Řízení cloudových aplikací pomocí zásad

Poznámka

Přejmenovali jsme Microsoft Cloud App Security. Teď se mu říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovky a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Microsoftu najdete na blogu Microsoft Ignite Security.

Zásady umožňují určit způsob, jakým se mají vaši uživatelé v cloudu chovat. Umožňují vám detekovat rizikové chování, porušení nebo podezřelé datové body a aktivity ve vašem cloudovém prostředí. V případě potřeby můžete integrovat toky práce nápravy, abyste dosáhli kompletního zmírnění rizik. Existují různé druhy zásad odpovídající různým druhům informací, které chcete o cloudovém prostředí shromažďovat, a různým druhům nápravných akcí, které můžete chtít provést.

Pokud například existuje hrozba porušení zabezpečení dat, kterou chcete umístit do karantény, potřebujete jiný typ zásad, než kdybyste chtěli zablokovat rizikový cloudovou aplikaci, aby ji vaše organizace používala.

Typy zásad

Když se podíváte na stránku Zásady , můžete různé zásady a šablony odlišit podle typu a ikony, abyste zjistili, které zásady jsou k dispozici. Zásady se dají zobrazit společně na kartě Všechny zásady nebo na příslušných kartách kategorií. Dostupné zásady závisí na zdroji dat a na tom, co jste povolili ve službě Defender for Cloud Apps pro vaši organizaci. Pokud jste například nahráli protokoly Cloud Discovery, zobrazí se zásady týkající se Cloud Discovery.

Můžete vytvořit tyto typy zásad:

Ikona typu zásad Typ zásady Kategorie Použití
activity policy icon. Zásada aktivity Detekce hrozeb Zásady aktivit umožňují vynutit širokou škálu automatizovaných procesů pomocí rozhraní API poskytovatele aplikací. Díky těmto zásadám můžete sledovat konkrétní aktivity prováděné různými uživateli nebo neočekávaně vysoký objem určitého druhu aktivity. Další informace
anomaly detection policy icon. Zásady detekce anomálií Detekce hrozeb Zásady detekce anomálií umožňují hledat neobvyklé aktivity v cloudu. Detekce je založená na rizikových faktorech, které jste nastavili, když se něco stane, které se liší od směrného plánu vaší organizace nebo pravidelné aktivity uživatele. Další informace
OAuth app policy icon. Zásady pro aplikace OAuth Detekce hrozeb Zásady aplikací OAuth umožňují prozkoumat, která oprávnění každá aplikace OAuth požadovala, a automaticky ji schválit nebo odvolat. Jedná se o předdefinované zásady, které jsou součástí aplikací Defender for Cloud a nejde je vytvořit. Další informace
Malware detection policy icon. Zásady detekce malwaru Detekce hrozeb Zásady detekce malwaru umožňují identifikovat škodlivé soubory v cloudovém úložišti a automaticky je schválit nebo odvolat. Jedná se o předdefinované zásady, které se dodává s aplikacemi Defender for Cloud a nelze je vytvořit. Další informace
file policy icon. Zásady souborů Information Protection Zásady souborů umožňují prohledávat cloudové aplikace určené soubory nebo typy souborů (sdílené, sdílené s externími doménami), data (proprietární informace, osobní údaje, informace o platební kartě a další typy dat) a aplikovat akce zásad správného řízení u souborů (akce zásad správného řízení jsou specifické pro cloudovou aplikaci). Další informace
access policy icon. Zásady přístupu Podmíněný přístup Zásady přístupu poskytují monitorování a kontrolu nad přihlášeními uživatelů ke cloudovým aplikacím v reálném čase. Další informace
session policy icon. Zásady relací Podmíněný přístup Zásady relací nabízejí monitorování a řízení aktivit uživatelů v cloudových aplikacích v reálném čase. Další informace
cloud discovery policy icon. Zásady zjišťování aplikací Stínové IT Zásady zjišťování aplikací umožňují nastavit upozornění, která vás informují zjištění nových aplikací v rámci vaší organizace. Další informace
anomaly detection policy icon. Zásady detekce anomálií Cloud Discovery Stínové IT Zásady detekce anomálií Cloud Discovery vyhledávají neobvyklé výskyty v protokolech, které používáte ke zjišťování cloudových aplikací. Jsou to třeba situace, kdy uživatel, který předtím nikdy nepoužíval Dropbox, najednou do Dropboxu odešle 600 GB dat, nebo když má určitá aplikace mnohem víc transakcí než obvykle. Další informace

Rozpoznání rizika

Defender for Cloud Apps pomáhá zmírnit různá rizika v cloudu. Můžete nakonfigurovat libovolnou zásadu nebo upozornění a přidružit je k některému z těchto rizik:

  • Řízení přístupu: Kdo k čemu získává přístup a odkud?

    Průběžně sledujte chování a zjišťujte neobvyklé aktivity, včetně vysoce rizikových útoků zevnitř i zvenku, a pomocí zásad zasílejte upozornění, zadávejte blokování nebo vyžadujte ověření identity pro libovolnou aplikaci nebo konkrétní akci v aplikaci. Umožňuje použití zásad místního a mobilního řízení přístupu na základě uživatele, zařízení a místa s hrubým blokováním nebo postupným zobrazením, úpravou a blokováním. Zjišťujte podezřelé události přihlášení, včetně neúspěšných pokusů o vícefaktorové ověření, neúspěšných pokusů o přihlášení se zablokováním účtu a událostí zosobnění.

  • Dodržování předpisů: Došlo k porušení vašich požadavků na dodržování předpisů?

    Katalogizujte a identifikujte citlivá nebo regulovaná data, včetně oprávnění ke sdílení jednotlivých souborů uložených ve službách pro synchronizaci souborů, abyste zajistili dodržování předpisů jako PCI, SOX a HIPAA.

  • Řízení konfigurace: Jsou změny prováděné ve vaší konfiguraci povolené?

    Sledujte změny konfigurace, včetně vzdálené manipulace s konfigurací.

  • Cloud Discovery: Používají se ve vaší organizaci nové aplikace? Máte problém s používáním stínových aplikací IT, o kterých nevíte?

    Hodnotit celkové riziko pro každou cloudovou aplikaci na základě regulačních a oborových certifikací a osvědčených postupů. Umožňuje monitorovat počet uživatelů, aktivit, objemu provozu a typické hodiny využití pro každou cloudovou aplikaci.

  • Ochrana před únikem informací: Nedochází k veřejnému sdílení vašich vlastních souborů? Potřebujete některé soubory umístit do karantény?

    Místní integrace ochrany před únikem informací zajišťuje integraci a odstranění problémů s uzavřenou smyčkou pomocí stávajících místních řešení ochrany před únikem informací.

  • Privilegované účty: Potřebujete monitorovat účty správců?

    Můžete provádět monitorování aktivity privilegovaných uživatelů a správců v reálném čase a vytvářet sestavy.

  • Řízení sdílení: Jak se ve vašem cloudovém prostředí sdílí data?

    Prozkoumejte obsah souborů a obsah v cloudu a vynucujte zásady pro interní i externí sdílení. Sledujte spolupráci a vynucujte zásady sdílení, třeba blokování sdílení souborů mimo vaši organizaci.

  • Detekce hrozby: Neohrožují vaše cloudové prostředí podezřelé aktivity?

    Můžete v reálném čase dostávat e-mailem nebo textovou zprávou oznámení o porušení zásad nebo prahových hodnot aktivit. Když použijete algoritmy strojového učení, Defender for Cloud Apps vám umožní detekovat chování, které by mohlo značit, že uživatel chybně používá data.

Postup řízení rizika

Při řízení rizika pomocí zásad použijte tento postup:

  1. Ze šablony nebo dotazu vytvořte zásadu.

  2. Vylaďte zásadu, abyste dosáhli očekávaných výsledků.

  3. Přidejte automatizované akce, které reagují na rizika a automaticky je opravují.

Vytvoření zásad

Šablony zásad Defender for Cloud Apps můžete použít jako základ pro všechny zásady nebo vytvořit zásady z dotazu.

Šablony zásad vám pomůžou nastavit správné filtry a konfigurace potřebné k detekci konkrétních událostí zájmu ve vašem prostředí. Šablony zahrnují zásady všech typů a můžou se vztahovat k různým službám.

Pokud chcete vytvořit zásadu ze šablon zásad, proveďte následující kroky:

  1. V konzole klikněte na Řízení a potom na Šablony.

    Create the policy from a template.

  2. Klikněte na znaménko plus (+) úplně vpravo od řádku šablony, kterou chcete použít. Otevře se stránka vytvořit zásadu s předem definovanou konfigurací šablony.

  3. Upravte šablonu podle toho, jak má vaše vlastní zásada vypadat. Každou vlastnost a pole této nové zásady založené na šabloně můžete upravit podle svých potřeb.

    Poznámka

    Pokud používáte filtry zásad, hledá se jenom úplná slova oddělená čárkami, tečkami, mezerami nebo podtržítky. Pokud například hledáte malware nebo virus, vyhledá virus_malware_file.exe, ale nenajde malwarevirusfile.exe. Pokud hledáte malware.exe, najdete všechny soubory s malwarem nebo exe v jejich názvu souboru, zatímco pokud hledáte "malware.exe" (s uvozovkami), najdete pouze soubory, které obsahují přesně "malware.exe".
    Rovná se hledání pouze pro celý řetězec, například pokud hledáte malware.exenajde malware.exe , ale ne malware.exe.txt.

  4. Po vytvoření nové zásady založené na šabloně se ve sloupci Propojené zásady v tabulce šablon zásad vedle šablony, ze které jste zásadu vytvořili, zobrazí odkaz na novou zásadu. Z každé šablony můžete vytvořit libovolný počet zásad a všechny budou propojeny s původní šablonou. Propojení umožňuje sledovat všechny zásady vytvořené pomocí stejné šablony.

Případně můžete taky vytvořit zásadu během šetření. Pokud prošetřujete protokol aktivit, soubory nebo účty a přejdete k podrobnostem a hledáte něco konkrétního, můžete kdykoli vytvořit novou zásadu na základě výsledků šetření.

Pokud například sledujete protokol aktivit a zobrazuje se aktivita správce mimo IP adresy vaší kanceláře.

Pokud chcete vytvořit zásadu založenou na výsledcích šetření, proveďte následující kroky:

  1. V konzole klikněte na Prošetřit a potom protokol aktivit, soubory nebo účty.

  2. Pomocí filtrů v horní části stránky omezte výsledky hledání na podezřelou oblast. Například na stránce Protokol aktivit klikněte na typ aktivity a v operaci Azure vyberte Zapisovat správce . Potom v části IP adresa vyberte Kategorie a nastavte hodnotu tak, aby neobsávala kategorie IP adres, které jste vytvořili pro vaše rozpoznané domény, jako je váš správce, podniková a IP adresa VPN.

    Create file from investigation.

  3. V pravém horním rohu konzoly klikněte na Nová zásada z hledání.

    New policy from search button.

  4. Otevře se stránka pro vytvoření zásady obsahující filtry, které jste použili při šetření.

  5. Upravte šablonu podle toho, jak má vaše vlastní zásada vypadat. Každou vlastnost a pole této nové zásady založené na šetření můžete upravit podle svých potřeb.

    Poznámka

    Pokud používáte filtry zásad, hledá se jenom úplná slova oddělená čárkami, tečkami, mezerami nebo podtržítky. Pokud například hledáte malware nebo virus, vyhledá virus_malware_file.exe, ale nenajde malwarevirusfile.exe.
    Rovná se hledání pouze pro celý řetězec, například pokud hledáte malware.exenajde malware.exe , ale ne malware.exe.txt.

    create activity policy from investigation.

    Poznámka

    Další informace o nastavení polí zásad najdete v příslušné dokumentaci k zásadám:

    Zásady aktivit uživatelů

    Zásady ochrany dat

    Zásady Cloud Discovery

Přidání automatických akcí, které reagují na rizika a automaticky je opravují

Seznam dostupných akcí pro správné řízení aplikací najdete v článku Řízení připojených aplikací.

Zásadu můžete také nastavit tak, aby vás na zjištěné shody upozornila e-mailem nebo textovou zprávou.

Předvolby oznámení nastavíte v Přizpůsobení portálu.

Poznámka

Maximální počet upozornění odesílaných prostřednictvím textové zprávy je 10 na telefonní číslo za den. Den se vypočítá podle časového pásma UTC.

Zapnutí a vypnutí zásad

Po vytvoření můžete zásadu povolit nebo zakázat. Zakázáním se zabráníte nutnosti odstranit zásadu po jejím vytvoření, abyste ji zastavili. Místo toho, pokud z nějakého důvodu chcete zásadu zastavit, zakažte ji, dokud se nerozhodnete ji znovu povolit.

  • Pokud chcete zásadu povolit, klikněte na stránce Zásady na tři tečky na konci řádku zásady, kterou chcete povolit. Vyberte Povolit.

    Enable policy.

  • Pokud chcete zásadu zakázat, klikněte na stránce Zásady na tři tečky na konci řádku zásady, kterou chcete zakázat. Vyberte Zakázat.

    Disable policy.

Ve výchozím nastavení se po vytvoření nové zásady povolí.

Sestava přehledu zásad

Defender for Cloud Aplikace umožňují exportovat sestavu přehledu zásad zobrazující agregované metriky upozornění na jednotlivé zásady, které vám pomůžou monitorovat, pochopit a přizpůsobit zásady tak, aby lépe chránily vaši organizaci.

Pokud chcete exportovat protokol, proveďte následující kroky:

  1. Na stránce Zásady klikněte na tlačítko Exportovat .

  2. Zadejte požadovaný časový rozsah.

  3. Klikněte na Exportovat. Tento proces může nějakou dobu trvat.

Stažení exportované sestavy:

  1. Jakmile je sestava připravená, přejděte na Nastavení a pak exportované sestavy.

  2. V tabulce vyberte příslušnou sestavu ze seznamu sestavy přehledu zásad a klikněte na stáhnout.

    download button.

Další kroky

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.