozwolone zdarzenie, które prawdopodobnie nie będzie się powtarzać, można odrzucić alert.

    Jeśli jest to zdarzenie dozwolone, które będzie się powtarzać, można zmienić zasady tak, aby w przyszłości tego typu zdarzenia nie były uznawane za naruszenia.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.