Undersöka risker för molnappar och misstänkt aktivitet
När Microsoft Defender for Cloud Apps körs i din molnmiljö behöver du ett steg för att lära dig och undersöka. Lär dig hur du använder Microsoft Defender for Cloud Apps verktyg för att få en djupare förståelse för vad som händer i din molnmiljö. Baserat på din miljö och hur den används kan du identifiera kraven för att skydda din organisation från risker. Den här artikeln beskriver hur du gör en undersökning för att få en bättre förståelse för din molnmiljö.
Ett viktigt steg för att förstå ditt moln är att tagga appar som sanktionerade eller osanktionerade. När du har sanktionerat en app kan du filtrera efter appar som inte är sanktionerade och starta migreringen till sanktionerade appar av samma typ.
I Microsoft Defender-portalen går du till cloud app-katalogen eller cloud discovery – >identifierade appar under Cloud Apps.
I listan över appar väljer du de tre punkterna i slutet av raden på den rad där appen som du vill tagga som sanktionerad visas. och välj Sanktionerad.
I Microsoft Defender-portalen går du till aktivitetsloggen och filtrerar efter en specifik app under Cloud Apps. Kontrollera följande:
Vem har åtkomst till din molnmiljö?
Från vilka IP-intervall?
Vad är administratörsaktiviteten?
Från vilka platser ansluter administratörer?
Ansluter inaktuella enheter till din molnmiljö?
Kommer misslyckade inloggningar från förväntade IP-adresser?
I Microsoft Defender-portalen går du till Filer under Cloud Apps och kontrollerar följande:
Hur många filer delas offentligt så att vem som helst kan komma åt dem utan en länk?
Med vilka partner delar du filer (utgående delning)?
Har några filer ett känsligt namn?
Delas någon av filerna med någons personliga konto?
I Microsoft Defender-portalen går du till Identiteter och kontrollerar följande:
Har några konton varit inaktiva i en viss tjänst under en längre tid? Du kanske kan återkalla licensen för den användaren till den tjänsten.
Vill du veta vilka användare som har en specifik roll?
Fick någon sparken, men de har fortfarande åtkomst till en app och kan använda den åtkomsten för att stjäla information?
Vill du återkalla en användares behörighet till en specifik app eller kräva att en specifik användare använder multifaktorautentisering?
Du kan öka detaljnivån för användarens konto genom att välja de tre punkterna i slutet av användarens kontorad och välja en åtgärd att vidta. Vidta en åtgärd, till exempel Pausa användare eller Ta bort användarens samarbeten. Om användaren har importerats från Microsoft Entra ID kan du också välja Microsoft Entra kontoinställningar för att få enkel åtkomst till avancerade funktioner för användarhantering. Exempel på hanteringsfunktioner är grupphantering, MFA, information om användarens inloggningar och möjligheten att blockera inloggning.
I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram och sedan en app. Appinstrumentpanelen öppnas och ger dig information och insikter. Du kan använda flikarna överst för att kontrollera:
Vilken typ av enheter använder användarna för att ansluta till appen?
Vilka typer av filer sparar de i molnet?
Vilken aktivitet sker i appen just nu?
Finns det några anslutna appar från tredje part till din miljö?
Är du bekant med de här apparna?
Är de auktoriserade för den åtkomstnivå som de tillåts?
Hur många användare har distribuerat dem? Hur vanliga är dessa appar i allmänhet?
I Microsoft Defender-portalen går du till Cloud Discovery under Cloud Apps. Välj fliken Instrumentpanel och markera följande objekt:
Vilka molnappar används, i vilken utsträckning och av vilka användare?
I vilka syften används de?
Hur mycket data laddas upp till dessa molnappar?
I vilka kategorier har du sanktionerade molnappar, och ändå använder användarna alternativa lösningar?
Vill du ta bort alla molnappar i din organisation för de alternativa lösningarna?
Finns det molnappar som används men inte följer organisationens princip?
Anta att du antar att du inte har någon åtkomst till din molnmiljö med riskfyllda IP-adresser. Låt oss till exempel säga Tor. Men du skapar en princip för risk-IP-adresser bara för att se till att:
I Microsoft Defender-portalen går du till Principer –>Principmallar under Cloud Apps.
Välj aktivitetsprincipen för typen .
I slutet av raden Inloggning från en riskfylld IP-adress väljer du plustecknet (+) för att skapa en ny princip.
Ändra principnamnet så att du kan identifiera det.
Under Aktiviteter som matchar alla följande väljer du + att lägga till ett filter. Rulla ned till IP-tagg och välj sedan Tor.
Nu när du har principen på plats upptäcker du att du har en avisering om att principen har brutits.
I Microsoft Defender-portalen går du till Incidenter & aviseringar –>Aviseringar och visar aviseringen om principöverträdelsen.
Om du ser att det ser ut som en verklig överträdelse vill du begränsa risken eller åtgärda den.
För att begränsa risken kan du skicka ett meddelande till användaren för att fråga om överträdelsen var avsiktlig och om användaren var medveten om den.
Du kan också öka detaljnivån i aviseringen och pausa användaren tills du kan ta reda på vad som behöver göras.
Om det är en tillåten händelse som sannolikt inte återkommer kan du stänga aviseringen.
Om den tillåts och du förväntar dig att den återkommer kan du ändra principen så att den här typen av händelse inte betraktas som en överträdelse i framtiden.
Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.