Vizsgálat

  • Cikk
  • 5 perc alatt elolvasható

Megjegyzés

  • Átneveztük Microsoft Cloud App Security. Most Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben itt és a kapcsolódó oldalakon frissítjük a képernyőképeket és az utasításokat. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. A Microsoft biztonsági szolgáltatásainak legutóbbi átnevezéséről a Microsoft Ignite Security blogban talál további információt.

  • Microsoft Defender for Cloud Apps most már a Microsoft 365 Defender része. A Microsoft 365 Defender portálon a biztonsági rendszergazdák egy helyen végezhetik el a biztonsági feladataikat. Ez leegyszerűsíti a munkafolyamatokat, és hozzáadja a többi Microsoft 365 Defender szolgáltatás funkcióit. Microsoft 365 Defender lesz a Microsoft-identitások, -adatok, -eszközök, -alkalmazások és -infrastruktúra biztonságának figyelése és kezelése. Ezekről a változásokról a Microsoft 365 Defender Microsoft Defender for Cloud Apps című témakörben talál további információt.

Miután Microsoft Defender for Cloud Apps fut a felhőalapú környezetben, szüksége lesz a tanulás és a vizsgálat egy szakaszára. Megtudhatja, hogyan használhatja az Microsoft Defender for Cloud Apps eszközöket, hogy jobban megértse, mi történik a felhőkörnyezetben. Az adott környezet és a használatuk alapján meghatározhatja a szervezet kockázatokkal szembeni védelmének követelményeit. Ez a cikk azt ismerteti, hogyan hajthat végre vizsgálatot a felhőkörnyezet jobb megismeréséhez.

Irányítópultok

Az alábbi irányítópultok a felhőalapú környezetben futó alkalmazások vizsgálatában nyújtanak segítséget:

Irányítópult Leírás
Fő irányítópult A felhő állapotának (felhasználók, fájlok, tevékenységek) és a szükséges műveletek (riasztások, tevékenységsértések és tartalomsértések) áttekintése.
Alkalmazás irányítópultja: áttekintés Az alkalmazáshasználat helyenkénti áttekintése, felhasználónkénti használati grafikonok.
Alkalmazás irányítópultja: információ Információ az alkalmazás részleteiről, biztonságáról és megfelelőségéről.
Alkalmazás irányítópultja: megállapítások
Az alkalmazásban tárolt adatok elemzése fájltípus és fájlmegosztási szint szerint lebontva.
Alkalmazás irányítópultja: fájlok
Fájlok részletezése; a tulajdonos, a megosztási szint és egyebek szerinti szűrési képesség. Cégirányítási műveletek, például karantén végrehajtása.
Alkalmazás irányítópultja: fiókok Az alkalmazáshoz társított összes fiók/felhasználó áttekintése.
Alkalmazás irányítópultja: OAuth-alkalmazások
Részletezheti a jelenleg üzembe helyezett OAuth-alkalmazásokat, például a Google Workspace-t, és szabályzatokat határozhat meg.
Alkalmazás irányítópultja: tevékenységnapló Részletes elemzés az összes alkalmazástevékenységről; felhasználók, IP-címek és egyebek szerinti szűrési képesség.
Alkalmazás irányítópultja: riasztások Részletes elemzés az összes alkalmazásriasztásról; az állapot, a kategória, a súlyosság és egyebek alapján történő szűrés képessége.
Alkalmazás irányítópultja: speciális emelt szintű fiókok
A felhasználók áttekintése emelt szintű felhasználótípus szerint.
Felhasználói irányítópult A felhőbeli felhasználói profil, a helyek, a legutóbbi tevékenységek és a kapcsolódó riasztások teljes áttekintése.

Alkalmazások címkézése engedélyezettként vagy nem engedélyezettként

Az alkalmazások engedélyezettként vagy nem engedélyezettként történő címkézése fontos lépés a felhő megértéséhez. Az alkalmazások engedélyezését követően leszűrheti a nem engedélyezett alkalmazásokat, illetve az azonos típusú, engedélyezett alkalmazásokra való áttérést is elindíthatja.

  • Az Felhőhöz készült Defender Alkalmazások konzolon nyissa meg az alkalmazáskatalógust vagy a Felderített alkalmazásokat.

  • Az alkalmazások listájában válassza ki a sor Tag as sanctioned dots. végén található három elemet az engedélyezettként megjelölni kívánt alkalmazás sorában, és válassza a Megjelölés engedélyezettként lehetőséget.

    Tag as sanctioned.

A vizsgálati eszközök használata

  1. Az Felhőhöz készült Defender Alkalmazások portálon lépjen a Vizsgálat gombra, majd tekintse meg a tevékenységnaplót, és szűrjön egy adott alkalmazás alapján. Ellenőrizze a következő elemeket:

    • Ki éri el a felhőalapú környezetet?

    • Milyen IP-címtartományról?

    • Milyen rendszergazdai aktivitás tapasztalható?

    • A rendszergazdák honnan csatlakoznak?

    • Csatlakoznak elavult készülékek a felhőalapú környezethez?

    • A sikertelen bejelentkezések várt IP-címekről érkeznek?

  2. Lépjen a Vizsgálat , majd a Fájlok elemre, és ellenőrizze a következő elemeket:

    • Hány fájl van nyilvánosan megosztva, amelyekhez bárki hivatkozás nélkül is hozzáférhet?

    • Mely partnerekkel oszt meg fájlokat (kimenő megosztás)?

    • Vannak bizalmas nevű fájlok?

    • Vannak olyan fájlok, amelyeket valakinek a személyes fiókjával osztottak meg?

  3. Lépjen a Vizsgálat , majd a Felhasználók és fiókok menüpontra, és ellenőrizze a következő elemeket:

    • Van bizonyos szolgáltatásoknál olyan fiók, amely már régóta inaktív? Lehet, hogy visszavonhatja az adott felhasználónak a szolgáltatáshoz tartozó licencét.

    • Tudni szeretné, hogy mely felhasználók rendelkeznek speciális szerepkörrel?

    • Vannak olyan elbocsátott alkalmazottak, akik még mindig hozzáférnek egy-egy alkalmazáshoz, és ezáltal lehetőségük van különböző információk megszerzésére?

    • Visszavonja egy felhasználó engedélyét egy adott alkalmazáshoz, vagy egy adott felhasználótól többtényezős hitelesítést szeretne használni?

    • A felhasználó fiókjába a felhasználó fióksorának végén található három pont kiválasztásával és egy végrehajtandó művelet kiválasztásával részletezheti a felhasználó fiókját. Hajtson végre egy műveletet, például a felhasználó felfüggesztése vagy a felhasználói együttműködések eltávolítása. Ha a felhasználót Azure Active Directory importálta, Azure AD fiókbeállításokat is kiválaszthatja, hogy könnyen hozzáférjen a speciális felhasználókezelési funkciókhoz. A felügyeleti funkciók közé tartozik például a csoportkezelés, az MFA, a felhasználó bejelentkezéseinek részletei és a bejelentkezés blokkolásának lehetősége.

  4. Lépjen a Vizsgálat, majd a Csatlakoztatott alkalmazások elemre, majd válasszon ki egy alkalmazást. Megnyílik az Alkalmazás irányítópult, amely információkat és elemzéseket biztosít. A lap tetején található fülekkel ellenőrizheti a következőt:

    • Milyen típusú eszközökről csatlakoznak a felhasználók az alkalmazáshoz?

    • Milyen fájltípusokat mentenek a felhőbe?

    • Milyen tevékenység folyik az alkalmazásban a jelen pillanatban?

    • Harmadik féltől származó alkalmazások is vannak csatlakoztatva a környezethez?

    • Ismeri ezeket az alkalmazásokat?

    • Engedélyezve vannak a hozzáférésük szintjére?

    • Hány felhasználó telepítette őket? Általánosságban mennyire gyakoriak ezek az alkalmazások?

    App dashboard.

  5. Nyissa meg a Cloud Discovery irányítópultját , és ellenőrizze a következő elemeket:

    • Milyen felhőalkalmazásokat használnak, milyen mértékben és mely felhasználók használnak?

    • Milyen célból használják őket?

    • Mennyi adatot töltenek fel ezekbe a felhőalkalmazásokba?

    • Mely kategóriák azok, amelyekben engedélyezett felhőalkalmazásokat, de a felhasználók mégis alternatív megoldásokat használnak?

    • Az alternatív megoldások olyan felhőalkalmazások, amelyeknek az engedélyét vissza szeretné vonni a szervezeten belül?

    • Vannak olyan felhőalkalmazások, amelyeket használnak, de nem felelnek meg a szervezet szabályzatának?

Mintavizsgálat

Tegyük fel, hogy kockázatos IP-címek használatával nem rendelkezik hozzáféréssel a felhőkörnyezethez. Tegyük fel például, hogy Tor. De a biztonság kedvéért mégis készít egy a szabályzatot a kockázatos IP-címekhez:

  1. A portálon lépjen a Vezérlés elemre, és válassza a Sablonok lehetőséget.

  2. Válassza ki a típushoz tartozó tevékenységszabályzatot.

  3. A kockázatos IP-címsorból való bejelentkezés végén válassza a pluszjelet (+) egy új szabályzat létrehozásához.

  4. Módosítsa a szabályzat nevét, hogy azonosítani tudja.

  5. Az alábbiaknak megfelelő tevékenységek csoportban válasszon + szűrőt. Görgessen le az IP-címkéhez, majd válassza a Tor elemet.

    Example policy for risky IPs.

A szabályzat elkészítését követően meglepve látja, hogy a rendszer riasztást küld Önnek, miszerint valaki megsértette a szabályzatot.

  1. Lépjen az Értesítések lapra, majd tekintse meg a szabályzat megsértésével kapcsolatos riasztást.

  2. Ha úgy látja, hogy az valós szabálysértésnek tűnik, kockázatokat szeretne elhárulni vagy orvosolni.

    A kockázat megfékezése érdekében értesítést küldhet a felhasználónak, melyben megkérdezheti, hogy szándékos szabálysértés történt-e, illetve a felhasználó tisztában van-e a szabálysértéssel.

    Ezenfelül a riasztás részleteit is megtekintheti, illetve ideiglenesen felfüggesztheti a felhasználót, amíg kitalálja, hogy mit kell tennie.

  3. Ha olyan engedélyezett eseményről van szó, amely nagy eséllyel nem következik be újra, abban az esetben elvetheti a riasztást.

    Ha olyan engedélyezett eseményről van szó, amely nagy eséllyel meg fog ismétlődni, módosíthatja a szabályzatot, ezzel elkerülve, hogy a jövőben az ilyen típusú események szabálysértésnek minősüljenek.

Következő lépések

Információ munkahelye felhőalkalmazásainak vezérléséről: Vezérlés.

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson támogatási jegyet.