Monitorování upozornění v aplikacích Defender for Cloud

Poznámka

Přejmenovali jsme Microsoft Cloud App Security. Teď se jí říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovek a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Společnosti Microsoft najdete na blogu Microsoft Ignite Security.

Upozornění jsou vstupními body k hlubšímu pochopení vašeho cloudového prostředí. Tento článek obsahuje seznam a popis všech výstrah.

Monitorování výstrah

Je vhodné zkontrolovat všechna upozornění. Vysvětlení, proč k upozornění dochází, vám umožní je používat jako nástroje pro úpravy zásad.

Zobrazení výstrah: Na portálu Microsoft Defender for Cloud Apps vyberte Výstrahy.

Alert menu.

  • Po pohledu na upozornění zavřete upozornění a určete, že není zajímavé.

    • Zadejte komentář , který vysvětluje, proč jste upozornění zavřeli.
    • Pošlete nám zpětnou vazbu k tomuto upozornění , aby ho náš tým pro výzkum zabezpečení zkontroloval za účelem vylepšení výstrah.
  • Vyřešte výstrahu, pokud ji prošetříte a zmírníte riziko.

    • Výstraha se už v tabulce upozornění nezobrazí.
    • Pokud jste začali prošetřovat problém, označte ho jako nepřečtené, ale nezapomeňte pokračovat.
    • Upravte zásadu , která odpovídala upozornění, a vylepšete tak budoucí shody výstrah.
    • Při řešení upozornění můžete zadat komentář a poslat zpětnou vazbu týmu Defender for Cloud Apps.

Nasazení našeho vylepšeného prostředí pro monitorování a správu výstrah

V rámci našich průběžných vylepšení monitorování a správy výstrah se na základě vašich názorů vylepšila stránka upozornění Defender for Cloud Aplikace. V rozšířeném prostředí se stavy Vyřešeno a Zamítnuto nahradí stavem Uzavřeno a uzavřená upozornění mají jeden z následujících typů řešení:

  • Pravdivě pozitivní: Výstraha na potvrzenou škodlivou aktivitu
  • Neškodné: Upozornění na podezřelou, ale ne škodlivou aktivitu, jako je test průniku nebo jiná autorizovaná podezřelá akce
  • Falešně pozitivní: Upozornění na neschválnou aktivitu

Poznámka

Vylepšené prostředí se vztahuje pouze na nová upozornění a nemá vliv na stav existujících (starších) výstrah, které byly vyřešeny nebo zamítnuty.

Enhanced alerts page.

Vylepšené monitorování výstrah

Na stránce s rozšířenými výstrahami se ve sloupci Stav zobrazuje, jestli je výstraha otevřená nebo uzavřená, a sloupec Typ řešení zobrazuje typ řešení použitý při zavření výstrahy. Pomocí filtru Stav můžete identifikovat otevřené nebo uzavřené výstrahy a pak pomocí rozšířeného filtru můžete podrobněji prozkoumat uzavřená upozornění podle typu řešení pomocí rozšířených i starších typů řešení.

Enhanced alerts page showing advanced filter.

Vylepšená správa výstrah

Při zavření výstrah zvolte jednu z následujících možností řešení:

  • Zavřít jako pravdivě pozitivní: Pokud je aktivita potvrzena jako škodlivá
  • Zavřít jako neškodné: Pokud je aktivita podezřelá, ale ne škodlivá aktivita, jako je penetrační test nebo jiná autorizovaná podezřelá akce
  • Zavření jako falešně pozitivní: Pokud se aktivita potvrdí jako neschytná

V zobrazeném automaticky otevíracím okně zadejte důvod pro zavření výstrahy a podle potřeby vyplňte zbývající podrobnosti a pak vyberte Zavřít výstrahu.

Enhanced alerts close popup.

Předdefinované výstrahy

Zobrazí se následující typy výstrah.

Název upozornění ID výstrahy Description
Ohrožení bezpečnosti účtu ALERT_COMPROMISED_ACCOUNT Pokud v aplikaci došlo k porušení zabezpečení a publikuje se seznam porušení zabezpečení účtů, Defender for Cloud Aplikace seznam stáhne a porovná ho se seznamem uživatelů. Seznam uživatelů zahrnuje interní uživatele, externí uživatele a osobní účty.
Nový správce ALERT_ADMIN_USER Pro konkrétní aplikaci byl zjištěn nový správce. Tento správce může být někdo, kdo je správcem v jedné aplikaci a je teď správcem jiné aplikace. Tato výstraha se týká konkrétního typu správce, takže se zobrazí, když se typ správce změní. Tato výstraha se zobrazí, pokud uživatel ztratil oprávnění správce a pak je znovu získal.
Nové místo ALERT_GEOLOCATION_NEW_COUNTRY Od začátku kontroly (až 6 měsíců) bylo zjištěno nové místo. Tato výstraha se zobrazí jenom jednou pro každou zemi nebo oblast pro celou organizaci.
Neaktivní účet ALERT_ZOMBIE_USER Pokud je uživatel neaktivní po dobu 60 dnů na aplikaci – například pokud je někdo aktivní v Boxu, ale po dobu 60 dnů se nedotkne Google Workspace, bude uživatel považován za neaktivní ve službě Google Workspace. K těmto uživatelům se přidá značka, abyste mohli vyhledat neaktivní účty.
Aktivita ransomwaru ALERT_ANUBIS_DETECTION_RANSOMWARE Zjistí se vzor aktivity, který je typickým útokem ransomwaru.
Neočekávané místo správce ALERT_NEW_ADMIN_LOCATION Od začátku kontroly (až 6 měsíců) bylo zjištěno nové místo správce. Tato výstraha se zobrazí jenom jednou pro každou zemi nebo oblast pro všechny správce ve vaší organizaci.

Vlastní upozornění

Zobrazí se následující typy výstrah.

Název upozornění ID výstrahy Description
Upozornění na podezřelou aktivitu ALERT_SUSPICIOUS_ACTIVITY Podezřelé aktivity jsou vyhodnoceny podle toho, jak podezřelá je neobvyklá aktivita (týká se neaktivní účet? Pochází z nového umístění?) Tato kritéria se počítají společně a poskytují skóre rizika na základě následujících rizikových faktorů:
Uživatel je správcem
Výhradně vzdálený uživatel
Anonymní proxy
Celá relace sestává z neúspěšných přihlášení
Počet neúspěšných přihlášení
Nový (správce)
IP / poskytovatel internetových služeb / země/oblast / uživatelský agent pro uživatele/tenanta
IP / poskytovatel internetových služeb / země/oblast / uživatelský agent použitý jenom uživatelem (správcem)
První aktivita uživatele (správce) po delší době
První použití konkrétní aktivity pro správu po delší době
Tato konkrétní administrativní aktivita není běžná / nebyla nikdy provedena dříve.
Z této IP adresy se v minulosti prováděla pouze neúspěšná přihlášení
Neuskutečnitelná cesta
Upozornění na podezření u použití cloudu ALERT_DISCOVERY_ANOMALY_DETECTION Detekce anomálií Cloud Discovery kontroluje vzorce běžného chování a hledá uživatele nebo aplikace, které se používají neobvyklým způsobem.
Porušení zásad aktivity ALERT_CABINET_EVENT_MATCH_AUDIT Tato výstraha informuje o tom, že byla zjištěna shoda se zásadami.
Porušení zásad souboru ALERT_CABINET_EVENT_MATCH_FILE Tato výstraha informuje o tom, že byla zjištěna shoda se zásadami.
Porušení zásad proxy ALERT_CABINET_INLINE_EVENT_MATCH Tato výstraha informuje o tom, že byla zjištěna shoda se zásadami.
Porušení zásad pole ALERT_CABINET_EVENT_MATCH_OBJECT Tato výstraha informuje o tom, že byla zjištěna shoda se zásadami.
Zjištěna nová služba ALERT_CABINET_DISCOVERY_NEW_SERVICE Byla zjištěna nová aplikace.
Použití osobního účtu ALERT_PERSONAL_USER_SAGE Zjišťovací modul na základě sdílených složek a uživatelských jmen vyhledá osobní účty.

Další kroky

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.