Zásady ochrany před hrozbami

Defender for Cloud Apps umožňuje identifikovat vysoce rizikové problémy s používáním a zabezpečením cloudu, zjišťovat neobvyklé chování uživatelů a bránit hrozbám ve schválených cloudových aplikacích. Získejte přehledochch Nakreslete z obrovského množství dat microsoftu pro analýzu hrozeb a bezpečnostních výzkumů, abyste zajistili, že vaše schválené aplikace mají všechny bezpečnostní prvky, které potřebujete, a pomáhají vám udržet kontrolu nad nimi.

Poznámka:

Při integraci Defenderu for Cloud Apps s Microsoft Defenderem for Identity se zásady z Defenderu for Identity zobrazí také na stránce zásad. Seznam zásad služby Defender for Identity najdete v tématu Výstrahy zabezpečení.

Zjišťování a řízení aktivity uživatelů z neznámých umístění

Automatická detekce přístupu uživatelů nebo aktivity z neznámých umístění, která nikdy nikdo jiný ve vaší organizaci nenavštěvoval.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací nebo na palubě pomocí řízení aplikace podmíněného přístupu s ovládacími prvky relace.

Kroky

Toto zjišťování se automaticky nakonfiguruje tak, aby vás upozornilo na přístup z nových umístění. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

Zjištění ohroženého účtu na základě nemožného umístění (nemožné cestování)

Automatické zjišťování přístupu uživatele nebo aktivity z 2 různých míst v časovém období, které je kratší než doba trvání cesty mezi těmito dvěma místy.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací nebo na palubě pomocí řízení aplikace podmíněného přístupu s ovládacími prvky relace.

Kroky

1. Toto zjišťování se automaticky nakonfiguruje tak, aby vás upozornilo na přístup z nemožného umístění. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

2. Volitelné: Můžete přizpůsobit zásady detekce anomálií:

   • Přizpůsobení oboru detekce z hlediska uživatelů a skupin

   • Zvolte typy přihlášení, které chcete zvážit.

   • Nastavení předvolby citlivosti pro upozorňování

3. Vytvořte zásadu detekce anomálií.

Zjištění podezřelé aktivity od zaměstnance na dovolené

Zjistěte, kdy uživatel, který je na nezaplacené dovolené, a neměl by být aktivní u žádného organizačního prostředku, přistupuje ke cloudovým prostředkům vaší organizace.

Požadavky

• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

• Vytvořte skupinu zabezpečení v Microsoft Entra ID pro uživatele při nezaplacené dovolené a přidejte všechny uživatele, které chcete monitorovat.

Kroky

1. Na obrazovce Skupiny uživatelů vyberte Vytvořit skupinu uživatelů a naimportujte příslušnou skupinu Microsoft Entra.

2. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu aktivity.

3. Nastavte filtr Skupina Uživatelů se rovná názvu skupin uživatelů, které jste vytvořili v ID Microsoft Entra pro nezaplacené uživatele.

4. Volitelné: Nastavte akce zásad správného řízení , které se mají provést u souborů při zjištění porušení. Dostupné akce zásad správného řízení se mezi službami liší. Můžete zvolit Možnost Pozastavit uživatele.

5. Vytvořte zásadu souborů.

Zjištění a upozornění při použití zastaralého operačního systému prohlížeče

Zjistěte, kdy uživatel používá prohlížeč se zastaralou verzí klienta, která může představovat rizika dodržování předpisů nebo zabezpečení pro vaši organizaci.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací nebo na palubě pomocí řízení aplikace podmíněného přístupu s ovládacími prvky relace.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu aktivity.

2. Nastavte filtr značky uživatelského agenta se rovná zastaralému prohlížeči a zastaralému operačnímu systému.

3. Nastavte akce zásad správného řízení, které se mají provést u souborů při zjištění porušení zásad správného řízení. Dostupné akce zásad správného řízení se mezi službami liší. V části Všechny aplikace vyberte Upozornit uživatele, aby vaši uživatelé mohli reagovat na výstrahu a aktualizovat potřebné součásti.

4. Vytvořte zásadu aktivity.

Detekce a upozorňování při zjištění Správa aktivity na rizikových IP adresách

Detekujte aktivity správce prováděné z IP adresy a IP adresy, které se považují za rizikovou IP adresu, a informujte správce systému, aby provedl další šetření nebo nastavil akci zásad správného řízení u účtu správce.

Požadavky

• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

• V Nastavení ozubeného kolečka vyberte rozsahy IP adres a vyberte + a přidejte rozsahy IP adres pro vaše interní podsítě a jejich výchozí veřejné IP adresy. Nastavte kategorii na interní.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu aktivity.

2. Nastavte akci na jednu aktivitu.

3. Nastavení IP adresy filtru na Kategorie se rovná rizikovým

4. Nastavení aktivity filtru Správa istrativní na hodnotu True

5. Nastavte akce zásad správného řízení, které se mají provést u souborů při zjištění porušení zásad správného řízení. Dostupné akce zásad správného řízení se mezi službami liší. V části Všechny aplikace vyberte Upozornit uživatele, aby vaši uživatelé mohli reagovat na výstrahu a aktualizovat potřebné součásti , které správce uživatele.

6. Vytvořte zásadu aktivity.

Detekce aktivit podle účtu služby z externích IP adres

Detekce aktivit účtu služby pocházejících z neinterních IP adres To může značit podezřelé chování nebo ohrožený účet.

Požadavky

• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

• V Nastavení ozubeného kolečka vyberte rozsahy IP adres a vyberte + a přidejte rozsahy IP adres pro vaše interní podsítě a jejich výchozí veřejné IP adresy. Nastavte kategorii na interní.

• Standardizujte zásady vytváření názvů pro účty služeb ve vašem prostředí, například nastavte všechny názvy účtů tak, aby začínaly na svc.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu aktivity.

2. Nastavte filtr User na Name (Uživatelské jméno)a potom Start with a zadejte zásady vytváření názvů, jako je svc.

3. Nastavte IP adresu filtru na Kategorii, která se nerovná jiným a podnikovým.

4. Nastavte akce zásad správného řízení, které se mají provést u souborů při zjištění porušení zásad správného řízení. Dostupné akce zásad správného řízení se mezi službami liší.

5. Vytvořte zásadu.

Detekce hromadného stahování (exfiltrace dat)

Zjistěte, kdy určitý uživatel přistupuje nebo stáhne velký počet souborů za krátkou dobu.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací nebo na palubě pomocí řízení aplikace podmíněného přístupu s ovládacími prvky relace.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu aktivity.

2. Nastavte IP adresy filtru na Tag, které se nerovnají Microsoft Azure. Tím se vyloučí neinteraktivní aktivity založené na zařízeních.

3. Nastavte typy aktivit filtru a pak vyberte všechny relevantní aktivity stahování.

4. Nastavte akce zásad správného řízení, které se mají provést u souborů při zjištění porušení zásad správného řízení. Dostupné akce zásad správného řízení se mezi službami liší.

5. Vytvořte zásadu.

Detekce potenciální aktivity ransomwaru

Automatická detekce potenciální aktivity ransomware.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Tato detekce se automaticky nakonfiguruje tak, aby vás upozornila, když se zjistí potenciální riziko ransomwaru. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

2. Je možné nakonfigurovat obor detekce a přizpůsobit akce zásad správného řízení, které se mají provést při aktivaci výstrahy. Další informace o tom, jak Defender for Cloud Apps identifikuje Ransomware, najdete v tématu Ochrana vaší organizace před ransomwarem.

Poznámka:

To platí pro Microsoft 365, Google Workspace, Box a Dropbox.

Detekce malwaru v cloudu

Detekce souborů obsahujících malware v cloudových prostředích pomocí integrace Defenderu for Cloud Apps s modulem Analýzy hrozeb Od Microsoftu.

Požadavky

• Pro detekci malwaru Microsoftu 365 musíte mít platnou licenci pro Microsoft Defender pro Microsoft 365 P1.
• Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

• Tato detekce se automaticky nakonfiguruje tak, aby vás upozornila, když je soubor, který může obsahovat malware. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

Zjištění převzetí správce podvodným správcem

Detekce opakované aktivity správce, která může znamenat škodlivé záměry.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vytvořte novou zásadu aktivity.

2. Nastavte akce na Opakovanou aktivitu a přizpůsobte minimální opakované aktivity a nastavte časový rámec tak, aby vyhovoval zásadám vaší organizace.

3. Nastavte filtr User na From group equals a select all the related admin group as Actor only.

4. Nastavte typ aktivity filtru se rovná všem aktivitám, které se vztahují k aktualizacím, změnám a resetování hesel.

5. Nastavte akce zásad správného řízení, které se mají provést u souborů při zjištění porušení zásad správného řízení. Dostupné akce zásad správného řízení se mezi službami liší.

6. Vytvořte zásadu.

Detekce podezřelých pravidel pro manipulaci s doručenou poštou

Pokud bylo v doručené poště uživatele nastavené podezřelé pravidlo doručené pošty, může to znamenat, že je uživatelský účet ohrožený a že se poštovní schránka používá k distribuci spamu a malwaru ve vaší organizaci.

Požadavky

• Použití Microsoft Exchange pro e-mail

Kroky

• Tato detekce je automaticky nakonfigurovaná tak, aby vás upozornila, když je nastavená podezřelá sada pravidel doručené pošty. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

Zjištění nevracených přihlašovacích údajů

Když kyberzločinci ohrožují platná hesla legitimních uživatelů, často tyto přihlašovací údaje sdílejí. Obvykle se to provádí zveřejněním na tmavém webu nebo vložením stránek nebo obchodováním nebo prodejem přihlašovacích údajů na černém trhu.

Defender for Cloud Apps využívá inteligentní analýzy hrozeb Od Microsoftu ke spárování těchto přihlašovacích údajů s přihlašovacími údaji používanými ve vaší organizaci.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

Tato detekce je automaticky nakonfigurovaná tak, aby vás upozornila na případné úniky přihlašovacích údajů. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

Detekce neobvyklých souborů ke stažení

Zjistěte, kdy uživatelé v jedné relaci provádějí více aktivit stahování souborů vzhledem ke směrnému plánu. To může znamenat pokus o porušení zabezpečení.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací nebo na palubě pomocí řízení aplikace podmíněného přístupu s ovládacími prvky relace.

Kroky

1. Tato detekce se automaticky nakonfiguruje tak, aby vás upozornila, když dojde k neobvyklému stahování. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

2. Je možné nakonfigurovat rozsah detekce a přizpůsobit akci, která se má provést při aktivaci výstrahy.

Detekce neobvyklých sdílených složek uživatelem

Zjistěte, kdy uživatelé v jedné relaci provádějí více aktivit sdílení souborů s ohledem na směrný plán, který by mohl znamenat pokus o porušení zabezpečení.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací nebo na palubě pomocí řízení aplikace podmíněného přístupu s ovládacími prvky relace.

Kroky

1. Toto zjišťování se automaticky nakonfiguruje tak, aby vás upozorňovalo, když uživatelé provádějí více sdílení souborů. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

2. Je možné nakonfigurovat rozsah detekce a přizpůsobit akci, která se má provést při aktivaci výstrahy.

Detekce neobvyklých aktivit z občasné země nebo oblasti

Zjistěte aktivity z umístění, které nebylo nedávno nebo nebylo nikdy navštíveno uživatelem nebo žádným uživatelem ve vaší organizaci.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací nebo na palubě pomocí řízení aplikace podmíněného přístupu s ovládacími prvky relace.

Kroky

1. Tato detekce je automaticky nakonfigurovaná tak, aby vás upozornila, když dojde k neobvyklé aktivitě z občasné země nebo oblasti. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

2. Je možné nakonfigurovat rozsah detekce a přizpůsobit akci, která se má provést při aktivaci výstrahy.

Poznámka:

Detekce neobvyklých umístění vyžaduje počáteční výukové období 7 dnů. Během výukového období negeneruje Defender for Cloud Apps upozornění pro nová umístění.

Zjištění aktivity provedené ukončeným uživatelem

Zjistěte, kdy uživatel, který už není zaměstnancem vaší organizace, provádí aktivitu ve schválené aplikaci. To může znamenat škodlivou aktivitu ukončeného zaměstnance, který má stále přístup k podnikovým prostředkům.

Požadavky

Musíte mít alespoň jednu aplikaci připojenou pomocí konektorů aplikací.

Kroky

1. Toto zjišťování se automaticky nakonfiguruje tak, aby vás upozorňovalo, když je aktivita provedena ukončeným zaměstnancem. Ke konfiguraci této zásady nemusíte provádět žádnou akci. Další informace najdete v tématu Zásady detekce anomálií.

2. Je možné nakonfigurovat rozsah detekce a přizpůsobit akci, která se má provést při aktivaci výstrahy.

Další kroky

Osvědčené postupy pro ochranu vaší organizace

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.