Поделиться через

Ежемесячное руководство по работе с приложениями Microsoft Defender для облака

  • Статья

В этой статье перечислены ежемесячные операционные действия, которые мы рекомендуем выполнять с Microsoft Defender для облака приложениями.

Ежемесячные действия можно выполнять чаще или по мере необходимости в зависимости от среды и потребностей.

Проверка оценок политик

Где: на портале XDR в Microsoft Defender выберите управление политиками политик облачных > приложений >

Persona: администраторы безопасности и соответствия требованиям

Просмотрите политики и внесите необходимые обновления, чтобы убедиться, что они по-прежнему подходят для вашей организации.

  • Проверьте ложноположительные и доброкачественные истинные положительные ставки, а также настройте политики, где ставки слишком высоки. Например, убедитесь, что любой новый корпоративный IP-адрес правильно настроен в параметрах Defender для облака Apps, чтобы избежать невозможного ложноположительных срабатываний.

  • Просмотрите бизнес-потребности и оцените требования к пользовательским политикам. Например, обнаружена ли угроза каждой политикой? Или есть новое встроенное решение для обнаружения этой угрозы?

  • Очистка старых оповещений. Например:

    1. Просмотр оповещений за последние шесть месяцев. Отфильтруйте оповещения, помеченные как разрешенные, и группировать аналогичные оповещения, чтобы упростить просмотр.
    2. Проверьте, почему каждое отображаемое оповещение не устранено.
    3. Если оповещения являются доброкачественными, закройте их и измените политики по мере необходимости.

Дополнительные сведения см. в разделе "Управление облачными приложениями" с помощью политик.

Просмотр журналов действий

Где: на портале XDR в Microsoft Defender в облачных приложениях выберите журнал действий.

Persona: администраторы безопасности и соответствия требованиям

Вы часто просматриваете журналы действий в отношении оповещений и в рамках расследований угроз. Мы рекомендуем пересмотреть журнал действий ежемесячно, чтобы проверка для повторяющихся действий одной и той же сущности, например нескольких поисковых запросов или входа одного пользователя.

  1. Результаты сводки по типу действия, например сбой входа, или удаление или назначение привилегий.
  2. Сузьте действие до приложения или пользователя.
  3. Используйте результаты для создания новой политики, чтобы обеспечить более тесное отслеживание потенциальных угроз и реагирование на них.

Дополнительные сведения см. в разделе "Запросы действий".

Связанный контент

руководство по работе с приложениями Microsoft Defender для облака