Az alkalmazásszabályozás első lépései az Felhőhöz készült Defender-alkalmazásokban
Az alkalmazásszabályozási megoldások megkövetelik az alkalmazások viselkedésének alapos megértését egy környezetben a toleranciaszinten belüli tevékenységek azonosításához és kezeléséhez, amely a rosszindulatú szándékok felméréséhez több felülvizsgálatot igényel. A Felhőhöz készült Defender-alkalmazások rétegzésekor az alkalmazásszabályozás részletes szabályozást biztosít a környezet kockázatos alkalmazás-viselkedése ellen.
Ez a cikk az alkalmazásszabályozási funkciók használatának első lépéseit ismerteti az Felhőhöz készült Microsoft Defender Appsben.
Előfeltételek
Ha még nem tette meg, regisztráljon az alkalmazásirányításra, és végezze el a bérlőhöz való hozzáadásához szükséges lépéseket. Miután regisztrált az alkalmazásszabályozásra, akár 10 órát is várnia kell a termék megtekintésére és használatára.
További információ: Az alkalmazásszabályozás bekapcsolása Felhőhöz készült Microsoft Defender-alkalmazásokhoz.
A bejelentkezési fióknak támogatott alkalmazásirányítási rendszergazdai szerepkörrel kell rendelkeznie az alkalmazásirányítási adatok megtekintéséhez.
Az alkalmazásszabályozási riasztások teljes funkcionalitásának használatához legalább egyszer hozzá kell férnie az Felhőhöz készült Defender Appshez és a Microsoft Defender XDR-hez is.
1. lépés: Láthatóság és elemzések lekérése
Kezdje az alábbi lépésekkel az alkalmazások láthatóságának és elemzésének megismeréséhez:
Bejelentkezés: A böngészőben nyissa meg a Microsoft Defender XDR > Cloud Apps >alkalmazásszabályozási oldalát.
Megfelelőségi helyzet meghatározása: Az Alkalmazásszabályozás > áttekintése lapon található adatok használatával felmérheti az alkalmazások és incidensek megfelelőségi állapotát a bérlőben. Tekintse meg a részleteket, például azt, hogy hány túlprivilegált alkalmazás található a bérlőben, az aktív incidensek száma, a Graph API teljes adathozzáférése stb.
Az alkalmazások megtekintése: Rendezze az adatokat az Alkalmazásszabályozás lapon a magas adathasználattal vagy a megadott hozzájárulások számával rendelkező alkalmazások szerint, vagy szűrjön a magas jogosultságú alkalmazások, a nem használt engedélyekkel rendelkező alkalmazások vagy a nem hitelesített közzétevők szerint.
Ezekkel a rendezési és szűrési lehetőségekkel mélyebb betekintést nyerhet az OAuth-alkalmazásokba, beleértve a releváns alkalmazás metaadatait és használati adatait.
Részletes alkalmazásinformációk: Az Alkalmazásszabályozás lapon válasszon ki egy alkalmazást a rácson az alkalmazás részleteinek megtekintéséhez. Vizsgálja meg egy adott alkalmazás prioritási fiókjának adathasználatát, nyomon követheti, hogy pontosan kinek az adatai érhetők el, mely engedélyeket használják, és mely engedélyeket nem használják.
További információ: Ismerkedés a láthatósággal és az elemzésekkel.
2. lépés: Alkalmazásszabályzatok implementálása
Az alkalmazásszabályozás gépi tanuláson alapuló észlelési algoritmusokkal észleli az alkalmazások rendellenes viselkedését a környezetben, majd riasztásokat hoz létre, amelyek megtekinthetők, kivizsgálhatók és feloldhatók.
Ezen a beépített észlelési képességen túl használjon alapértelmezett szabályzatsablonokat, vagy hozzon létre saját alkalmazásszabályzatokat más riasztások létrehozásához.
Az alkalmazás- és felhasználói mintákra és viselkedésekre vonatkozó szabályzatok megvédhetik a felhasználókat a nem megfelelő vagy rosszindulatú alkalmazások használatától, és korlátozhatják a kockázatos alkalmazások hozzáférését a bérlői adatokhoz.
Az alkalmazásszabályozás a következő szabályzattípusokat támogatja:
| Szabálytípus | Leírás |
|---|---|
| Előre definiált szabályzatok | Az alkalmazásszabályozás a környezetére szabott előre meghatározott szabályzatokkal rendelkezik. Az előre definiált szabályzatok lehetővé teszik az alkalmazások figyelését még a szabályzatok beállítása előtt. Előre definiált szabályzatokkal biztosíthatja, hogy időben értesüljön az alkalmazás rendellenességéről. |
| Felhasználó által definiált szabályzatok | Az előre definiált szabályzatok mellett a rendszergazdák a rendelkezésre álló feltételekkel is létrehozhatják egyéni szabályzataikat, vagy választhatnak az elérhető ajánlott szabályzatok közül. |
Az aktuális alkalmazásszabályozási szabályzatok listájának megtekintéséhez lépjen a Microsoft Defender XDR > Cloud Apps Alkalmazásszabályozási > szabályzatok > lapjára.
Megjegyzés:
A beépített fenyegetésészlelési szabályzatok nem jelennek meg az alkalmazásszabályozási oldalon. További információ: Fenyegetésészlelési riasztások vizsgálata.
Alkalmazásszabályzatok implementálása:
Előre definiált szabályzatok használata: Az alkalmazásszabályozás a dobozon kívüli szabályzatok készletét tartalmazza a rendellenes alkalmazásviselkedések észleléséhez. Ezek a szabályzatok alapértelmezés szerint aktiválva vannak, de ha úgy dönt, inaktiválhatja őket.
Alkalmazásszabályzatok létrehozása: Az alkalmazásszabályozás több mint 20 szabályzatfeltételt és sablont kínál a használathoz. Az alkalmazásszabályozási szabályzatok a következőket segítik:
Adja meg azokat a feltételeket, amelyekkel az alkalmazásszabályozás riasztást adhat az alkalmazás viselkedésére az automatikus vagy manuális szervizeléshez.
Implementálja a szervezet alkalmazásmegfelelési szabályzatait.
Alkalmazásszabályzatok kezelése: Ha lépést szeretne tartani a szervezet által használt legújabb alkalmazásokkal, válaszoljon az új alkalmazásalapú támadásokra, és az alkalmazásmegfelelőségi igények folyamatos változásaihoz az alábbiak szerint kell kezelnie az alkalmazásszabályzatokat:
Új alkalmazásokat célzó új szabályzatok létrehozása
Meglévő szabályzat állapotának módosítása (aktív, inaktív, naplózási mód)
Meglévő szabályzat feltételeinek módosítása
Meglévő szabályzat műveleteinek módosítása a riasztások automatikus szervizelésére
További információ: További információ az alkalmazásszabályzatokról.
3. lépés: Alkalmazásfenyegetések észlelése és elhárítása
Alkalmazásszabályozással figyelheti a beépített alkalmazásszabályozási észlelési módszerek által létrehozott fenyegetésriasztásokat az aktív alkalmazásszabályzatok által létrehozott rosszindulatú alkalmazástevékenységekhez és szabályzatalapú riasztásokhoz.
Ezek a riasztások jelezhetik az alkalmazástevékenység rendellenességeit, valamint a nem megfelelő, rosszindulatú vagy kockázatos alkalmazások használatát. A riasztásokban minták használatával is létrehozhat új alkalmazásszabályzatokat, vagy módosíthatja a meglévő szabályzatok beállításait a szigorúbb műveletek érdekében.
A riasztásokat manuálisan is szervizelheti a vizsgálat után, vagy automatikusan az aktív alkalmazásszabályzatok műveleti beállításain keresztül.
Kövesse az alábbi lépéseket a fenyegetések észleléséhez és elhárításához:
Ismerkedés az alkalmazásfenyegetések észlelésével és szervizelésével: Az alkalmazásszabályozás összegyűjti a beépített, gépi tanulásalapú alkalmazásszabályozás-észlelési módszerek által generált fenyegetésriasztásokat. A fenyegetésriasztások a létrehozott aktív alkalmazásszabályzatok által létrehozott rosszindulatú alkalmazástevékenységeken és szabályzatalapú riasztásokon alapulnak.
Szokatlan adathasználattal rendelkező alkalmazások monitorozása és megválaszolása: Az alkalmazásszabályozás olyan adathasználati információkat biztosít, amelyek segítenek azonosítani a nemkívánatos és potenciálisan rosszindulatú alkalmazástevékenységeket.
Vizsgálja meg az anomáliadetektálási riasztásokat: Az alkalmazásszabályozás biztonsági észleléseket és riasztásokat biztosít a rosszindulatú tevékenységekhez. Ennek az útmutatónak az a célja, hogy általános és gyakorlati információkat nyújtson az egyes riasztásokról, hogy segítsen a vizsgálati és szervizelési feladatokban.
Alkalmazásfenyegetések elhárítása: Elhárítja a Microsoft Defender XDR alkalmazásszabályozási riasztásai által azonosított káros alkalmazás- és alkalmazástevékenységeket.
További információ: További információ az alkalmazásfenyegetések észleléséről és szervizeléséről.