Общие политики защиты от угроз приложений Defender для облака

Defender для облака приложения позволяют выявлять проблемы с высоким риском использования и облачной безопасности, обнаруживать ненормальное поведение пользователя и предотвращать угрозы в санкционированных облачных приложениях. Получите видимость действий пользователей и администраторов и определите политики для автоматического оповещения при обнаружении подозрительных действий или определенных действий. Опирайтесь на огромный объем данных аналитики угроз Майкрософт и исследований безопасности, чтобы гарантировать, что у ваших санкционированных приложений есть все необходимые средства управления безопасностью и помочь вам обеспечить контроль над ними.

Примечание.

При интеграции приложений Defender для облака с Microsoft Defender для удостоверений политики из Defender для удостоверений также отображаются на странице политик. Список политик Defender для удостоверений см. в разделе "Оповещения системы безопасности".

Обнаружение и управление действиями пользователей из незнакомых расположений

Автоматическое обнаружение доступа пользователей или действий из незнакомых расположений, которые никогда не посещали других пользователей в вашей организации.

Необходимые компоненты

Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

Шаги

Это обнаружение автоматически настраивается для оповещения о наличии доступа из новых расположений. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в статье Политики обнаружения аномалий.

Обнаружение скомпрометированных учетных записей по невозможному расположению (невозможное путешествие)

Автоматическое обнаружение доступа пользователей или действий из 2 разных расположений в течение периода времени, который превышает время, необходимое для перемещения между двумя.

Необходимые компоненты

Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

Шаги

1. Это обнаружение автоматически настраивается вне поля, чтобы предупредить вас о наличии доступа из невыполнимых расположений. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в статье Политики обнаружения аномалий.

2. Необязательно. Вы можете настроить политики обнаружения аномалий:

   • Настройка области обнаружения с точки зрения пользователей и групп

   • Выберите типы входов, которые следует рассмотреть

   • Настройка предпочтений конфиденциальности для оповещения

3. Создайте политику обнаружения аномалий.

Обнаружение подозрительных действий от сотрудника "покинуть"

Определите, когда пользователь, который находится в неоплаченном отпуске и не должен быть активным в любом ресурсе организации, обращается к любым облачным ресурсам вашей организации.

Необходимые компоненты

• Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

• Создайте группу безопасности в идентификаторе Microsoft Entra для пользователей в неоплаченном отпуске и добавьте всех пользователей, которые вы хотите отслеживать.

Шаги

1. На экране "Группы пользователей" выберите "Создать группу пользователей" и импортируйте соответствующую группу Microsoft Entra.

2. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам управления> политиками. Создайте новую политику действий.

3. Задайте группу пользователей фильтра равным имени групп пользователей, созданных в идентификаторе Microsoft Entra для пользователей, неоплачиваемых пользователей.

4. Необязательный вариант. Задайте действия системы управления для файлов при обнаружении нарушения. Доступные действия управления зависят от служб. Вы можете выбрать "Приостановить пользователя".

5. Создайте политику файлов.

Обнаружение и уведомление об использовании устаревшей ОС браузера

Определите, когда пользователь использует браузер с устаревшей версией клиента, которая может представлять риски соответствия или безопасности для вашей организации.

Необходимые компоненты

Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

Шаги

1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам управления> политиками. Создайте новую политику действий.

2. Задайте тег агента пользователя фильтра, равный устаревшей операционной системе браузера и устаревшей операционной системы.

3. Задайте действия системы управления для файлов при обнаружении нарушения. Доступные действия управления зависят от служб. В разделе "Все приложения" выберите "Уведомить пользователя", чтобы пользователи могли действовать при оповещении и обновлять необходимые компоненты.

4. Создайте политику действий.

Обнаружение и оповещение при обнаружении действий администратора на рискованных IP-адресах

Определите действия администратора, выполняемые с IP-адреса, который считается рискованным IP-адресом, и уведомите системного администратора для дальнейшего изучения или задайте действие управления для учетной записи администратора.

Необходимые компоненты

• Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

• В строке "Параметры" выберите диапазоны IP-адресов и выберите +, чтобы добавить диапазоны IP-адресов для внутренних подсетей и их исходящих общедоступных IP-адресов. Задайте для категории значение Internal.

Шаги

1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам управления> политиками. Создайте новую политику действий.

2. Установите действие на одно действие.

3. Задайте ДЛЯ IP-адреса фильтра значение "Категория" равно "Рискованной"

4. Задайте для действия "Администратор фильтра" значение True

5. Задайте действия системы управления для файлов при обнаружении нарушения. Доступные действия управления зависят от служб. В разделе "Все приложения" выберите "Уведомить пользователя", чтобы пользователи могли действовать в соответствии с оповещением и обновлять необходимые компоненты , соответствующие руководителю пользователя.

6. Создайте политику действий.

Обнаружение действий по учетной записи службы из внешних IP-адресов

Обнаружение действий учетной записи службы, исходящих из не внутренних IP-адресов. Это может указывать на подозрительное поведение или скомпрометированную учетную запись.

Необходимые компоненты

• Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

• В строке "Параметры" выберите диапазоны IP-адресов и выберите +, чтобы добавить диапазоны IP-адресов для внутренних подсетей и их исходящих общедоступных IP-адресов. Задайте для категории значение Internal.

• Стандартизируйте соглашения об именовании для учетных записей служб в вашей среде, например задайте для всех имен учетных записей значение "svc".

Шаги

1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам управления> политиками. Создайте новую политику действий.

2. Задайте для фильтра имя пользователя и введите соглашение об именовании, например svc.

3. Задайте ДЛЯ IP-адреса фильтра значение "Категория" не равно "Другие" и "Корпоративные".

4. Задайте действия системы управления для файлов при обнаружении нарушения. Доступные действия управления зависят от служб.

5. Создайте политику.

Обнаружение массового скачивания (утечка данных)

Определите, когда определенный пользователь обращается к определенному пользователю или загружает большое количество файлов за короткий период времени.

Необходимые компоненты

Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

Шаги

1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам управления> политиками. Создайте новую политику действий.

2. Задайте ДЛЯ IP-адресов фильтра значение Tag не равно Microsoft Azure. Это приведет к исключению неинтерактивных действий на основе устройств.

3. Задайте типы действий фильтра равными, а затем выберите все соответствующие действия загрузки.

4. Задайте действия системы управления для файлов при обнаружении нарушения. Доступные действия управления зависят от служб.

5. Создайте политику.

Обнаружение потенциального действия программы-шантажистов

Автоматическое обнаружение потенциального действия программы-шантажистов.

Необходимые компоненты

Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

Шаги

1. Это обнаружение автоматически настраивается для оповещения о наличии потенциального риска программ-шантажистов. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в статье Политики обнаружения аномалий.

2. Можно настроить область обнаружения и настроить действия системы управления при активации оповещения. Дополнительные сведения о том, как приложения Defender для облака идентифицируют программ-шантажистов, см. в статье "Защита организации от программ-шантажистов".

Примечание.

Это относится к Microsoft 365, Рабочей области Google, Box и Dropbox.

Обнаружение вредоносных программ в облаке

Определите файлы, содержащие вредоносные программы в облачных средах, используя интеграцию Defender для облака Apps с подсистемой аналитики угроз Майкрософт.

Необходимые компоненты

• Для обнаружения вредоносных программ Microsoft 365 необходимо иметь действительную лицензию на Microsoft Defender для Microsoft 365 P1.
• Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

Шаги

• Это обнаружение автоматически настраивается для оповещения о наличии файла, который может содержать вредоносные программы. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в статье Политики обнаружения аномалий.

Обнаружение отработки отказа администратора

Обнаружение повторяющихся действий администратора, которые могут указывать на вредоносные намерения.

Необходимые компоненты

Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

Шаги

1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам управления> политиками. Создайте новую политику действий.

2. Установите действие на повторяющееся действие и настройте минимальные повторяющиеся действия и задайте интервал времени для соблюдения политики вашей организации.

3. Задайте для параметра "Пользователь фильтра" значение "Из группы" и выберите всю связанную группу администрирования только в качестве субъекта.

4. Задайте тип действия фильтра равно всем действиям, связанным с обновлениями паролей, изменениями и сбросами.

5. Задайте действия системы управления для файлов при обнаружении нарушения. Доступные действия управления зависят от служб.

6. Создайте политику.

Обнаружение правил манипуляции с подозрительными папками "Входящие"

Если в папке "Входящие" задано подозрительное правило папки "Входящие", это может указывать на то, что учетная запись пользователя скомпрометирована, и что почтовый ящик используется для распространения нежелательной почты и вредоносных программ в вашей организации.

Необходимые компоненты

• Использование Microsoft Exchange для электронной почты.

Шаги

• Это обнаружение автоматически настраивается для оповещения о наличии подозрительного набора правил папки "Входящие". Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в статье Политики обнаружения аномалий.

Обнаружение утечки учетных данных

Когда кибер-преступники компрометируют допустимые пароли законных пользователей, они часто используют эти учетные данные. Обычно они публикуют их в теневом Интернете или сайтах для киберпреступников, либо продают их на теневом рынке.

Defender для облака приложения используют аналитику угроз Майкрософт для сопоставления таких учетных данных с теми, которые используются в вашей организации.

Необходимые компоненты

Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

Шаги

Это обнаружение автоматически настраивается для оповещения о возможной утечке учетных данных. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в статье Политики обнаружения аномалий.

Обнаружение аномальных скачиваемого файла

Определите, когда пользователи выполняют несколько действий загрузки файлов в одном сеансе относительно базовых знаний. Это может указывать на попытку нарушения.

Необходимые компоненты

Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

Шаги

1. Это обнаружение автоматически настраивается для оповещения о том, что происходит аномальное скачивание. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в статье Политики обнаружения аномалий.

2. Можно настроить область обнаружения и настроить действие, выполняемое при активации оповещения.

Обнаружение аномальных общих папок пользователем

Определите, когда пользователи выполняют несколько действий общего доступа к файлам в одном сеансе в отношении базовых знаний, что может указывать на попытку нарушения.

Необходимые компоненты

Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

Шаги

1. Это обнаружение автоматически настраивается для оповещения о том, что пользователи выполняют несколько общих файлов. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в статье Политики обнаружения аномалий.

2. Можно настроить область обнаружения и настроить действие, выполняемое при активации оповещения.

Обнаружение аномальных действий из редкой страны или региона

Обнаружение действий из расположения, которое не было недавно или никогда не посетило пользователя или любого пользователя в вашей организации.

Необходимые компоненты

Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

Шаги

1. Это обнаружение автоматически настраивается для оповещения о том, что аномальное действие происходит из редкой страны или региона. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в статье Политики обнаружения аномалий.

2. Можно настроить область обнаружения и настроить действие, выполняемое при активации оповещения.

Примечание.

Обнаружение аномальных расположений требует начального периода обучения в течение 7 дней. В течение периода обучения Defender для облака Приложения не создают оповещения для новых расположений.

Обнаружение действия, выполняемого завершенным пользователем

Определите, когда пользователь, который больше не является сотрудником вашей организации, выполняет действие в санкционированном приложении. Это может указывать на вредоносные действия у сотрудника, который по-прежнему имеет доступ к корпоративным ресурсам.

Необходимые компоненты

Необходимо иметь по крайней мере одно приложение, подключенное с помощью соединителей приложений.

Шаги

1. Это обнаружение автоматически настраивается для оповещения о том, что действие выполняется завершенным сотрудником. Вам не нужно предпринимать никаких действий для настройки этой политики. Дополнительные сведения см. в статье Политики обнаружения аномалий.

2. Можно настроить область обнаружения и настроить действие, выполняемое при активации оповещения.

Следующие шаги

Рекомендации по защите организации

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.