Управление облачными приложениями с помощью политик

  • Статья

С помощью политик можно указать, как ваши пользователи должны вести себя в облаке. Политики позволяют обнаруживать рискованные действия, нарушения или подозрительные точки данных и действия в вашей облачной среде. При необходимости вы можете интегрировать рабочие процессы исправления, чтобы полностью устранить риски. Существует несколько типов политик, соответствующих различным типам сведений о вашей облачной среде, которые вам необходимо собирать, и типам действий по исправлению, которые вы можете предпринять.

Например, если существует угроза нарушения в отношении данных, которую вы хотите изолировать, вам потребуется другой тип политики, чем если бы вы хотите заблокировать рискованное облачное приложение, чтобы предотвратить его использование в вашей организации.

Типы политик

При просмотре страницы управления политиками различные политики и шаблоны можно различать по типам и значкам, чтобы узнать, какие политики доступны. Политики можно просматривать на вкладке Все политики или на вкладках соответствующих категорий. Доступные политики зависят от источника данных и того, что вы включили в Defender для облака Apps для вашей организации. Например, если вы загрузили журналы Cloud Discovery, отображаются политики, связанные с Cloud Discovery.

Можно создать политики следующих типов:

Значок типа политики Тип политики Категория Оптимальный метод
activity policy icon. Политика действий Обнаружение угроз Политики действий позволяют применять широкий спектр автоматизированных процессов с помощью API поставщика приложений. Эти политики позволяют отслеживать определенные действия, которые выполняли различные пользователи, а также неожиданно высокие показатели определенных типов действий. Подробнее
anomaly detection policy icon. Политика обнаружения аномалий Обнаружение угроз Политики обнаружения аномалий позволяют искать в своем облаке необычные действия. Принцип обнаружения основан на установленных вами факторах риска, призванных оповещать об отклонениях от базовых показателей вашей организации или от обычных действий пользователя. Подробнее
OAuth app policy icon. Политика приложений OAuth Обнаружение угроз Политики приложений OAuth позволяют исследовать разрешения, запрашиваемые каждым приложением OAuth, и автоматически утвердить или отозвать его. Это встроенные политики, которые входят в Defender для облака приложения и не могут быть созданы. Подробнее
Malware detection policy icon. Политика обнаружения вредоносных программ Обнаружение угроз Политики обнаружения вредоносных программ позволяют определить вредоносные файлы в облачном хранилище и автоматически утвердить или отозвать его. Это встроенная политика, которая поставляется с Defender для облака приложениями и не может быть создана. Подробнее
file policy icon. Политика файлов Защита информации Политики файлов позволяют просканировать облачные приложения на наличие указанных файлов или типов файлов (совместное использование, совместное использование с внешними доменами), определенных данных (конфиденциальная информация, личные сведения, сведения о кредитных картах и данные других типов), а также применить к файлам действия системы управления (они зависят от конкретного облачного приложения). Подробнее
access policy icon. Политика доступа Условный доступ Политики доступа обеспечивают мониторинг и управление входом пользователей в облачные приложения в режиме реального времени. Подробнее
session policy icon. Политика сеанса Условный доступ Политики сеансов дают возможность мониторинга в режиме реального времени и контроль над входом пользователей в ваши облачные приложения. Подробнее
cloud discovery policy icon. Политика обнаружения приложений Теневые ИТ Политики обнаружения приложений позволяют настраивать оповещения при обнаружении новых приложений в организации. Подробнее
anomaly detection policy icon. Политика обнаружения аномалий Cloud Discovery Теневые ИТ Политика обнаружения аномалий Cloud Discovery анализирует используемые журналы для обнаружения облачных приложений и поиска необычных вхождений. Например, когда пользователь, который до этого никогда не использовал Dropbox, внезапно загружает туда 600 ГБ или когда в определенном приложении происходит намного больше транзакций, чем обычно. Подробнее

Идентификация риска

Defender for Cloud Apps помогает снизить различные риски в облаке. Вы можете настроить любую политику и оповещение, связанные с одним из следующих рисков:

  • Управление доступом: кто управляет доступом и откуда?

    Постоянно отслеживайте поведение и выявляйте аномальные действия, включая рискованные внутренние и внешние атаки, и применяйте политику, чтобы вывести оповещение, заблокировать работу или потребовать проверку удостоверения для любого приложения или определенного действия в приложении. Включает политики локального и мобильного управления доступом на основе пользователя, устройства и географии с возможностью жесткой блокировки, детального просмотра, редактирования и блокировки. Вы можете обнаруживать подозрительные события входа, включая сбои многофакторной проверки подлинности, ошибки входа с отключенной учетной записью и события олицетворения.

  • Соответствие требованиям: нарушены ли ваши требования к соответствию?

    Каталогизируйте и определяйте конфиденциальные или регулируемые данные, включая разрешения общего доступа для каждого файла, хранимые в службах синхронизации файлов для обеспечения соответствия требованиям PCI, SOX и HIPAA.

  • Управление конфигурацией: вносятся ли в вашей организации несанкционированные изменения?

    Отслеживание изменений конфигурации, включая удаленное управление конфигурацией.

  • Cloud Discovery: используются ли в вашей организации новые приложения? Есть ли у вас проблемы с теневыми ИТ-приложениями, о которых вы не знаете?

    Оцените общий риск для каждого облачного приложения на основе нормативных и отраслевых сертификаций и рекомендаций. Позволяет отслеживать количество пользователей, действия, объем трафика и типичные часы использования для каждого облачного приложения.

  • Защита от потери данных: являются ли конфиденциальные файлы общедоступными? Требуется ли изолировать файлы?

    Интеграция с локальной защитой от потери данных обеспечивает интеграцию и исправление замкнутого цикла с привлечением существующих решений для DLP.

  • Привилегированные учетные записи: нужно ли отслеживать учетные записи администраторов?

    Мониторинг активности в режиме реального времени и отчетность по привилегированным пользователям и администраторам.

  • Управление общим доступом: как осуществляется общий доступ к данным в облачной среде?

    Проверьте содержимое файлов и облака и примените политики предоставления внешнего и внутреннего общего доступа. Отслеживайте совместную работу и применяйте политики общего доступа, например, блокирование общего доступа к файлам за пределами вашей организации.

  • Обнаружение угроз: существуют ли подозрительные действия, угрожающие облачной среде?

    Получение уведомлений в режиме реального времени для любых нарушений политики или порогового значения действий по электронной почте. Применяя алгоритмы машинного обучения, Defender for Cloud Apps позволяет обнаруживать поведение, которое может означать, что пользователь неправильно использует данные.

Способы управления рисками

Следуйте этой процедуре для управления рисками с помощью политик:

  1. Создайте политику из шаблона или запроса.

  2. Настройте политику для обеспечения ожидаемых результатов.

  3. Добавьте автоматические действия отвечать и устраните риски в автоматическом режиме.

Создание политики

Вы можете использовать шаблоны политик Defender для облака Apps в качестве основы для всех политик или создавать политики из запроса.

Шаблоны политики помогают задавать подходящие фильтры и конфигурации для обнаружения конкретных событий в вашей среде. Такие шаблоны содержат политики всех типов и могут применяться к различным службам.

Чтобы создать политику из шаблонов политики, выполните следующие действия.

  1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам —>шаблоны политик.

    Create the policy from a template.

  2. Выберите знак плюса (+) в правом углу строки шаблона, который вы хотите использовать. Открывается страница создания политики с предопределенной конфигурацией шаблона.

  3. Внесите в шаблон необходимые изменения для настраиваемой политики. Все свойства и поля этой новой политики на основе шаблона можно изменить в соответствии с вашими потребностями.

    Примечание.

    При использовании фильтров политик параметр Содержит означает поиск только по полным словам, разделенным запятыми, точками, пробелами или знаками подчеркивания. Например, при поиске по словам malware или virus файл virus_malware_file.exe будет обнаружен, а файл malwarevirusfile.exe — нет. Если вы ищете malware.exe, вы найдете ВСЕ файлы с вредоносными программами или exe в имени файла, в то время как при поиске "malware.exe" (с кавычками) будут находиться только файлы, содержащие точно "malware.exe".
    Параметр Равно означает поиск только по полной строке. Например, если вы укажете строку malware.exe, будет найден файл "malware.exe", но файл "malware.exe.txt" найден не будет.

  4. После создания политики на основе шаблона ссылка на нее отображается в столбце Связанные политики таблицы шаблона политики рядом с шаблоном, из которого была создана политика. Вы можете создать из каждого шаблона столько политик, сколько хотите, и они будут связаны с исходным шаблоном. Связывание позволяет отслеживать все политики, созданные на основе одного шаблона.

Кроме того, вы можете создать политику во время расследования. Если вы изучаете журнал действий, файлы или удостоверения, а также выполняете детализацию для поиска определенного, в любое время вы можете создать новую политику на основе результатов исследования.

Например, вы можете создать его, если вы просматриваете журнал действий и видите действия администратора за пределами IP-адресов вашего офиса.

Чтобы создать политику по результатам анализа, выполните следующие действия.

  1. На портале Microsoft Defender перейдите к одному из следующих вариантов:

    • Cloud Apps —>журнал действий
    • Облачные приложения ->Files
    • Ресурсы ->удостоверения

  2. Используйте фильтры в верхней части страницы, чтобы ограничить результаты поиска подозрительной областью. Например, на странице журнала действий выберите действие Администратор istrative и нажмите кнопку True. Затем в разделе IP-адрес выберите Категория и укажите значение таким образом, чтобы оно не включало категории IP-адресов, созданные для известных доменов, например IP-адреса администратора, организации и VPN.

    Create file from investigation.

  3. Под запросом выберите новую политику из поиска.

    New policy from search button.

  4. Открывается страница создания политики, содержащая фильтры, которые вы использовали при расследовании.

  5. Внесите в шаблон необходимые изменения для настраиваемой политики. Все свойства и поля этой новой политики на основе расследования можно изменить в соответствии с вашими потребностями.

    Примечание.

    При использовании фильтров политик параметр Содержит означает поиск только по полным словам, разделенным запятыми, точками, пробелами или знаками подчеркивания. Например, при поиске по словам malware или virus файл virus_malware_file.exe будет обнаружен, а файл malwarevirusfile.exe — нет.
    Параметр Равно означает поиск только по полной строке. Например, если вы укажете строку malware.exe, будет найден файл "malware.exe", но файл "malware.exe.txt" найден не будет.

    create activity policy from investigation.

    Примечание.

    Дополнительные сведения о настройке полей политики см. в документации по соответствующим политикам.

    Политики действий пользователей

    Политики защиты данных

    Политики Cloud Discovery

Добавление автоматических действий для ответа на риски и их устранения

Список доступных действий управления для каждого приложения см. в разделе Управление подключенными приложениями.

Вы также можете задать политику для отправки оповещения по электронной почте при обнаружении совпадений.

Чтобы задать настройки уведомлений, перейдите к настройкам уведомлений по электронной почте.

Включение и отключение политик

После создания политики ее можно включить или отключить. Отключение позволяет не удалять созданную политику, если ее нужно остановить. Если вы по какой-то причине хотите остановить политику, отключите ее. Позже ее можно будет включить снова.

  • Чтобы включить политику, на странице "Политика " выберите три точки в конце строки политики, которую вы хотите включить. Выберите Включить.

    Enable policy.

  • Чтобы отключить политику, на странице "Политика " выберите три точки в конце строки политики, которую вы хотите отключить. Выберите Отключить.

    Disable policy.

По умолчанию политика включается после создания.

Отчет об обзоре политик

Defender для облака Приложения позволяют экспортировать отчет об общих политиках, показывающий статистические метрики оповещений для каждой политики, помогая отслеживать, понимать и настраивать политики для более эффективной защиты организации.

Чтобы экспортировать журнал, выполните следующие действия.

  1. На странице "Политики" нажмите кнопку "Экспорт".

  2. Укажите требуемый диапазон времени.

  3. Выберите Экспорт. Этот процесс может занять некоторое время.

Чтобы скачать экспортируемый отчет, выполните следующие действия.

  1. После того как отчет будет готов, перейдите на портал Microsoft Defender, перейдите к отчетам, а затем в облачных приложениях —> экспортированные отчеты.

  2. В таблице выберите соответствующий отчет и нажмите кнопку "Скачать".

    download button.

Следующие шаги

Рекомендации по защите организации

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.