Principer för skydd mot hot
Defender för molnet Apps kan du identifiera problem med hög riskanvändning och molnsäkerhet, identifiera onormalt användarbeteende och förhindra hot i dina sanktionerade molnappar. Få insyn i användar- och administratörsaktiviteter och definiera principer för att automatiskt avisera när misstänkt beteende eller specifika aktiviteter som du anser vara riskfyllda identifieras. Dra nytta av den stora mängden Microsofts hotinformations- och säkerhetsforskningsdata för att säkerställa att dina sanktionerade appar har alla säkerhetskontroller som du behöver på plats och hjälper dig att behålla kontrollen över dem.
Kommentar
När du integrerar Defender för molnet-appar med Microsoft Defender för identitet visas även principer från Defender för identitet på sidan med principer. En lista över Defender för identitetsprinciper finns i Säkerhetsaviseringar.
Identifiera och kontrollera användaraktivitet från okända platser
Automatisk identifiering av användaråtkomst eller aktivitet från okända platser som aldrig besöktes av någon annan i din organisation.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram eller inbyggd med hjälp av appkontroll för villkorsstyrd åtkomst med sessionskontroller.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när det finns åtkomst från nya platser. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Identifiera komprometterat konto med omöjlig plats (omöjlig resa)
Automatisk identifiering av användaråtkomst eller aktivitet från två olika platser inom en tidsperiod som är kortare än den tid det tar att resa mellan de två.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram eller inbyggd med hjälp av appkontroll för villkorsstyrd åtkomst med sessionskontroller.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när det finns åtkomst från omöjliga platser. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Valfritt: du kan anpassa principer för avvikelseidentifiering:
Anpassa identifieringsomfånget när det gäller användare och grupper
Välj vilka typer av inloggningar som ska övervägas
Ange känslighetsinställningar för aviseringar
Skapa principen för avvikelseidentifiering.
Identifiera misstänkt aktivitet från en "ledig" anställd
Identifiera när en användare, som har obetald ledighet och inte bör vara aktiv på någon organisationsresurs, har åtkomst till någon av organisationens molnresurser.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram.
Skapa en säkerhetsgrupp i Microsoft Entra-ID för användare med obetald ledighet och lägg till alla användare som du vill övervaka.
Steg
På skärmen Användargrupper väljer du Skapa användargrupp och importerar relevant Microsoft Entra-grupp.
I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Skapa en ny aktivitetsprincip.
Ange filtret Användargrupp är lika med namnet på de användargrupper som du skapade i Microsoft Entra-ID för de obetalda ledighetsanvändarna.
Valfritt: Ange vilka styrningsåtgärder som ska vidtas för filer när en överträdelse identifieras. Vilka styrningsåtgärder som är tillgängliga varierar mellan tjänster. Du kan välja Pausa användare.
Skapa filprincipen.
Identifiera och meddela när inaktuellt webbläsaroperativsystem används
Identifiera när en användare använder en webbläsare med en inaktuell klientversion som kan innebära efterlevnads- eller säkerhetsrisker för din organisation.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram eller inbyggd med hjälp av appkontroll för villkorsstyrd åtkomst med sessionskontroller.
Steg
I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Skapa en ny aktivitetsprincip.
Ange filtret Användaragenttaggen är lika med Inaktuell webbläsare och Inaktuellt operativsystem.
Ange vilka styrningsåtgärder som ska vidtas för filer när en överträdelse identifieras. Vilka styrningsåtgärder som är tillgängliga varierar mellan tjänster. Under Alla appar väljer du Meddela användare så att användarna kan agera på aviseringen och uppdatera nödvändiga komponenter.
Skapa aktivitetsprincipen.
Identifiera och varna när administratörsaktivitet identifieras på riskfyllda IP-adresser
Identifiera administratörsaktiviteter som utförs från och IP-adress som anses vara en riskfylld IP-adress och meddela systemadministratören om ytterligare undersökning eller ange en styrningsåtgärd för administratörens konto.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram.
I den Inställningar kugghjulet väljer du IP-adressintervall och väljer + för att lägga till IP-adressintervall för dina interna undernät och deras utgående offentliga IP-adresser. Ange Kategorin till Intern.
Steg
I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Skapa en ny aktivitetsprincip.
Ange Act on till Enskild aktivitet.
Ange filter-IP-adressen till Kategori lika med Riskfylld
Ange filtret Administrativ aktivitet till Sant
Ange vilka styrningsåtgärder som ska vidtas för filer när en överträdelse identifieras. Vilka styrningsåtgärder som är tillgängliga varierar mellan tjänster. Under Alla appar väljer du Meddela användare så att användarna kan agera på aviseringen och uppdatera nödvändiga komponenter CC användarens chef.
Skapa aktivitetsprincipen.
Identifiera aktiviteter per tjänstkonto från externa IP-adresser
Identifiera tjänstkontoaktiviteter som kommer från en icke-intern IP-adress. Detta kan tyda på misstänkt beteende eller ett komprometterat konto.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram.
I den Inställningar kugghjulet väljer du IP-adressintervall och väljer + för att lägga till IP-adressintervall för dina interna undernät och deras utgående offentliga IP-adresser. Ange Kategorin till Intern.
Standardisera namngivningskonventioner för tjänstkonton i din miljö, till exempel ange att alla kontonamn ska börja med "svc".
Steg
I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Skapa en ny aktivitetsprincip.
Ange filtret Användare till Namn och sedan Börjar med och ange din namngivningskonvention, till exempel svc.
Ange filtrets IP-adress till Kategori är inte lika med Övrigt och Företag.
Ange vilka styrningsåtgärder som ska vidtas för filer när en överträdelse identifieras. Vilka styrningsåtgärder som är tillgängliga varierar mellan tjänster.
Skapa principen.
Identifiera massnedladdning (dataexfiltrering)
Identifiera när en viss användare kommer åt eller laddar ned ett stort antal filer på kort tid.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram eller inbyggd med hjälp av appkontroll för villkorsstyrd åtkomst med sessionskontroller.
Steg
I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Skapa en ny aktivitetsprincip.
Ställ in filter-IP-adresserna på Tagg är inte lika med Microsoft Azure. Detta utesluter icke-interaktiva enhetsbaserade aktiviteter.
Ange filtret Aktivitetstyperna är lika med och välj sedan alla relevanta nedladdningsaktiviteter.
Ange vilka styrningsåtgärder som ska vidtas för filer när en överträdelse identifieras. Vilka styrningsåtgärder som är tillgängliga varierar mellan tjänster.
Skapa principen.
Identifiera potentiell utpressningstrojanaktivitet
Automatisk identifiering av potentiell utpressningstrojanaktivitet.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när en potentiell utpressningstrojanrisk har identifierats. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Det går att konfigurera identifieringens omfattning och anpassa de styrningsåtgärder som ska vidtas när en avisering utlöses. Mer information om hur Defender för molnet Apps identifierar utpressningstrojaner finns i Skydda din organisation från utpressningstrojaner.
Kommentar
Detta gäller för Microsoft 365, Google Workspace, Box och Dropbox.
Identifiera skadlig kod i molnet
Identifiera filer som innehåller skadlig kod i dina molnmiljöer genom att använda integreringen Defender för molnet Apps med Microsofts hotinformationsmotor.
Förutsättningar
- För identifiering av skadlig programvara i Microsoft 365 måste du ha en giltig licens för Microsoft Defender för Microsoft 365 P1.
- Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
- Den här identifieringen konfigureras automatiskt för att varna dig när det finns en fil som kan innehålla skadlig kod. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Identifiera otillåtet administratörsövertagande
Identifiera upprepad administratörsaktivitet som kan tyda på skadliga avsikter.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Skapa en ny aktivitetsprincip.
Ange Agera påupprepad aktivitet och anpassa Minsta upprepade aktiviteter och ange en tidsram för att följa organisationens princip..
Ange filtret Användare till Från-grupp är lika med och välj alla relaterade administratörsgrupper som Endast aktör.
Ange filtret Aktivitetstyp är lika med alla aktiviteter som är relaterade till lösenordsuppdateringar, ändringar och återställningar.
Ange vilka styrningsåtgärder som ska vidtas för filer när en överträdelse identifieras. Vilka styrningsåtgärder som är tillgängliga varierar mellan tjänster.
Skapa principen.
Identifiera misstänkta regler för inkorgsmanipulering
Om en misstänkt inkorgsregel har angetts i en användares inkorg kan det tyda på att användarkontot har komprometterats och att postlådan används för att distribuera skräppost och skadlig kod i din organisation.
Förutsättningar
- Användning av Microsoft Exchange för e-post.
Steg
- Den här identifieringen konfigureras automatiskt för att varna dig när det finns en misstänkt inkorgsregeluppsättning. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Identifiera läckta autentiseringsuppgifter
När cyberbrottslingar komprometterar giltiga lösenord för legitima användare delar de ofta dessa autentiseringsuppgifter. Detta görs vanligtvis genom att publicera dem offentligt på den mörka webben eller klistra in webbplatser eller genom att handla eller sälja autentiseringsuppgifterna på den svarta marknaden.
Defender för molnet Apps använder Microsofts hotinformation för att matcha sådana autentiseringsuppgifter med de som används i din organisation.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när en eventuell läcka med autentiseringsuppgifter identifieras. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Identifiera avvikande filnedladdningar
Identifiera när användare utför flera filnedladdningsaktiviteter i en enda session i förhållande till den inlärda baslinjen. Detta kan tyda på ett intrångsförsök.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram eller inbyggd med hjälp av appkontroll för villkorsstyrd åtkomst med sessionskontroller.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när en avvikande nedladdning sker. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Det går att konfigurera identifieringens omfattning och anpassa den åtgärd som ska vidtas när en avisering utlöses.
Identifiera avvikande filresurser av en användare
Identifiera när användare utför flera fildelningsaktiviteter i en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram eller inbyggd med hjälp av appkontroll för villkorsstyrd åtkomst med sessionskontroller.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när användare utför flera fildelningar. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Det går att konfigurera identifieringens omfattning och anpassa den åtgärd som ska vidtas när en avisering utlöses.
Identifiera avvikande aktiviteter från sällan förekommande land/region
Identifiera aktiviteter från en plats som inte har besökts nyligen eller aldrig besökts av användaren eller av någon användare i din organisation.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram eller inbyggd med hjälp av appkontroll för villkorsstyrd åtkomst med sessionskontroller.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när en avvikande aktivitet inträffar från ett ovanligt land/en region. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Det går att konfigurera identifieringens omfattning och anpassa den åtgärd som ska vidtas när en avisering utlöses.
Kommentar
Identifiering av avvikande platser kräver en inledande inlärningsperiod på 7 dagar. Under inlärningsperioden genererar Defender för molnet Apps inte aviseringar för nya platser.
Identifiera aktivitet som utförs av en avslutad användare
Identifiera när en användare som inte längre är anställd i din organisation utför en aktivitet i en sanktionerad app. Detta kan tyda på skadlig aktivitet av en avslutad anställd som fortfarande har åtkomst till företagets resurser.
Förutsättningar
Du måste ha minst en app ansluten med appanslutningsprogram.
Steg
Den här identifieringen konfigureras automatiskt för att varna dig när en aktivitet utförs av en avslutad anställd. Du behöver inte vidta några åtgärder för att konfigurera den här principen. Mer information finns i Principer för avvikelseidentifiering.
Det går att konfigurera identifieringens omfattning och anpassa den åtgärd som ska vidtas när en avisering utlöses.
Nästa steg
Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för