Поделиться через

Управление оповещениями системы управления приложениями

  • Статья

Вы можете исследовать оповещения о вредоносных облачных приложениях и приложениях, которые могут представлять риски для вашей организации на страницах оповещений XDR в Microsoft Defender или инцидентах.

Например:

Screenshot of the app governance alerts summary page in the Microsoft Defender XDR.

Просмотр сведений об оповещении

По умолчанию на странице оповещений XDR в Microsoft Defender перечислены новые оповещения, созданные управлением приложениями на основе правил обнаружения угроз и активных политик. Просмотрите сведения о конкретном оповещении, выбрав оповещение. Откроется страница с дополнительными сведениями об оповещении и параметрах управления оповещением.

Например:

Screenshot of additional information about the alert and options for managing the alert.

На странице можно получить дополнительные сведения из раздела "История оповещений":

  • Точные сведения о том, почему оповещение было создано в разделе "Что произошло"
  • Сведения об исправлении оповещения в разделе "Рекомендуемые действия"

Управление оповещением системы управления приложениями

Чтобы изучить и принять меры по приложению в управлении приложениями, выберите сущность приложения карта в разделе "Связанные сущности", а затем выберите "Просмотреть сведения о приложении".

Политики приложений, настроенные для автоматического исправления из действия, имеют состояние "Разрешено".

Чтобы управлять оповещением системы управления приложениями, выполните следующие действия.

  1. Исследование. Просмотрите сведения в оповещении и измените его состояние на Mark в ходе выполнения.
  2. Решение. После расследования и при необходимости определение политики приложений или продолжение поддержки приложений в клиенте измените его состояние на Resolved.

На основе шаблонов оповещений приложения можно обновить соответствующую политику приложения и изменить его параметр действия , чтобы выполнить автоматическое исправление. Это удаляет необходимость исследовать и вручную разрешать будущие оповещения, созданные политикой приложений. Дополнительные сведения см. в разделе "Управление политиками приложений".

Запрет или утверждение приложения OAuth, подключенного к Salesforce и Google Workspace

Примечание.

Этот раздел относится только к приложениям Salesforce и Google Workspace.

  1. На вкладках приложений Google или Salesforce выберите приложение, чтобы открыть область приложений и просмотреть дополнительные сведения о приложении и разрешениях, предоставленных им.

    • Выберите разрешения для просмотра полного списка разрешений, предоставленных приложению.
    • В разделе Использование сообществом можно просмотреть, насколько широко приложение используется в других организациях.
    • Выберите связанное действие , чтобы просмотреть действия, перечисленные в журнале действий, связанных с этим приложением.

  2. Чтобы запретить приложение, выберите значок запрета в конце строки приложения в таблице. Например:

    Screenshot of a ban app icon.

    • Вы можете выбрать, нужно ли сообщить пользователям о том, что ранее установленное и одобренное ими приложение было заблокировано. В уведомлении пользователям сообщается о том, что приложение будет отключено и доступ к нему станет невозможен. Если вы не хотите сообщать пользователям о блокировке приложения, снимите флажок Уведомить пользователей, предоставивших доступ заблокированному приложению в диалоговом окне.
    • Рекомендуется сообщать пользователям о блокировке одобренного ими приложения.

    Например:

    Screenshot of banning an app.

  3. Введите сообщение, которое вы хотите отправить пользователям, в поле "Введите пользовательское сообщение для уведомления". Выберите "Запретить" для отправки почты и запретить приложению пользователям подключенных приложений.

  4. Чтобы утвердить приложение, выберите значок утверждения в конце строки в таблице.

    Screenshot of the approve app icon.

    • Значок состояния станет зеленым, и приложение будет доступно для всех пользователей подключенного приложения.
    • Одобрение приложения никак не повлияет на конечных пользователей. Изменение цвета позволяет визуально отделить приложения, которые вы одобрили, от приложений, к которым вы еще не обращались.

Отзыв приложения OAuth, подключенного к Salesforce и Google Workspace, и уведомление пользователя

Примечание.

Этот раздел относится только к приложениям Salesforce и Google Workspace. Для Google Workspace и Salesforce можно отозвать разрешение на приложение или уведомить пользователя о том, что он должен изменить разрешение. При отмене разрешения удаляются все разрешения, предоставленные приложению в разделе "Корпоративные приложения" в идентификаторе Microsoft Entra.

  1. На вкладках приложений Google или Salesforce выберите три точки в конце строки приложения и нажмите кнопку "Уведомить пользователя". По умолчанию пользователь получает уведомление следующим образом: вы авторизовать приложение для доступа к учетной записи Google Workspace. Это приложение конфликтует с политикой безопасности вашей организации. Пересмотреть предоставление или отзыв разрешений, которые вы предоставили этому приложению в учетной записи Google Workspace. Чтобы отменить доступ к приложению, перейдите к: https://security.google.com/settings/security/permissions?hl=en& pli=1 Выберите приложение и выберите "Отозвать доступ" в правой строке меню. Вы можете настроить отправленное сообщение.

  2. Кроме того, можно отозвать выданные пользователю разрешения на использование приложения. Щелкните значок в конце строки приложения в таблице и нажмите кнопку "Отозвать приложение".

    Screenshot of the revoke app icon.

Следующие шаги

Защита приложений, обращаюющихся к API, отличных от Graph, с помощью управления приложениями