在 適用於雲端的 Defender Apps 中開始使用應用程式控管
應用程式控管解決方案需要深入瞭解環境內的應用程式行為,以識別並解決位於容錯層級內的活動,需要進一步檢閱以評估惡意意圖。 在適用於雲端的 Defender應用程式上分層時,應用程式控管可讓您深入治理環境中有風險的應用程式行為。
本文說明如何在 適用於雲端的 Microsoft Defender Apps 中使用應用程式控管功能。
必要條件
如果您尚未 註冊應用程式控管 ,並完成將它新增至租使用者的步驟。 註冊應用程式控管之後,您最多需要等候 10 小時才能查看和使用產品。
如需詳細資訊,請參閱 開啟 適用於雲端的 Microsoft Defender Apps 的應用程式 控管。
您的登入帳戶必須具有支援 的應用程式控管系統管理員角色 ,才能檢視任何應用程式控管資料。
若要使用應用程式控管警示的完整功能,您必須至少存取其各自的入口網站一次,以布建適用於雲端的 Defender應用程式和Microsoft Defender 全面偵測回應。
步驟 1:取得可見度和深入解析
從使用下列步驟開始,取得您應用程式的可見度和深入解析:
登入 :在您的瀏覽器中,移至 Microsoft Defender 全面偵測回應 > Cloud Apps > 應用程式控管 頁面。
判斷合規性狀態 :使用 [應用程式控管 > 概觀 ] 索引標籤上的 資料來評估您租使用者中應用程式和事件的合規性狀態。 檢視詳細資料,例如租使用者中有多少過度許可權的應用程式、作用中事件數目、圖形 API 資料存取總計等等。
提示
您也可以在安全分數 中 檢視應用程式控管相關建議,以協助您全面管理狀態。
檢視您的應用程式 :依具有高資料使用量或同意數目的應用程式排序應用程式控管 索引標籤上的 資料,或依高特殊許可權應用程式、未驗證的許可權或未驗證的發行者的應用程式進行篩選等等。
使用這些排序和篩選選項來深入瞭解您的 OAuth 應用程式,包括相關的應用程式中繼資料和使用方式資料。
取得詳細的應用程式資訊 :在 [ 應用程式控管 ] 索引標籤上,選取方格中的應用程式以檢視應用程式詳細資料頁面。 調查 特定應用程式的優先順序帳戶 資料使用量、追蹤要存取的資料、正在使用的許可權,以及未使用的許可權。
如需詳細資訊,請參閱 開始使用可見度和深入解析 。
步驟 2:實作應用程式原則
應用程式控管會使用機器學習型偵測演算法來偵測您環境中的異常應用程式行為,然後產生您可以查看、調查和解決的警示。
除了此內建偵測功能之外,請使用一組預設原則範本,或建立您自己的應用程式原則來產生其他警示。
應用程式與使用者模式和行為的原則可以保護您的使用者,避免使用不符合規範或惡意的應用程式,並限制對租使用者資料的有風險應用程式存取。
應用程式控管支援下列類型的原則:
| 原則類型 | 描述 |
|---|---|
| 預先定義的原則 | 應用程式控管配備了一組專為您環境量身打造的預先定義原則。 預先定義的原則可讓您在設定任何原則之前開始監視您的應用程式。 使用預先定義的原則,確保您在早期收到任何應用程式異常的通知。 |
| 使用者定義的原則 | 除了預先定義的原則,系統管理員也可以使用可用的條件來建立其自訂原則,或從可用的建議原則中挑選。 |
若要查看您目前的應用程式控管原則清單,請移至 [Microsoft Defender 全面偵測回應 > 雲端應用程式 > 應用程式治理 > 原則 ] 索引標籤。
注意
內建威脅偵測原則 不會列在 應用程式控管 頁面上。 如需詳細資訊,請參閱 調查威脅偵測警示 。
若要實作應用程式原則 :
使用預先定義的原則 :應用程式控管包含一組現成的原則,可偵測異常的應用程式行為。 這些原則預設會啟用,但您可以選擇停用這些原則。
建立應用程式原則: 應用程式控管提供超過 20 個原則條件和範本,可供您使用。 應用程式控管原則可協助您:
指定應用程式控管可以提醒您應用程式行為以進行自動或手動補救的條件。
為您的組織實作應用程式合規性原則。
管理應用程式原則 :若要跟上組織使用的最新應用程式、回應以應用程式為基礎的新攻擊,以及持續變更應用程式合規性需求,您可能需要管理應用程式原則,如下所示:
建立以新應用程式為目標的新原則
變更現有原則的狀態(作用中、非使用中、稽核模式)
變更現有原則的條件
變更現有原則的動作以自動補救警示
如需詳細資訊,請參閱 瞭解應用程式原則 。
步驟 3:偵測和補救應用程式威脅
使用應用程式控管來監視由內建應用程式控管偵測方法所產生的威脅警示,這些警示適用于惡意應用程式活動,以及您建立的作用中應用程式原則所產生的原則型警示。
這些警示可以指出應用程式活動中的異常狀況,以及使用不符合規範、惡意或有風險的應用程式時。 您也可以使用警示中的模式來建立新的應用程式原則,或修改現有原則的設定,以進行更嚴格的動作。
您也可以在調查後手動補救警示,或透過作用中應用程式原則上的動作設定自動進行補救。
執行下列步驟來偵測和補救威脅 :
開始使用應用程式威脅偵測和補救: 應用程式控管會收集內建的機器學習驅動應用程式治理偵測方法所產生的威脅警示。 威脅警示是以您建立的作用中應用程式原則所產生的惡意應用程式活動和原則型警示為基礎。
監視和回應使用異常資料的應用程式: 應用程式控管會提供資料使用資訊,可協助您識別不必要的和潛在的惡意應用程式活動。
調查異常偵測警示: 應用程式控管提供惡意活動的安全性偵測和警示。 本指南的目的是要為您提供每個警示的一般和實用資訊,以協助調查和補救工作。
補救應用程式威脅: 您可以在Microsoft Defender 全面偵測回應中補救應用程式控管警示所識別的有害應用程式和應用程式活動。
如需詳細資訊,請參閱 瞭解應用程式威脅偵測和補救 。