閱讀英文

共用方式為


調查雲端應用程式風險和可疑活動

Microsoft Defender for Cloud Apps 在雲端環境中執行之後,您將需要一個學習和調查階段。 瞭解如何使用 Microsoft Defender for Cloud Apps 工具,以深入瞭解雲端環境中發生的情況。 根據您的特定環境及其使用方式,您可以識別保護組織免於風險的需求。 本文說明如何進行調查,以進一步瞭解您的雲端環境。

將應用程式標記為獲批准或未批准

瞭解雲端的一個重要步驟是將應用程式標記為獲批准或未批准。 批准應用程式之後,您可以篩選未獲批准的應用程式,並開始移轉至相同類型的獲批准應用程式。

  • 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,移至 [雲端應用程式目錄] 或 [雲端探索 - >探索到的應用程式]

  • 在應用程式清單中,在您想要標記為獲批准的應用程式出現的數據列上,選擇數據列結尾的三個點 標記為獲批准的點。 然後選擇 [ 已批准]

    標記為獲批准。

使用調查工具

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [活動記錄],並依特定應用程式進行篩選。 檢查下列專案:

    • 誰正在存取您的雲端環境?

    • 從哪些IP範圍?

    • 什麼是系統管理活動?

    • 系統管理員從哪些位置連線?

    • 是否有任何過時的裝置連線到您的雲端環境?

    • 失敗的登入是否來自預期的IP位址?

  2. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,移至 [檔案],然後檢查下列專案:

    • 公開共用多少個檔案,讓任何人都可以不使用連結來存取這些檔案?

    • 您與哪些合作夥伴共享檔案 (輸出共用) ?

    • 是否有任何檔案具有敏感性名稱?

    • 是否有任何檔案與某人的個人帳戶共用?

  3. 在 Microsoft Defender 入口網站中,移至 [身分識別],然後檢查下列專案:

    • 是否有任何帳戶在特定服務中長時間處於非作用中狀態? 或許您可以撤銷該使用者對該服務的授權。

    • 您要知道哪些使用者具有特定角色嗎?

    • 是否已引發某人,但仍可存取應用程式,而且可以使用該存取權來竊取資訊?

    • 您要撤銷使用者對特定應用程式的許可權,或要求特定使用者使用多重要素驗證嗎?

    • 您可以選取使用者帳戶數據列結尾的三個點,然後選取要採取的動作,向下切入用戶的帳戶。 採取一些動作,例如 暫停使用者移除使用者的共同作業。 如果使用者是從 Microsoft Entra ID 匯入,您也可以選取 Microsoft Entra 帳戶設定,以輕鬆存取進階使用者管理功能。 管理功能的範例包括群組管理、MFA、使用者登入的詳細數據,以及封鎖登入的能力。

  4. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [ 已連線的應用程式] 底下,選取 [應用程式連接器],然後選取應用程式。 應用程式儀錶板隨即開啟,並提供您資訊和深入解析。 您可以使用頂端的索引標籤來檢查:

    • 您的使用者使用哪種裝置來連線到應用程式?

    • 他們儲存在雲端中的檔案類型為何?

    • 應用程式目前發生什麼活動?

    • 您的環境是否有任何連線的第三方應用程式?

    • 您熟悉這些應用程式嗎?

    • 他們是否獲得授權以獲得允許的存取層級?

    • 已部署多少使用者? 這些應用程式一般有多常見?

    應用程式儀錶板。

  5. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,移至 [Cloud Discovery]。 選取 [ 儀表板] 索引 標籤,然後檢查下列專案:

    • 正在使用哪些雲端應用程式、使用何種範圍,以及哪些使用者?

    • 基於何種用途使用它們?

    • 將多少數據上傳至這些雲端應用程式?

    • 您獲批准的雲端應用程式有哪些類別,但使用者正在使用替代解決方案?

    • 針對替代解決方案,您要取消批准組織中的任何雲端應用程式嗎?

    • 是否有使用但不符合貴組織原則的雲端應用程式?

範例調查

假設您假設您沒有風險 IP 位址對雲端環境的任何存取權。 例如,假設為 Tor。 但您建立風險 IP 的原則只是為了確定:

  1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,移至 [原則 ->原則範本]

  2. 選擇 [類型] 的 [ 活動 ] 原則

  3. 在 [ 從具風險的IP 位址 登入] 資料列的結尾,選擇加號 (+) 以建立新的原則。

  4. 變更原則名稱,以便識別它。

  5. [符合下列所有項目的活動] 下,選擇 + 新增篩選條件。 向下捲動至 [IP 卷標],然後選擇 [ Tor]

    具風險 IP 的範例原則。

既然您已備妥原則,您會發現您有違反原則的警示。

  1. 在 Microsoft Defender 入口網站中,移至 [事件 & 警示 ->警示],並檢視原則違規的相關警示。

  2. 如果您看到它看起來像真正的違規,您想要包含風險或加以補救。

    若要包含風險,您可以傳送通知給使用者,詢問違規是否刻意發生,以及使用者是否知道。

    您也可以向下切入警示並暫停使用者,直到您瞭解需要執行的動作為止。

  3. 如果這是不太可能重複發生的允許事件,您可以關閉警示。

    如果允許,而且您預期該事件會重複,您可以變更原則,如此一來,此類型的事件在未來就不會被視為違規。

後續步驟

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證