Ежемесячное руководство по работе с приложениями Microsoft Defender для облака
В этой статье перечислены ежемесячные операционные действия, которые мы рекомендуем выполнять с Microsoft Defender для облака приложениями.
Ежемесячные действия можно выполнять чаще или по мере необходимости в зависимости от среды и потребностей.
Проверка оценок политик
Где: на портале XDR в Microsoft Defender выберите управление политиками политик облачных > приложений >
Persona: администраторы безопасности и соответствия требованиям
Просмотрите политики и внесите необходимые обновления, чтобы убедиться, что они по-прежнему подходят для вашей организации.
Проверьте ложноположительные и доброкачественные истинные положительные ставки, а также настройте политики, где ставки слишком высоки. Например, убедитесь, что любой новый корпоративный IP-адрес правильно настроен в параметрах Defender для облака Apps, чтобы избежать невозможного ложноположительных срабатываний.
Просмотрите бизнес-потребности и оцените требования к пользовательским политикам. Например, обнаружена ли угроза каждой политикой? Или есть новое встроенное решение для обнаружения этой угрозы?
Очистка старых оповещений. Например:
- Просмотр оповещений за последние шесть месяцев. Отфильтруйте оповещения, помеченные как разрешенные, и группировать аналогичные оповещения, чтобы упростить просмотр.
- Проверьте, почему каждое отображаемое оповещение не устранено.
- Если оповещения являются доброкачественными, закройте их и измените политики по мере необходимости.
Дополнительные сведения см. в разделе "Управление облачными приложениями" с помощью политик.
Просмотр журналов действий
Где: на портале XDR в Microsoft Defender в облачных приложениях выберите журнал действий.
Persona: администраторы безопасности и соответствия требованиям
Вы часто просматриваете журналы действий в отношении оповещений и в рамках расследований угроз. Мы рекомендуем пересмотреть журнал действий ежемесячно, чтобы проверка для повторяющихся действий одной и той же сущности, например нескольких поисковых запросов или входа одного пользователя.
- Результаты сводки по типу действия, например сбой входа, или удаление или назначение привилегий.
- Сузьте действие до приложения или пользователя.
- Используйте результаты для создания новой политики, чтобы обеспечить более тесное отслеживание потенциальных угроз и реагирование на них.
Дополнительные сведения см. в разделе "Запросы действий".
Связанный контент
руководство по работе с приложениями Microsoft Defender для облака