Udostępnij za pośrednictwem


Typowe zasady ochrony przed zagrożeniami w usłudze Defender dla Chmury Apps

Defender dla Chmury Apps umożliwia identyfikowanie problemów z wysokim ryzykiem i zabezpieczeń w chmurze, wykrywanie nietypowych zachowań użytkowników i zapobieganie zagrożeniom w zaakceptowanych aplikacjach w chmurze. Uzyskaj wgląd w działania użytkowników i administratorów oraz zdefiniuj zasady, aby automatycznie otrzymywać alerty w przypadku wykrycia podejrzanych zachowań lub określonych działań, które uważasz za ryzykowne. Korzystaj z ogromnej ilości danych analizy zagrożeń i zabezpieczeń firmy Microsoft, aby zapewnić, że zaakceptowane przez Ciebie aplikacje mają wszystkie potrzebne mechanizmy kontroli zabezpieczeń i pomagają zachować kontrolę nad nimi.

Uwaga

Podczas integrowania aplikacji Defender dla Chmury z usługą Microsoft Defender for Identity zasady z usługi Defender for Identity są również wyświetlane na stronie zasad. Aby uzyskać listę zasad usługi Defender for Identity, zobacz Alerty zabezpieczeń.

Wykrywanie i kontrolowanie aktywności użytkownika z nieznanych lokalizacji

Automatyczne wykrywanie dostępu użytkowników lub działań z nieznanych lokalizacji, które nigdy nie były odwiedzane przez nikogo innego w organizacji.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

To wykrywanie jest automatycznie konfigurowane poza polem, aby otrzymywać alerty, gdy jest dostępny dostęp z nowych lokalizacji. Nie musisz podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

Wykrywanie konta naruszonego przez niemożliwą lokalizację (niemożliwa podróż)

Automatyczne wykrywanie dostępu użytkownika lub aktywności z 2 różnych lokalizacji w okresie krótszym niż czas podróży między nimi.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. To wykrywanie jest automatycznie konfigurowane jako gotowe, aby otrzymywać alerty w przypadku uzyskania dostępu z niemożliwych lokalizacji. Nie musisz podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

  2. Opcjonalnie: możesz dostosować zasady wykrywania anomalii:

    • Dostosowywanie zakresu wykrywania pod względem użytkowników i grup

    • Wybierz typy logów do rozważenia

    • Ustawianie preferencji poufności dla alertów

  3. Utwórz zasady wykrywania anomalii.

Wykrywanie podejrzanych działań od pracownika "na urlopie"

Wykryj, kiedy użytkownik, który nie ma bezpłatnego urlopu i nie powinien być aktywny w żadnym zasobie organizacji, uzyskuje dostęp do żadnego z zasobów w chmurze organizacji.

Wymagania wstępne

  • Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

  • Utwórz grupę zabezpieczeń w usłudze Microsoft Entra ID dla użytkowników niezapłaconych urlopów i dodaj wszystkich użytkowników, których chcesz monitorować.

Kroki

  1. Na ekranie Grupy użytkowników wybierz pozycję Utwórz grupę użytkowników i zaimportuj odpowiednią grupę firmy Microsoft Entra.

  2. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady działania.

  3. Ustaw filtr Grupa użytkowników równa się nazwie grup użytkowników utworzonych w usłudze Microsoft Entra ID dla niezapłaconych użytkowników.

  4. Opcjonalnie: ustaw akcje nadzoru , które mają być wykonywane dla plików po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. Możesz wybrać pozycję Wstrzymaj użytkownika.

  5. Utwórz zasady dotyczące plików.

Wykrywanie i powiadamianie o użyciu nieaktualnego systemu operacyjnego przeglądarki

Wykryj, kiedy użytkownik korzysta z przeglądarki z nieaktualną wersją klienta, która może stanowić zagrożenie dla zgodności lub bezpieczeństwa organizacji.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady działania.

  2. Ustaw filtr Tag agenta użytkownika równy nieaktualnej przeglądarce i Nieaktualny system operacyjny.

  3. Ustaw akcje nadzoru, które mają być wykonywane na plikach po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. W obszarze Wszystkie aplikacje wybierz pozycję Powiadom użytkownika, aby użytkownicy mogli podejmować działania na alertach i aktualizować niezbędne składniki.

  4. Utwórz zasady działania.

Wykrywanie i zgłaszanie alertów po wykryciu aktywności administratora na ryzykownych adresach IP

Wykryj działania administratora wykonywane z adresu IP i, które są uznawane za ryzykowny adres IP, i powiadamiaj administratora systemu o dalszych badaniach lub ustaw akcję nadzoru na koncie administratora.

Wymagania wstępne

  • Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

  • W obszarze Koła zębatego Ustawienia wybierz pozycję Zakresy adresów IP i wybierz pozycję + , aby dodać zakresy adresów IP dla wewnętrznych podsieci i ich publicznych adresów IP ruchu wychodzącego. Ustaw kategorię na wartość Wewnętrzna.

Kroki

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady działania.

  2. Ustaw opcję Działanie na wartość Pojedyncze działanie.

  3. Ustaw filtr adres IP na Kategoria równe Ryzykowne

  4. Ustaw filtr Działania administracyjne na true

  5. Ustaw akcje nadzoru, które mają być wykonywane na plikach po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług. W obszarze Wszystkie aplikacje wybierz pozycję Powiadom użytkownika, aby użytkownicy mogli wykonywać działania na alertie i aktualizować niezbędne składniki CC menedżera użytkownika.

  6. Utwórz zasady działań.

Wykrywanie działań według konta usługi z zewnętrznych adresów IP

Wykrywanie działań konta usługi pochodzących z niewewnętrznych adresów IP. Może to wskazywać na podejrzane zachowanie lub naruszone konto.

Wymagania wstępne

  • Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

  • W obszarze Koła zębatego Ustawienia wybierz pozycję Zakresy adresów IP i wybierz pozycję + , aby dodać zakresy adresów IP dla wewnętrznych podsieci i ich publicznych adresów IP ruchu wychodzącego. Ustaw kategorię na wartość Wewnętrzna.

  • Standaryzacja konwencji nazewnictwa kont usług w środowisku, na przykład ustaw wszystkie nazwy kont, aby rozpocząć od "svc".

Kroki

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady działania.

  2. Ustaw filtr User na Nazwa , a następnie Rozpoczyna się od i wprowadź konwencję nazewnictwa, taką jak svc.

  3. Ustaw filtr adres IP na Kategoria nie równa się wartość Inne i Firmowe.

  4. Ustaw akcje nadzoru, które mają być wykonywane na plikach po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług.

  5. Utwórz zasady.

Wykrywanie masowego pobierania (eksfiltracja danych)

Wykryj, kiedy określony użytkownik uzyskuje dostęp do lub pobiera ogromną liczbę plików w krótkim czasie.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady działania.

  2. Ustaw filtr adresy IP na Tag nie równa się platformie Microsoft Azure. Spowoduje to wykluczenie nieinterakcyjnych działań opartych na urządzeniach.

  3. Ustaw filtr Typy działań równe, a następnie wybierz wszystkie odpowiednie działania pobierania.

  4. Ustaw akcje nadzoru, które mają być wykonywane na plikach po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług.

  5. Utwórz zasady.

Wykrywanie potencjalnego działania oprogramowania wymuszającego okup

Automatyczne wykrywanie potencjalnego działania oprogramowania wymuszającego okup.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. To wykrywanie jest automatycznie konfigurowane jako gotowe, aby otrzymywać alerty po wykryciu potencjalnego ryzyka związanego z oprogramowaniem wymuszającym okup. Nie musisz podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

  2. Istnieje możliwość skonfigurowania zakresu wykrywania i dostosowania akcji nadzoru do wykonania po wyzwoleniu alertu. Aby uzyskać więcej informacji na temat identyfikowania oprogramowania wymuszającego okup przez aplikacje Defender dla Chmury, zobacz Ochrona organizacji przed oprogramowaniem wymuszającym okup.

Uwaga

Dotyczy to rozwiązań Microsoft 365, Google Workspace, Box i Dropbox.

Wykrywanie złośliwego oprogramowania w chmurze

Wykrywaj pliki zawierające złośliwe oprogramowanie w środowiskach chmury, korzystając z integracji Defender dla Chmury Apps z aparatem analizy zagrożeń firmy Microsoft.

Wymagania wstępne

  • W przypadku wykrywania złośliwego oprogramowania na platformie Microsoft 365 musisz mieć ważną licencję usługi Microsoft Defender dla platformy Microsoft 365 P1.
  • Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  • To wykrywanie jest automatycznie konfigurowane poza polem, aby otrzymywać alerty, gdy istnieje plik, który może zawierać złośliwe oprogramowanie. Nie musisz podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

Wykrywanie nieautoryzowania przejęcia przez administratora

Wykryj powtarzające się działania administratora, które mogą wskazywać na złośliwe intencje.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Utwórz nowe zasady działania.

  2. Ustaw opcję Działanie na Wartość Powtórzone działanie i dostosuj minimalne powtarzające się działania i ustaw przedział czasu, aby były zgodne z zasadami organizacji.

  3. Ustaw filtr User na From group equals (Z grupy) i wybierz wszystkie powiązane grupy administratorów jako Aktor.

  4. Ustaw filtr Typ działania równy wszystkim działaniom, które odnoszą się do aktualizacji haseł, zmian i resetowania.

  5. Ustaw akcje nadzoru, które mają być wykonywane na plikach po wykryciu naruszenia. Dostępne akcje ładu różnią się w zależności od usług.

  6. Utwórz zasady.

Wykrywanie podejrzanych reguł manipulowania skrzynką odbiorczą

Jeśli na skrzynce odbiorczej użytkownika ustawiono podejrzaną regułę skrzynki odbiorczej, może to oznaczać, że konto użytkownika zostało naruszone i że skrzynka pocztowa jest używana do dystrybucji spamu i złośliwego oprogramowania w organizacji.

Wymagania wstępne

  • Korzystanie z programu Microsoft Exchange na potrzeby poczty e-mail.

Kroki

  • To wykrywanie jest automatycznie konfigurowane poza polem, aby otrzymywać alerty, gdy istnieje podejrzany zestaw reguł skrzynki odbiorczej. Nie musisz podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

Wykrywanie wycieku poświadczeń

Gdy cyberprzestępcy naruszyją prawidłowe hasła uprawnionych użytkowników, często udostępniają te poświadczenia. Zazwyczaj odbywa się to poprzez opublikowanie ich publicznie w ciemnej sieci lub witryn wklejanych albo przez handel lub sprzedaż poświadczeń na czarnym rynku.

Defender dla Chmury Apps wykorzystuje analizę zagrożeń firmy Microsoft do dopasowania takich poświadczeń do tych używanych w organizacji.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

To wykrywanie jest automatycznie konfigurowane poza urządzeniem, aby otrzymywać alerty po wykryciu ewentualnego wycieku poświadczeń. Nie musisz podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

Wykrywanie nietypowych plików do pobrania

Wykryj, kiedy użytkownicy wykonują wiele działań pobierania plików w jednej sesji względem punktu odniesienia. Może to wskazywać na próbę naruszenia.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. To wykrywanie jest automatycznie konfigurowane poza polem, aby otrzymywać alerty po wystąpieniu nietypowego pobierania. Nie musisz podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

  2. Istnieje możliwość skonfigurowania zakresu wykrywania i dostosowania akcji do wykonania po wyzwoleniu alertu.

Wykrywanie nietypowych udziałów plików przez użytkownika

Wykryj, kiedy użytkownicy wykonują wiele działań udostępniania plików w jednej sesji w odniesieniu do poznanego punktu odniesienia, co może wskazywać na próbę naruszenia.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. Ta funkcja wykrywania jest automatycznie konfigurowana w taki sposób, aby otrzymywać alerty, gdy użytkownicy wykonują wiele udostępniania plików. Nie musisz podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

  2. Istnieje możliwość skonfigurowania zakresu wykrywania i dostosowania akcji do wykonania po wyzwoleniu alertu.

Wykrywanie nietypowych działań z rzadko występującego kraju/regionu

Wykrywanie działań z lokalizacji, która nie była ostatnio lub nigdy nie była odwiedzana przez użytkownika lub przez żadnego użytkownika w organizacji.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. To wykrywanie jest automatycznie konfigurowane poza polem, aby otrzymywać alerty w przypadku wystąpienia nietypowego działania z rzadko występującego kraju/regionu. Nie musisz podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

  2. Istnieje możliwość skonfigurowania zakresu wykrywania i dostosowania akcji do wykonania po wyzwoleniu alertu.

Uwaga

Wykrywanie nietypowych lokalizacji wymaga początkowego okresu nauki z 7 dni. W okresie uczenia Defender dla Chmury Aplikacje nie generują alertów dla nowych lokalizacji.

Wykrywanie aktywności wykonywanej przez zakończonego użytkownika

Wykryj, kiedy użytkownik, który nie jest już pracownikiem organizacji, wykonuje działanie w zaakceptowanej przez sankcje aplikacji. Może to wskazywać na złośliwe działanie zakończonego pracownika, który nadal ma dostęp do zasobów firmy.

Wymagania wstępne

Musisz mieć co najmniej jedną aplikację połączoną przy użyciu łączników aplikacji.

Kroki

  1. To wykrywanie jest automatycznie konfigurowane poza urządzeniem, aby otrzymywać alerty po wykonaniu działania przez zakończonego pracownika. Nie musisz podejmować żadnych działań w celu skonfigurowania tych zasad. Aby uzyskać więcej informacji, zobacz Zasady wykrywania anomalii.

  2. Istnieje możliwość skonfigurowania zakresu wykrywania i dostosowania akcji do wykonania po wyzwoleniu alertu.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.