Kom igång med appstyrning i Defender för molnet Apps
Appstyrningslösningar kräver en djup förståelse av appbeteendet i en miljö för att identifiera och hantera aktiviteter som ligger inom en toleransnivå som kräver mer granskning för att bedöma skadlig avsikt. När appstyrningen är skiktad över Defender för molnet appar ger den dig djupgående styrning mot riskfyllda appbeteenden i din miljö.
Den här artikeln beskriver hur du kommer igång med appstyrningsfunktioner i Microsoft Defender för molnet Appar.
Förutsättningar
Om du inte redan har gjort det registrerar du dig för appstyrning och slutför stegen för att lägga till den i din klientorganisation. När du har registrerat dig för appstyrning måste du vänta i upp till 10 timmar för att se och använda produkten.
Mer information finns i Aktivera appstyrning för Microsoft Defender för molnet-appar.
Ditt inloggningskonto måste ha en administratörsroll för appstyrning som stöds för att kunna visa appstyrningsdata.
Om du vill använda fullständiga funktioner för appstyrningsaviseringar måste du ha etablerat både Defender för molnet Apps och Microsoft Defender XDR genom att komma åt respektive portal minst en gång.
Steg 1: Få synlighet och insikter
Börja med att använda följande steg för att få insyn och insikter om dina appar:
Logga in: I webbläsaren går du till sidan För appstyrning för Microsoft Defender XDR > Cloud Apps>.
Fastställa efterlevnadsstatus: Använd data på fliken Översikt över appstyrning > för att utvärdera efterlevnadsstatusen för dina appar och incidenter i din klientorganisation. Visa information som hur många överprivilegierade appar som finns i din klientorganisation, antalet aktiva incidenter, den totala Graph API-dataåtkomsten med mera.
Dricks
Du kan också visa appstyrningsrelaterade rekommendationer i Säker poäng som hjälper dig att hantera din hållning holistiskt.
Visa dina appar: Sortera data på flikarna Appstyrning efter appar med hög dataanvändning eller antal medgivanden som ges, eller filtrera efter högprivilegierade appar, appar med oanvänd behörighet eller overifierad utgivare med mera.
Använd dessa sorterings- och filtreringsalternativ för att få djupare insikter om dina OAuth-appar, inklusive relevanta appmetadata och användningsdata.
Få detaljerad appinformation: På flikarna Appstyrning väljer du en app i rutnätet för att visa en appinformationssida. Undersök prioritetskontots dataanvändning för en specifik app, spåra exakt vems data som används, vilka behörigheter som används och vilka behörigheter som inte används.
Mer information finns i Kom igång med synlighet och insikter.
Steg 2: Implementera appprinciper
Appstyrning använder maskininlärningsbaserade identifieringsalgoritmer för att identifiera avvikande appbeteende i din miljö och genererar sedan aviseringar som du kan se, undersöka och lösa.
Utöver den här inbyggda identifieringsfunktionen använder du en uppsättning standardprincipmallar eller skapar egna appprinciper för att generera andra aviseringar.
Principer för app- och användarmönster kan skydda dina användare från att använda icke-kompatibla eller skadliga appar och begränsa åtkomsten till riskfyllda appar till dina klientdata.
Appstyrning stöder följande typer av principer:
| Policytyp | beskrivning |
|---|---|
| Fördefinierade principer | Appstyrning är utrustad med en uppsättning fördefinierade principer som är skräddarsydda för din miljö. Med fördefinierade principer kan du börja övervaka dina appar redan innan du konfigurerar några principer. Använd fördefinierade principer för att säkerställa att du meddelas om eventuella appavvikelser tidigt. |
| Användardefinierade principer | Förutom fördefinierade principer kan administratörer också använda de tillgängliga villkoren för att skapa sina anpassade principer eller välja från de tillgängliga rekommenderade principerna. |
Om du vill se din lista över aktuella appstyrningsprinciper går du till fliken Appstyrningsprinciper> för Microsoft Defender XDR-molnappar >>.
Kommentar
Inbyggda principer för hotidentifiering visas inte på sidan Appstyrning. Mer information finns i Undersöka aviseringar om hotidentifiering.
Så här implementerar du appprinciper:
Arbeta med fördefinierade principer: Appstyrning innehåller en uppsättning out of the box-principer för att identifiera avvikande appbeteenden. Dessa principer aktiveras som standard, men du kan inaktivera dem om du väljer att göra det.
Skapa appprinciper: Appstyrning erbjuder över 20 principvillkor och mallar som du kan använda. Appstyrningsprinciper hjälper dig:
Ange villkor som appstyrning kan avisera dig om appbeteende för automatisk eller manuell reparation.
Implementera appefterlevnadsprinciperna för din organisation.
Hantera appprinciper: För att hålla jämna steg med de senaste apparna som din organisation använder, svara på nya appbaserade attacker och för pågående ändringar i dina appefterlevnadsbehov kan du behöva hantera dina appprinciper på följande sätt:
Skapa nya principer som riktar sig till nya appar
Ändra status för en befintlig princip (aktiv, inaktiv, granskningsläge)
Ändra villkoren för en befintlig princip
Ändra åtgärderna för en befintlig princip för automatisk förmedling av aviseringar
Mer information finns i Läs mer om appprinciper.
Steg 3: Identifiera och åtgärda apphot
Använd appstyrning för att övervaka hotaviseringar som genereras av inbyggda metoder för identifiering av appstyrning för skadliga appaktiviteter och principbaserade aviseringar som genereras av aktiva appprinciper som du skapar.
Dessa aviseringar kan indikera avvikelser i appaktiviteten och när icke-kompatibla, skadliga eller riskfyllda appar används. Du kan också använda mönster i aviseringar för att skapa nya appprinciper eller ändra inställningarna för befintliga principer för mer restriktiva åtgärder.
Du kan också åtgärda aviseringar manuellt efter undersökning eller automatiskt genom åtgärdsinställningarna för aktiva appprinciper.
Utför något av följande steg för att identifiera och åtgärda hot:
Kom igång med identifiering och reparation av apphot: Appstyrning samlar in hotaviseringar som genereras av inbyggda, maskininlärningsdrivna metoder för identifiering av appstyrning. Hotaviseringar baseras på skadliga appaktiviteter och principbaserade aviseringar som genereras av aktiva appprinciper som du skapar.
Övervaka och svara på appar med ovanlig dataanvändning: Appstyrning tillhandahåller information om dataanvändning som kan hjälpa dig att identifiera oönskad och potentiellt skadlig appaktivitet.
Undersök aviseringar för avvikelseidentifiering: Appstyrning tillhandahåller säkerhetsidentifieringar och aviseringar för skadliga aktiviteter. Syftet med den här guiden är att ge dig allmän och praktisk information om varje avisering för att hjälpa dig med dina undersöknings- och reparationsuppgifter.
Åtgärda apphot: Du åtgärdar skadlig app- och appaktivitet som identifieras av appstyrningsaviseringar i Microsoft Defender XDR.
Mer information finns i Läs mer om identifiering och reparation av apphot.