Создание политик Cloud Discovery

  • Статья

Вы можете создать политики обнаружения приложений. Они будут оповещать вас о новых приложениях. Defender для облака Приложения также выполняет поиск всех журналов в Cloud Discovery для аномалий.

Создание политики обнаружения приложения

Политики обнаружения позволяют задать оповещения, уведомляющие вас об обнаружении новых приложений в организации.

  1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам управления> политиками. Затем выберите вкладку Теневого ИТ-специалистов .

  2. Выберите "Создать политику" и выберите политику обнаружения приложений.

    Create a Cloud Discovery policy.

  3. Укажите имя и описание политики. При необходимости можно использовать в качестве основы политики шаблон. Дополнительные сведения о шаблонах политик см. в разделе Управление облачными приложениями с помощью политик.

  4. Задайте значение для параметра Важность политики.

  5. Чтобы выбрать обнаруженные приложения, которые активируют эту политику, добавьте фильтры.

  6. Можно задать пороговое значение для чувствительности политики. Включите параметр Активировать соответствие политике, если все перечисленное происходит в один и тот же день. Вы можете задать критерии, которые приложение должно превышать ежедневно для соответствия политике. Выберите один из следующих критериев.

    • Ежедневный трафик
    • Скачанные данные
    • Число IP-адресов
    • количество транзакций;
    • Число пользователей
    • Отправленные данные

  7. Задайте ежедневный лимит оповещений в разделе Оповещения. Выберите, отправляется ли оповещение в виде сообщения электронной почты. Затем укажите адреса электронной почты по мере необходимости.

    • Выбор параметров оповещения "Сохранить" в качестве значения по умолчанию для организации позволяет будущим политикам использовать этот параметр.
    • Если имеются параметры по умолчанию, вы можете выбрать Использовать параметры организации по умолчанию.

  8. Выберите действия системы управления, применяемые, когда приложение соответствует политике. Он может помечать политики как санкционированные, неуправляемые, отслеживаемые или настраиваемые теги.

  9. Нажмите кнопку создания.

Примечание.

  • Только что созданные политики обнаружения (или политики с обновленными непрерывными отчетами) активируют оповещение один раз в 90 дней на приложение на каждый непрерывный отчет независимо от наличия существующих оповещений для одного приложения. Например, если вы создаете политику для обнаружения новых популярных приложений, это может активировать дополнительные оповещения для приложений, которые уже обнаружены и оповещены.
  • Данные из отчетов моментальных снимков не активируют оповещения в политиках обнаружения приложений.

Например, если вы заинтересованы в обнаружении рискованных приложений размещения в облачной среде, задайте политику следующим образом.

Задайте фильтры политик для обнаружения всех служб, относящихся к категории Службы размещения и имеющих оценку риска 1, указывающую на их высокую рискованность.

Задайте пороговые значения, которые должны активировать оповещение для определенного обнаруженного приложения ниже. Например: оповещать, только если больше 100 пользователей в среде использовали приложение и при этом скачали определенный объем данных из службы. Кроме того, можно задать предельное количество получаемых ежедневно оповещений.

app discovery policy example.

Обнаружение аномалий Cloud Discovery

Defender для облака приложения выполняет поиск всех журналов в Cloud Discovery для аномалий. Например, когда пользователь, который раньше никогда не использовал Dropbox, внезапно отправляет туда 600 ГБ, или для определенного приложения выполняется гораздо больше транзакций, чем обычно. Политика обнаружения аномалий включена по умолчанию. Необязательно настраивать новую политику. Однако вы можете задать типы аномалий, о которых хотите получать оповещения в политике по умолчанию.

  1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам управления> политиками. Затем выберите вкладку Теневого ИТ-специалистов .

  2. Выберите "Создать политику" и выберите политику обнаружения аномалий Cloud Discovery.

    cloud discovery anomaly detection policy menu.

  3. Укажите имя и описание политики. При необходимости можно использовать в качестве основы политики шаблон. Дополнительные сведения о шаблонах политик см. в статье Управление облачными приложениями с помощью политик.

  4. Чтобы задать, какие обнаруженные приложения активируют эту политику, выберите " Добавить фильтры".

    Фильтры можно выбрать в раскрывающихся списках. Чтобы добавить фильтры, нажмите кнопку "Добавить фильтр". Чтобы удалить фильтр, выберите "X".

  5. В разделе Применение выберите область применения политики: Все непрерывные отчеты или Определенные непрерывные отчеты. Укажите, применяется ли политика к пользователям, IP-адресам или и к тому и к другому.

  6. Выберите даты, во время которых аномальная активность приводит к выдаче оповещения, в разделе Выдавать оповещения только для подозрительных действий, произошедших после указанной даты.

  7. Задайте ежедневный лимит оповещений в разделе Оповещения. Выберите, отправляется ли оповещение в виде сообщения электронной почты. Затем укажите адреса электронной почты по мере необходимости.

    • Выбор параметров оповещения "Сохранить" в качестве значения по умолчанию для организации позволяет будущим политикам использовать этот параметр.
    • Если имеются параметры по умолчанию, вы можете выбрать Использовать параметры организации по умолчанию.

  8. Нажмите кнопку создания.

    new discovery anomaly policy.

Вебинар конфигурации обнаружения приложений и сборщика журналов

Следующие шаги

Политики действий пользователей

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.