Monitorování upozornění v aplikacích Defender for Cloud
Poznámka
Přejmenovali jsme Microsoft Cloud App Security. Teď se jí říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovek a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Společnosti Microsoft najdete na blogu Microsoft Ignite Security.
Upozornění jsou vstupními body k hlubšímu pochopení vašeho cloudového prostředí. Tento článek obsahuje seznam a popis všech výstrah.
Monitorování výstrah
Je vhodné zkontrolovat všechna upozornění. Vysvětlení, proč k upozornění dochází, vám umožní je používat jako nástroje pro úpravy zásad.
Zobrazení výstrah: Na portálu Microsoft Defender for Cloud Apps vyberte Výstrahy.
Po pohledu na upozornění zavřete upozornění a určete, že není zajímavé.
- Zadejte komentář , který vysvětluje, proč jste upozornění zavřeli.
- Pošlete nám zpětnou vazbu k tomuto upozornění , aby ho náš tým pro výzkum zabezpečení zkontroloval za účelem vylepšení výstrah.
Vyřešte výstrahu, pokud ji prošetříte a zmírníte riziko.
- Výstraha se už v tabulce upozornění nezobrazí.
- Pokud jste začali prošetřovat problém, označte ho jako nepřečtené, ale nezapomeňte pokračovat.
- Upravte zásadu , která odpovídala upozornění, a vylepšete tak budoucí shody výstrah.
- Při řešení upozornění můžete zadat komentář a poslat zpětnou vazbu týmu Defender for Cloud Apps.
Nasazení našeho vylepšeného prostředí pro monitorování a správu výstrah
V rámci našich průběžných vylepšení monitorování a správy výstrah se na základě vašich názorů vylepšila stránka upozornění Defender for Cloud Aplikace. V rozšířeném prostředí se stavy Vyřešeno a Zamítnuto nahradí stavem Uzavřeno a uzavřená upozornění mají jeden z následujících typů řešení:
- Pravdivě pozitivní: Výstraha na potvrzenou škodlivou aktivitu
- Neškodné: Upozornění na podezřelou, ale ne škodlivou aktivitu, jako je test průniku nebo jiná autorizovaná podezřelá akce
- Falešně pozitivní: Upozornění na neschválnou aktivitu
Poznámka
Vylepšené prostředí se vztahuje pouze na nová upozornění a nemá vliv na stav existujících (starších) výstrah, které byly vyřešeny nebo zamítnuty.
Vylepšené monitorování výstrah
Na stránce s rozšířenými výstrahami se ve sloupci Stav zobrazuje, jestli je výstraha otevřená nebo uzavřená, a sloupec Typ řešení zobrazuje typ řešení použitý při zavření výstrahy. Pomocí filtru Stav můžete identifikovat otevřené nebo uzavřené výstrahy a pak pomocí rozšířeného filtru můžete podrobněji prozkoumat uzavřená upozornění podle typu řešení pomocí rozšířených i starších typů řešení.
Vylepšená správa výstrah
Při zavření výstrah zvolte jednu z následujících možností řešení:
- Zavřít jako pravdivě pozitivní: Pokud je aktivita potvrzena jako škodlivá
- Zavřít jako neškodné: Pokud je aktivita podezřelá, ale ne škodlivá aktivita, jako je penetrační test nebo jiná autorizovaná podezřelá akce
- Zavření jako falešně pozitivní: Pokud se aktivita potvrdí jako neschytná
V zobrazeném automaticky otevíracím okně zadejte důvod pro zavření výstrahy a podle potřeby vyplňte zbývající podrobnosti a pak vyberte Zavřít výstrahu.
Předdefinované výstrahy
Zobrazí se následující typy výstrah.
| Název upozornění | ID výstrahy | Description |
|---|---|---|
| Ohrožení bezpečnosti účtu | ALERT_COMPROMISED_ACCOUNT | Pokud v aplikaci došlo k porušení zabezpečení a publikuje se seznam porušení zabezpečení účtů, Defender for Cloud Aplikace seznam stáhne a porovná ho se seznamem uživatelů. Seznam uživatelů zahrnuje interní uživatele, externí uživatele a osobní účty. |
| Nový správce | ALERT_ADMIN_USER | Pro konkrétní aplikaci byl zjištěn nový správce. Tento správce může být někdo, kdo je správcem v jedné aplikaci a je teď správcem jiné aplikace. Tato výstraha se týká konkrétního typu správce, takže se zobrazí, když se typ správce změní. Tato výstraha se zobrazí, pokud uživatel ztratil oprávnění správce a pak je znovu získal. |
| Nové místo | ALERT_GEOLOCATION_NEW_COUNTRY | Od začátku kontroly (až 6 měsíců) bylo zjištěno nové místo. Tato výstraha se zobrazí jenom jednou pro každou zemi nebo oblast pro celou organizaci. |
| Neaktivní účet | ALERT_ZOMBIE_USER | Pokud je uživatel neaktivní po dobu 60 dnů na aplikaci – například pokud je někdo aktivní v Boxu, ale po dobu 60 dnů se nedotkne Google Workspace, bude uživatel považován za neaktivní ve službě Google Workspace. K těmto uživatelům se přidá značka, abyste mohli vyhledat neaktivní účty. |
| Aktivita ransomwaru | ALERT_ANUBIS_DETECTION_RANSOMWARE | Zjistí se vzor aktivity, který je typickým útokem ransomwaru. |
| Neočekávané místo správce | ALERT_NEW_ADMIN_LOCATION | Od začátku kontroly (až 6 měsíců) bylo zjištěno nové místo správce. Tato výstraha se zobrazí jenom jednou pro každou zemi nebo oblast pro všechny správce ve vaší organizaci. |
Vlastní upozornění
Zobrazí se následující typy výstrah.
| Název upozornění | ID výstrahy | Description |
|---|---|---|
| Upozornění na podezřelou aktivitu | ALERT_SUSPICIOUS_ACTIVITY | Podezřelé aktivity jsou vyhodnoceny podle toho, jak podezřelá je neobvyklá aktivita (týká se neaktivní účet? Pochází z nového umístění?) Tato kritéria se počítají společně a poskytují skóre rizika na základě následujících rizikových faktorů: Uživatel je správcem Výhradně vzdálený uživatel Anonymní proxy Celá relace sestává z neúspěšných přihlášení Počet neúspěšných přihlášení Nový (správce) IP / poskytovatel internetových služeb / země/oblast / uživatelský agent pro uživatele/tenanta IP / poskytovatel internetových služeb / země/oblast / uživatelský agent použitý jenom uživatelem (správcem) První aktivita uživatele (správce) po delší době První použití konkrétní aktivity pro správu po delší době Tato konkrétní administrativní aktivita není běžná / nebyla nikdy provedena dříve. Z této IP adresy se v minulosti prováděla pouze neúspěšná přihlášení Neuskutečnitelná cesta |
| Upozornění na podezření u použití cloudu | ALERT_DISCOVERY_ANOMALY_DETECTION | Detekce anomálií Cloud Discovery kontroluje vzorce běžného chování a hledá uživatele nebo aplikace, které se používají neobvyklým způsobem. |
| Porušení zásad aktivity | ALERT_CABINET_EVENT_MATCH_AUDIT | Tato výstraha informuje o tom, že byla zjištěna shoda se zásadami. |
| Porušení zásad souboru | ALERT_CABINET_EVENT_MATCH_FILE | Tato výstraha informuje o tom, že byla zjištěna shoda se zásadami. |
| Porušení zásad proxy | ALERT_CABINET_INLINE_EVENT_MATCH | Tato výstraha informuje o tom, že byla zjištěna shoda se zásadami. |
| Porušení zásad pole | ALERT_CABINET_EVENT_MATCH_OBJECT | Tato výstraha informuje o tom, že byla zjištěna shoda se zásadami. |
| Zjištěna nová služba | ALERT_CABINET_DISCOVERY_NEW_SERVICE | Byla zjištěna nová aplikace. |
| Použití osobního účtu | ALERT_PERSONAL_USER_SAGE | Zjišťovací modul na základě sdílených složek a uživatelských jmen vyhledá osobní účty. |
Další kroky
Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.