使用原則來控制雲端應用程式

  • 發行項

原則可以讓您定義您想要使用者在雲端中採取的行為方式。 原則可以讓您在雲端環境中偵測風險行為、違規或可疑的資料點和活動。 如有需要,您可以整合補救工作流程,以達成完整的風險降低。 有多種原則類型與您想要收集關於雲端環境的不同資訊類型以及您可能希望採取的補救動作類型相關。

例如,如果您想要隔離某個資料違規威脅,那麼您需要的原則類型,會不同於您想要封鎖某個正由貴組織使用具有風險的雲端應用程式所需要的原則類型。

原則類型

當您查看 [ 原則管理 ] 頁面時,可以依類型和圖示區分各種原則和範本,以查看有哪些原則可供使用。 這些原則可以一起在 [所有原則] 索引標籤或其各自的類別索引標籤中檢視。 可用的原則取決於數據源,以及您為組織在 適用於雲端的 Defender Apps 中啟用的內容。 例如,如果您已上傳 Cloud Discovery 記錄,則會顯示與 Cloud Discovery 相關的原則。

可以建立下列類型的原則︰

原則類型圖示 原則類型 類別 使用
activity policy icon. 活動原則 威脅偵測 活動原則可讓您使用應用程式提供者的 API 強制執行各種不同的自動化程式。 這些原則可讓您監視由不同使用者執行的特定活動,或追蹤意外高頻率的特定類型活動。 深入了解
anomaly detection policy icon. 異常偵測原則 威脅偵測 異常偵測原則可讓您尋找雲端中的不尋常活動。 偵測是根據您設定當發生與貴組織基準或使用者一般活動不同的情況時發出警示的風險因素。 深入了解
OAuth app policy icon. Oauth 應用程式原則 威脅偵測 OAuth 應用程式原則可讓您調查每個 OAuth 應用程式要求的許可權,並自動核准或撤銷它。 這些是 適用於雲端的 Defender 應用程式隨附且無法建立的內建原則。 深入了解
Malware detection policy icon. 惡意軟體偵測原則 威脅偵測 惡意代碼偵測原則可讓您識別雲端記憶體中的惡意檔案,並自動核准或撤銷它。 這是 適用於雲端的 Defender 應用程式隨附且無法建立的內建原則。 深入了解
file policy icon. 檔案原則 資訊保護 檔案原則可讓您掃描雲端應用程式是否有指定的檔案或檔案類型 (共用、與外部網域共用)、資料 (專屬資訊、個人資料、信用卡資訊及其他資料類型),並可套用治理動作至檔案 (治理動作依據特定雲端應用程式而異)。 深入了解
access policy icon. 存取原則 條件式存取 存取原則能讓您即時監視並控制使用者登入雲端應用程式。 深入了解
session policy icon. 工作階段原則 條件式存取 工作階段原則能讓您即時監視並控制雲端應用程式中的使用者活動。 深入了解
cloud discovery policy icon. 應用程式探索原則 影子 IT 應用程式探索原則可讓您在組織中偵測到新應用程式時,設定通知警示。 深入了解
anomaly detection policy icon. Cloud Discovery 異常偵測原則 影子 IT Cloud Discovery 異常偵測原則會查看您用於探索雲端應用程式的記錄檔,並搜尋不尋常的發生事件。 例如,當從未使用過 Dropbox 的使用者突然上傳 600 GB 到 Dropbox,或者特定應用程式上的交易比平常超出許多時。 深入了解

識別風險

Defender for Cloud Apps 可協助您降低雲端的不同風險。 您可以將任何原則和警示設定為與下列其中一項風險相關聯:

  • 存取控制︰使用者從哪裡存取什麼?

    持續監視行為,並偵測異常的活動,包括高風險的內部和外部攻擊,並且套用原則以針對任何應用程式或應用程式中的特定動作進行警示、封鎖或要求身分識別驗證。 根據使用者、裝置和地理位置啟用內部部署與行動存取控制原則,並提供粗略的封鎖和細微的檢視、編輯和封鎖。 偵測可疑的登入事件,包括多因素驗證失敗、已停用帳戶登入失敗,以及模擬事件。

  • 相容性︰是否違反您的相容性要求?

    識別機密或管制資料並加以分類,包括共用每個檔案 (存放在檔案同步處理服務中) 的權限,以確保符合 PCI、SOX、HIPAA 等法規。

  • 組態控制︰正在對您的組態進行未經授權的變更嗎?

    監視設定變更,包括遠端設定操作。

  • Cloud Discovery︰您的組織是否正在使用新的應用程式? 您是否遇到有您不知道的影子 IT 應用程式正在使用的問題?

    根據法規和產業認證及最佳做法,為每個雲端應用程式的整體風險評分。 可讓您監視每個雲端應用程式的使用者數目、活動、流量和一般使用時數。

  • DLP:是否公開共用專屬檔案? 您需要隔離檔案嗎?

    內部部署 DLP 整合會透過現有的內部部署 DLP 解決方案提供整合和封閉式迴路補救。

  • 特殊權限帳戶︰需要監視管理員帳戶嗎?

    針對特殊權限使用者和系統管理員進行即時活動監視和報告。

  • 共用控制︰資料如何在您的雲端環境中共用?

    檢查雲端的檔案及內容,並強制執行內部和外部共用原則。 監視共同作業並強制執行共用原則,例如阻止檔案在貴組織外部共用。

  • 威脅偵測︰是否有可疑活動正在威脅您的雲端環境?

    透過電子郵件接收任何原則違規或活動閾值的即時通知。 藉由套用機器學習演算法,Defender for Cloud Apps 可讓您偵測可能顯示使用者正在誤用資料的行為。

如何控制風險

請遵循此程序,使用原則來控制風險︰

  1. 從範本或查詢建立原則。

  2. 微調原則以達到預期的結果。

  3. 新增自動化動作,以便自動回應與補救風險。

建立原則

您可以使用 適用於雲端的 Defender Apps 原則範本作為所有原則的基礎,或從查詢建立原則。

原則範本可協助您設定正確的必要篩選和設定,用以偵測您環境內感興趣的特定事件。 範本包含所有類型的原則,而且可以適用於各種服務。

若要從 [原則範本] 建立原則,請執行下列步驟︰

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,移至 [原則 -> 原則範本]。

    Create the policy from a template.

  2. 選取您要使用之範本數據列最右邊的加號 (+)。 隨即開啟 [建立原則] 頁面,其中包含預先定義的設定範本。

  3. 視需要為您的自訂原則修改範本。 在這個以範本為基礎的新原則中,每個屬性和欄位都可以根據您的需求而修改。

    注意

    使用原則篩選時,Contains 只搜尋以逗號、點號、空格或底線分隔的完整文字。 例如,如果您搜尋 malwarevirus,會找到 virus_malware_file.exe,但不會找到 malwarevirusfile.exe。 如果您搜尋 malware.exe,則會在其檔名中找到所有含有惡意代碼或 exe 的檔案,而如果您 搜尋 “malware.exe” (加上引號),則只會找到只包含 “malware.exe” 的檔案。
    Equals 僅會搜尋完整字串。例如,如果您搜尋 malware.exe,會找到 malware.exe,但不會找到 malware.exe.txt。

  4. 依據範本建立好新原則之後,原則範本資料表 (位於原則所建立的來源範本旁) 中的 [連結的原則] 資料行即會出現新原則的連結。 您可以從每個範本建立想要的原則數目,它們將全部連結到原始的範本。 此連結可讓您追蹤使用相同範本建立的所有原則。

或者,您可以在調查期間建立原則。 如果您正在調查 活動記錄檔案分識別,而且您向下切入以搜尋特定專案,您可以隨時根據調查結果建立新的原則。

例如,如果您想要查看 活動記錄檔,並查看辦公室 IP 位址外部的系統管理員活動,您可能會想要建立一個。

若要根據調查結果建立原則,請執行下列步驟:

  1. 在 Microsoft Defender 入口網站中,移至下列其中一項:

    • Cloud Apps ->活動記錄
    • Cloud Apps ->Files
    • 資產 ->身分識別

  2. 使用頁面頂端的篩選將搜尋結果限制為可疑區域。 例如,在 [活動記錄] 頁面中,選取 [管理員 istrative 活動],然後選取 [True]。 接著,在 [IP 位址] 下,選取 [類別] 並將值設為不包含您已為辨識網域建立的 IP 位址類別,例如您的系統管理、公司及 VPN IP 位址。

    Create file from investigation.

  3. 在查詢下方,從搜尋中選取 [新增原則]。

    New policy from search button.

  4. 隨即開啟 [建立原則] 頁面,其中包含您在調查中使用的篩選器。

  5. 視需要為您的自訂原則修改範本。 在這個以調查為基礎的新原則中,每個屬性和欄位都可以根據您的需求而修改。

    注意

    使用原則篩選時,Contains 只搜尋以逗號、點號、空格或底線分隔的完整文字。 例如,如果您搜尋 malwarevirus,會找到 virus_malware_file.exe,但不會找到 malwarevirusfile.exe。
    Equals 僅會搜尋完整字串。例如,如果您搜尋 malware.exe,會找到 malware.exe,但不會找到 malware.exe.txt。

    create activity policy from investigation.

    注意

    如需有關設定原則欄位的詳細資訊,請參閱對應的原則文件︰

    使用者活動原則

    資料保護原則

    Cloud Discovery 原則

新增自動化動作以自動回應與補救風險

如需每個應用程式的可用管理動作清單,請參閱管理連線的應用程式

您也可以設定原則,以在偵測到相符專案時透過電子郵件傳送警示。

若要設定通知喜好設定,請移至 [ 電子郵件通知喜好設定]。

啟用和停用原則

建立原則之後,您可以啟用或停用它。 停用可避免在建立原則後,為了停止它而刪除原則。 相反地,若因故想要停止原則,請將其停用,直到您選擇再次予以啟用為止。

  • 若要啟用原則,請在 [原則 ] 頁面中,選取您要啟用之原則數據列結尾的三個點。 選取啟用

    Enable policy.

  • 若要停用原則,請在 [原則 ] 頁面中,選取您要停用之原則數據列結尾的三個點。 選取停用

    Disable policy.

新原則建立之後,預設啟用。

原則概觀報告

適用於雲端的 Defender Apps 可讓您匯出原則概觀報告,其中顯示每個原則的匯總警示計量,以協助您監視、瞭解和自定義原則,以更好地保護您的組織。

若要匯出記錄檔,請執行下列步驟:

  1. 在 [ 原則] 頁面中,選取 [ 導出] 按鈕。

  2. 指定所需的時間範圍。

  3. 選取匯出。 此程序可能需要一些時間。

若要下載匯出的報告:

  1. 報表準備就緒之後,i n 個 Microsoft Defender 入口網站,移至 [報表],然後移至 [Cloud Apps -> Exported 報表]。

  2. 在數據表中,選取相關的報告,然後選取 [下載]。

    download button.

下一步

保護貴組織的最佳做法

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證