Common Defender for Cloud Apps 威胁防护策略

Defender for Cloud Apps 让你能够识别高风险使用和云安全问题、检测异常用户行为并防止已批准的云应用中的威胁。 了解用户和管理活动,并定义策略,以便在检测到可疑行为或你认为有风险的特定活动时自动发出警报。 利用大量的 Microsoft 威胁情报和安全研究数据,确保批准的应用拥有所需的所有安全控制,并保持对它们的控制。

注意

将 Defender for Cloud Apps 与 Microsoft Defender for Identity 集成时,Defender for Identity 的策略也会显示在策略页上。 有关 Defender for Identity 策略的列表,请参阅安全警报

检测和控制来自陌生位置的用户活动

自动检测组织中其他任何人从未访问过的陌生位置的用户访问或活动。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

此检测是自动配置的,开箱即用,以便在有来自新位置的访问时提醒你。 不需要采取任何操作即可配置此策略。 有关详细信息,请参阅异常情况检测策略

通过不可能位置(不可能旅行)检测被盗用的帐户

自动检测来自两个不同位置的用户访问或活动,时间短于往返两个位置所需的时间。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

  1. 此检测是自动配置的,开箱即用,以便在有来自不可能位置的访问时提醒你。 不需要采取任何操作即可配置此策略。 有关详细信息,请参阅异常情况检测策略

  2. 可选:你可以自定义异常情况检测策略

    • 根据用户和组自定义检测范围

    • 选择要考虑的登录类型

    • 设置警报敏感度偏好设置

  3. 请创建异常情况检测策略。

检测“休假”员工的可疑活动

检测处于无薪休假状态且不应在任何组织资源上处于活动状态的用户何时访问组织的任何云资源。

先决条件

  • 你必须使用应用连接器至少连接一个应用。

  • 在 Microsoft Entra ID 中为无薪休假的用户创建一个安全组,并添加要监视的所有用户。

步骤

  1. 在“用户组”屏幕上,选择“创建用户组”并导入相关的 Microsoft Entra 组。

  2. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”。 创建新的活动策略

  3. 设置筛选器“用户组”等于在 Microsoft Entra ID 中为无薪休假用户创建的用户组名称。

  4. 可选:设置在检测到冲突时要对文件执行的治理操作。 可用的治理操作因服务而异。 你可以选择“暂停用户”

  5. 创建文件策略。

使用过时的浏览器 OS 时进行检测并发出通知

检测用户使用过时客户端版本的浏览器是否会对组织构成合规性或安全风险。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”。 创建新的活动策略

  2. 设置筛选器“用户代理标签”等于“过时的浏览器”和“过时的操作系统”

  3. 设置在检测到冲突时要对文件执行的治理操作。 可用的治理操作因服务而异。 在“所有应用”下,选择“通知用户”,以便用户可以处理警报并更新必要的组件。

  4. 创建活动策略。

在有风险的 IP 地址上检测到管理员活动时进行检测并发出警报

检测从被视为有风险的 IP 地址执行的管理活动,并通知系统管理员进行进一步调查或对管理员帐户设置治理操作。

先决条件

  • 你必须使用应用连接器至少连接一个应用。

  • 从设置齿轮中,选择“IP 地址范围”,然后选择 +,为内部子网及其出口公共 IP 地址添加 IP 地址范围。 将“类别”设置为“内部”

步骤

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”。 创建新的活动策略

  2. 将“执行操作”设置为“单个活动”

  3. 将筛选器“IP 地址”设置为“类别”等于“有风险”

  4. 将筛选器“管理员活动”设置为 True

  5. 设置在检测到冲突时要对文件执行的治理操作。 可用的治理操作因服务而异。 在“所有应用”下,选择“通知用户”,以便用户可以处理警报并更新必要的组件 CC 用户管理器

  6. 创建活动策略。

从外部 IP 地址中按服务帐户检测活动

检测来自非内部 IP 地址的服务帐户活动。 这可能表示发生可疑行为或帐户被盗用。

先决条件

  • 你必须使用应用连接器至少连接一个应用。

  • 从设置齿轮中,选择“IP 地址范围”,然后选择 +,为内部子网及其出口公共 IP 地址添加 IP 地址范围。 将“类别”设置为“内部”

  • 标准化环境中服务帐户的命名约定,例如,将所有帐户名设置为以“svc”开头。

步骤

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”。 创建新的活动策略

  2. 将筛选器“用户”设置为“名称”和“开头”,然后输入命名约定,例如 svc。

  3. 将筛选器“IP 地址”设置为“类别”不等于“其他”和“公司”

  4. 设置在检测到冲突时要对文件执行的治理操作。 可用的治理操作因服务而异。

  5. 创建策略。

检测批量下载(数据外泄)

检测特定用户在短时间内访问或下载大量文件的情况。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”。 创建新的活动策略

  2. 将筛选器“IP 地址”设置为“标签”不等于 Microsoft Azure。 这将排除基于设备的非交互式活动。

  3. 设置筛选器“活动类型”等于,然后选择所有相关下载活动。

  4. 设置在检测到冲突时要对文件执行的治理操作。 可用的治理操作因服务而异。

  5. 创建策略。

检测潜在的勒索软件活动

自动检测潜在的勒索软件活动。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

  1. 此检测是自动配置的,开箱即用,以便在检测到潜在的勒索软件风险时提醒你。 不需要采取任何操作即可配置此策略。 有关详细信息,请参阅异常情况检测策略

  2. 可以配置检测的范围,并自定义在触发警报时要采取的管理操作。 有关 Defender for Cloud Apps 如何识别勒索软件的更多信息,请参阅保护组织免受勒索软件威胁

注意

它适用于 Microsoft 365、Google Workspace、Box 和 Dropbox。

检测云中的恶意软件

利用 Defender for Cloud Apps 与 Microsoft 威胁情报引擎的集成,检测云环境中包含恶意软件的文件。

先决条件

  • 对于 Microsoft 365 恶意软件检测,你必须拥有适用于 Microsoft 365 P1 的 Microsoft Defender 的有效许可证。
  • 你必须使用应用连接器至少连接一个应用。

步骤

  • 此检测是自动配置的,开箱即用,以便在文件可能包含恶意软件时提醒你。 不需要采取任何操作即可配置此策略。 有关详细信息,请参阅异常情况检测策略

检测恶意的管理员接管

检测可能表明恶意意图的重复管理活动。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”。 创建新的活动策略

  2. 将“执行操作”设置为“重复活动”,并自定义“最低重复活动”,然后设置时间范围以符合组织的策略。

  3. 将筛选器“用户”设置为“来源组”等于,仅选择所有相关管理员组作为仅限执行组件

  4. 设置筛选器“活动类型”等于与密码更新、更改和重置相关的所有活动。

  5. 设置在检测到冲突时要对文件执行的治理操作。 可用的治理操作因服务而异。

  6. 创建策略。

检测可疑收件箱操作规则

如果在用户的收件箱上设置了可疑的收件箱规则,则可能表明用户帐户已被盗用,并且邮箱正用于在组织中分发垃圾邮件和恶意软件。

先决条件

  • 使用 Microsoft Exchange 收发电子邮件。

步骤

  • 此检测是自动配置的,开箱即用,以便在有可疑的收件箱规则集时提醒你。 不需要采取任何操作即可配置此策略。 有关详细信息,请参阅异常情况检测策略

检测凭据泄露

当网络犯罪分子泄露合法用户的有效密码时,他们通常会共享这些凭据。 共享方式通常为将凭据公开发布在暗网或粘贴网站上,或者在黑市上交易或出售凭据。

Defender for Cloud Apps 利用 Microsoft 威胁情报将此类凭据与组织内部使用的凭据进行匹配。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

此检测功能在开箱后自动配置,当检测到凭据泄漏时发出警报。 不需要采取任何操作即可配置此策略。 有关详细信息,请参阅异常情况检测策略

检测异常文件下载

检测相对于学习的基线,用户在单个会话中执行多个文件下载活动的时间。 这可能表明有人试图攻击。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

  1. 此检测功能在开箱后自动配置,当发生异常下载时发出警报。 不需要采取任何操作即可配置此策略。 有关详细信息,请参阅异常情况检测策略

  2. 可以配置检测的范围,并自定义在触发警报时要采取的操作。

检测用户的异常文件共享

检测相对于学习的基线,用户在单个会话中执行多个文件共享活动的时间,这可能表明有人试图攻击。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

  1. 此检测功能在开箱后自动配置,当用户执行多个文件共享时发出警报。 不需要采取任何操作即可配置此策略。 有关详细信息,请参阅异常情况检测策略

  2. 可以配置检测的范围,并自定义在触发警报时要采取的操作。

检测不常用国家/地区的异常活动

检测来自用户或组织中任何用户最近未访问或从未访问过的位置的活动。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

  1. 此检测功能在开箱后自动配置,当不常用的国家/地区发生异常活动时发出警报。 不需要采取任何操作即可配置此策略。 有关详细信息,请参阅异常情况检测策略

  2. 可以配置检测的范围,并自定义在触发警报时要采取的操作。

注意

检测异常位置需要 7 天的初始学习时间。 在学习期间,Defender for Cloud Apps 不会生成新位置的警报。

检测已离职用户执行的活动

检测不再是组织员工的用户何时在已批准的应用程序中执行活动。 这可能表明已离职员工仍然可以访问公司资源,从而进行恶意活动。

先决条件

你必须使用应用连接器至少连接一个应用。

步骤

  1. 此检测功能在开箱后自动配置,当已离职员工执行活动时发出警报。 不需要采取任何操作即可配置此策略。 有关详细信息,请参阅异常情况检测策略

  2. 可以配置检测的范围,并自定义在触发警报时要采取的操作。

后续步骤

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证