Microsoft Defender for Cloud Apps 威脅偵測功能
許多攻擊現在僅針對雲端,而許多敏感性資源則儲存在雲端中。 基於這個原因,了解威脅類型以及雲端存取安全性代理程式 (CASB) 的功能非常重要。
對雲端應用程式的威脅
對雲端應用程式的威脅範圍非常廣泛。 與尋求財務收益的攻擊者一樣,攻擊者也可能包括在國家/州部署複雜且不斷改變的方法。
由於攻擊是精密且不斷演進的,因此傳統的已知惡意程式碼清單已不足以保護組織。
Microsoft 雲端 App 安全性威脅偵測
Microsoft 雲端 App 安全性包含攻擊所有階段的威脅偵測功能。 這些功能提供結合機器學習 (ML) 的使用者和實體行為分析 (UEBA),根據進行中的使用者行為來評估威脅。
在適用於雲端的 Defender 應用程式入口網站中,如果您選取 [控制] 然後選取 [原則],則會看到一份原則清單。
如果您選取 [類型],就可以看到依類型分組的威脅偵測原則。 此外,您可以從 [原則] 頁面建立原則。
以下是一份原則類型清單:
存取原則
即時監視和控制雲端應用程式的登入。
活動原則
使用應用程式提供者的 API,您可以監視特定使用者執行的動作,或異常高比率的特定活動。
異常偵測原則
異常偵測原則會尋找貴組織或使用者不尋常的行為。 此行為包括在地理上遙遠的位置 (不可能在間隔時間之間旅行) 發生的活動,例如登入失敗或登入。
應用程式探索原則
當您在組織中安裝新應用程式時,應用程式探索原則會發出警示。
Cloud Discovery 異常偵測原則
Cloud Discovery 異常偵測原則會尋找應用程式記錄中的異常行為。 意外上傳大量資料至第三方雲端儲存網站可能會觸發 Cloud Discovery 異常偵測警示。
檔案原則
檔案原則會搜尋特定檔案、檔案共用,以及包含敏感性資料 (例如公司秘密或信用卡資料) 的檔案。
惡意軟體偵測原則
此原則會偵測雲端儲存空間中的惡意檔案。
OAuth 應用程式異常偵測原則
OAuth 應用程式異常偵測原則會偵測具有誤導名稱、誤導發行者、潛在惡意或是有可疑下載活動的 OAuth 應用程式。
Oauth 應用程式原則
OAuth 應用程式原則會尋找 OAuth 應用程式中的可疑行為,例如要求高階權限。
工作階段原則
工作階段原則可讓您即時監視及控制雲端應用程式中的使用者活動。
建立原則
您可以建立原則來偵測各種可疑活動,並選擇收到此行為的通知,或實作立即補救。
您可以從 [原則] 頁面建立原則,但是根據範本建立原則或根據搜尋建立原則更為直接了當。
若要根據範本建立原則,請從 適用於雲端的 Defender 應用程式 入口網站選取 [控制],然後選取 [範本]。
接著,您可以選取適當的範本,然後選取 [建立原則]。
現在您可以設定原則嚴重性,並建立原則的篩選。 單一活動可以篩選掉,但是只會對在時間範圍內發生指定次數的重複活動執行。
若要根據搜尋建立原則,請從適用於雲端的 Defender 應用程式入口網站選取 [調查],然後選擇搜尋類型,例如 [活動記錄]。
現在您可以指定搜尋準則,然後選取 [從搜尋新增原則]。
您可以使用與範本原則相同的 [建立活動原則] 頁面來完成原則。
下列影片提供 Microsoft 雲端 App 安全性威脅保護功能的概觀: