Veszélyforrások elleni védelmi szabályzatok

  • Cikk

Felhőhöz készült Defender Alkalmazások segítségével azonosíthatja a magas kockázatú használattal és a felhőbiztonsággal kapcsolatos problémákat, észlelheti a rendellenes felhasználói viselkedést, és megakadályozhatja a fenyegetéseket a jóváhagyott felhőalkalmazásokban. Betekintést kaphat a felhasználói és rendszergazdai tevékenységekbe, és szabályzatokat határozhat meg, amelyek automatikusan riasztást küldenek a gyanús viselkedés vagy a kockázatosnak ítélt tevékenységek észlelésekor. A Microsoft fenyegetésfelderítési és biztonsági kutatási adatainak széles halmazából kiindulva gondoskodhat arról, hogy a jóváhagyott alkalmazások rendelkezzenek a szükséges biztonsági vezérlőkkel, és segítsenek az ellenőrzésük fenntartásában.

Feljegyzés

Ha Felhőhöz készült Defender-alkalmazásokat integrál a Microsoft Defender for Identity szolgáltatással, a Defender for Identity szabályzatai is megjelennek a szabályzatok oldalán. A Defender identitáskezelési szabályzatainak listáját a Biztonsági riasztások című témakörben találja.

Felhasználói tevékenység észlelése és szabályozása ismeretlen helyekről

A felhasználók hozzáférésének vagy tevékenységének automatikus észlelése ismeretlen helyekről, amelyeket a szervezet más tagjai soha nem látogattak meg.

Előfeltételek

Legalább egy alkalmazásnak csatlakoznia kell az alkalmazás-összekötőkhöz, vagy feltételes hozzáférésű alkalmazásvezérlővel kell rendelkeznie munkamenet-vezérlőkkel.

Lépések

Ez az észlelés automatikusan házon kívül van konfigurálva, hogy riasztást küldhessen, ha új helyekről van hozzáférés. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

Feltört fiók észlelése lehetetlen helyen (lehetetlen utazás)

A felhasználó hozzáférésének vagy tevékenységének automatikus észlelése két különböző helyről egy olyan időtartamon belül, amely rövidebb, mint a kettő közötti utazáshoz szükséges idő.

Előfeltételek

Legalább egy alkalmazásnak csatlakoznia kell az alkalmazás-összekötőkhöz, vagy feltételes hozzáférésű alkalmazásvezérlővel kell rendelkeznie munkamenet-vezérlőkkel.

Lépések

  1. Ez az észlelés automatikusan házon kívül van konfigurálva, hogy riasztást küldhessen, ha lehetetlen helyekről van hozzáférés. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

  2. Nem kötelező: testre szabhatja az anomáliadetektálási szabályzatokat:

    • Az észlelési hatókör testreszabása felhasználók és csoportok szerint

    • Válassza ki a megfontolandó bejelentkezési típusokat

    • A riasztás bizalmassági beállításának beállítása

  3. Hozza létre az anomáliadetektálási szabályzatot.

Gyanús tevékenység észlelése "szabadságon" dolgozó alkalmazotttól

Észleli, hogy egy fizetés nélküli szabadságon lévő és semmilyen szervezeti erőforráson nem aktív felhasználó mikor fér hozzá a szervezet felhőbeli erőforrásaihoz.

Előfeltételek

  • Legalább egy alkalmazásnak össze kell kapcsolódnia alkalmazás-összekötőkkel.

  • Hozzon létre egy biztonsági csoportot a Microsoft Entra-azonosítóban a fizetés nélküli szabadságon lévő felhasználók számára, és vegye fel az összes figyelni kívánt felhasználót.

Lépések

  1. A Felhasználói csoportok képernyőn válassza a Felhasználói csoport létrehozása lehetőséget, és importálja a megfelelő Microsoft Entra-csoportot.

  2. A Microsoft Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Hozzon létre egy új tevékenységszabályzatot.

  3. Állítsa be a szűrő felhasználói csoportját , amely megegyezik a Microsoft Entra-azonosítóban létrehozott felhasználói csoportok nevével a ki nem fizetett szabadságfelhasználók számára.

  4. Nem kötelező: A szabálysértés észlelésekor a fájlokon végrehajtandó irányítási műveletek beállítása. A rendelkezésre álló irányítási műveletek szolgáltatásonként eltérőek lehetnek. Választhatja a Felhasználó felfüggesztése lehetőséget.

  5. Hozza létre a fájlszabályzatot.

Az elavult böngésző operációs rendszer észlelése és értesítése

Észleli, ha egy felhasználó olyan elavult ügyfélverzióval rendelkező böngészőt használ, amely megfelelőségi vagy biztonsági kockázatokat jelenthet a szervezet számára.

Előfeltételek

Legalább egy alkalmazásnak csatlakoznia kell az alkalmazás-összekötőkhöz, vagy feltételes hozzáférésű alkalmazásvezérlővel kell rendelkeznie munkamenet-vezérlőkkel.

Lépések

  1. A Microsoft Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Hozzon létre egy új tevékenységszabályzatot.

  2. Állítsa be az Elavult böngésző és az Elavult operációs rendszer szűrő felhasználói ügynök címkéjét.

  3. A szabálysértés észlelésekor állítsa be a fájlokon végrehajtandó irányítási műveleteket. A rendelkezésre álló irányítási műveletek szolgáltatásonként eltérőek lehetnek. A Minden alkalmazás területen válassza a Felhasználó értesítése lehetőséget, hogy a felhasználók reagálni tudjanak a riasztásra, és frissítsék a szükséges összetevőket.

  4. Hozza létre a tevékenységszabályzatot.

Észlelés és riasztás, ha Rendszergazda tevékenység észlelhető kockázatos IP-címeken

Észlelheti a kockázatos IP-címnek minősülő rendszergazdai tevékenységeket és IP-címet, és értesíti a rendszer rendszergazdáját a további vizsgálathoz, vagy beállíthat egy szabályozási műveletet a rendszergazda fiókjában.

Előfeltételek

  • Legalább egy alkalmazásnak össze kell kapcsolódnia alkalmazás-összekötőkkel.

  • A Gépház fogaskerékben válassza ki az IP-címtartományokat, és válassza a + lehetőséget a belső alhálózatok IP-címtartományainak és kimenő nyilvános IP-címeinek hozzáadásához. Állítsa be a kategóriát belsőre.

Lépések

  1. A Microsoft Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Hozzon létre egy új tevékenységszabályzatot.

  2. Állítsa a Act on to Single activity (Act on) értéket egyetlen tevékenységre.

  3. A szűrő IP-címének beállítása kockázatos kategóriára

  4. A szűrő Rendszergazda istrative tevékenység beállítása True (Igaz) értékre

  5. A szabálysértés észlelésekor állítsa be a fájlokon végrehajtandó irányítási műveleteket. A rendelkezésre álló irányítási műveletek szolgáltatásonként eltérőek lehetnek. A Minden alkalmazás területen válassza a Felhasználó értesítése lehetőséget, hogy a felhasználók reagálni tudjanak a riasztásra, és frissítsék a szükséges összetevőket, amelyekről másolatot kap a felhasználó felettese.

  6. Hozza létre a tevékenységszabályzatot.

Tevékenységek észlelése szolgáltatásfiókonként külső IP-címekről

Nem belső IP-címekről származó szolgáltatásfiók-tevékenységek észlelése. Ez gyanús viselkedést vagy feltört fiókot jelezhet.

Előfeltételek

  • Legalább egy alkalmazásnak össze kell kapcsolódnia alkalmazás-összekötőkkel.

  • A Gépház fogaskerékben válassza ki az IP-címtartományokat, és válassza a + lehetőséget a belső alhálózatok IP-címtartományainak és kimenő nyilvános IP-címeinek hozzáadásához. Állítsa be a kategóriát belsőre.

  • Szabványosítsa a környezet szolgáltatásfiókjainak elnevezési konvencióit, például állítsa be az összes fióknevet "svc" kezdetűre.

Lépések

  1. A Microsoft Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Hozzon létre egy új tevékenységszabályzatot.

  2. Állítsa a Felhasználó szűrőt névre, majd az elnevezési konvencióval( például svc) kezdődik és adja meg.

  3. Állítsa a szűrő IP-címét olyan kategóriára, amely nem egyenlő az Egyéb és a Vállalati kategóriával.

  4. A szabálysértés észlelésekor állítsa be a fájlokon végrehajtandó irányítási műveleteket. A rendelkezésre álló irányítási műveletek szolgáltatásonként eltérőek lehetnek.

  5. Hozza létre a szabályzatot.

Tömeges letöltés észlelése (adatkiszivárgás)

Észleli, ha egy adott felhasználó rövid időn belül nagy számú fájlt ér el vagy tölt le.

Előfeltételek

Legalább egy alkalmazásnak csatlakoznia kell az alkalmazás-összekötőkhöz, vagy feltételes hozzáférésű alkalmazásvezérlővel kell rendelkeznie munkamenet-vezérlőkkel.

Lépések

  1. A Microsoft Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Hozzon létre egy új tevékenységszabályzatot.

  2. Állítsa a szűrő IP-címeit úgy, hogy a Címke nem egyenlő a Microsoft Azure-nal. Ez kizárja a nem interaktív eszközalapú tevékenységeket.

  3. Állítsa be a szűrőtevékenység-típusok egyenlőségét, majd válassza ki az összes releváns letöltési tevékenységet.

  4. A szabálysértés észlelésekor állítsa be a fájlokon végrehajtandó irányítási műveleteket. A rendelkezésre álló irányítási műveletek szolgáltatásonként eltérőek lehetnek.

  5. Hozza létre a szabályzatot.

Potenciális Ransomware-tevékenység észlelése

A lehetséges Ransomware-tevékenységek automatikus észlelése.

Előfeltételek

Legalább egy alkalmazásnak össze kell kapcsolódnia alkalmazás-összekötőkkel.

Lépések

  1. Ez az észlelés automatikusan a dobozon kívül van konfigurálva, hogy riasztást küldjön, ha lehetséges ransomware-kockázat észlelhető. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

  2. Konfigurálhatja az észlelés hatókörét , és testre szabhatja a riasztás aktiválásakor végrehajtandó irányítási műveleteket. További információ arról, hogy az Felhőhöz készült Defender Apps hogyan azonosítja a Ransomware-t: A szervezet védelme a zsarolóprogramokkal szemben.

Feljegyzés

Ez a Microsoft 365, a Google Workspace, a Box és a Dropbox szolgáltatásra vonatkozik.

Kártevők észlelése a felhőben

Észlelheti a felhőkörnyezetekben kártevőket tartalmazó fájlokat a Felhőhöz készült Defender-alkalmazások microsoftos fenyegetésfelderítési motorjával való integrációjával.

Előfeltételek

  • A Microsoft 365 kártevők észleléséhez érvényes licenccel kell rendelkeznie a Microsoft Defenderhez a Microsoft 365 P1-hez.
  • Legalább egy alkalmazásnak össze kell kapcsolódnia alkalmazás-összekötőkkel.

Lépések

  • Ez az észlelés automatikusan beépítetten van konfigurálva, hogy riasztást küldjön, ha egy olyan fájl található, amely kártevőt tartalmazhat. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

A gazember rendszergazdai átvételének észlelése

Ismétlődő rendszergazdai tevékenység észlelése, amely rosszindulatú szándékokat jelezhet.

Előfeltételek

Legalább egy alkalmazásnak össze kell kapcsolódnia alkalmazás-összekötőkkel.

Lépések

  1. A Microsoft Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Hozzon létre egy új tevékenységszabályzatot.

  2. Állítsa az Act on to Repeated activity (Act on) beállítást ismétlődő tevékenységre, és szabja testre a minimálisan ismétlődő tevékenységeket, és állítson be egy időkeretet a szervezet házirendjének való megfeleléshez.

  3. Állítsa a Felhasználószűrőt a Feladó csoport egyenlőségére, és válassza ki az összes kapcsolódó felügyeleti csoportot csak Aktorként.

  4. A szűrőtevékenység típusának beállítása megegyezik a jelszófrissítésekkel, módosításokkal és alaphelyzetbe állításokkal kapcsolatos összes tevékenységgel.

  5. A szabálysértés észlelésekor állítsa be a fájlokon végrehajtandó irányítási műveleteket. A rendelkezésre álló irányítási műveletek szolgáltatásonként eltérőek lehetnek.

  6. Hozza létre a szabályzatot.

Gyanús beérkezett üzenetek kezelésének szabályainak észlelése

Ha gyanús beérkezett üzenetekre vonatkozó szabály van beállítva egy felhasználó postaládájába, az azt jelezheti, hogy a felhasználói fiók sérült, és hogy a postaládát a levélszemét és a kártevők terjesztésére használják a szervezetben.

Előfeltételek

  • A Microsoft Exchange használata e-mailekhez.

Lépések

  • Ez az észlelés automatikusan a dobozon kívül van konfigurálva, hogy riasztást küldjön, ha gyanús beérkezett üzenetekre vonatkozó szabály van beállítva. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

Kiszivárgott hitelesítő adatok észlelése

Amikor a kiberbűnözők feltörik a jogos felhasználók érvényes jelszavát, gyakran megosztják ezeket a hitelesítő adatokat. Ez általában úgy történik, hogy nyilvánosan közzéteszi őket a sötét weben, vagy beilleszti a webhelyeket, vagy a fekete piacon kereskedik vagy értékesíti a hitelesítő adatokat.

Felhőhöz készült Defender Az alkalmazások a Microsoft fenyegetésfelderítését használják az ilyen hitelesítő adatoknak a szervezeten belüli adatokkal való egyeztetéséhez.

Előfeltételek

Legalább egy alkalmazásnak össze kell kapcsolódnia alkalmazás-összekötőkkel.

Lépések

Ez az észlelés automatikusan beépítetten van konfigurálva, hogy riasztást küldjön, ha lehetséges hitelesítőadat-szivárgást észlel. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

Rendellenes fájlletöltések észlelése

Észleli, ha a felhasználók több fájlletöltési tevékenységet hajtanak végre egyetlen munkamenetben a tanult alapkonfigurációhoz képest. Ez behatolási kísérletre utalhat.

Előfeltételek

Legalább egy alkalmazásnak csatlakoznia kell az alkalmazás-összekötőkhöz, vagy feltételes hozzáférésű alkalmazásvezérlővel kell rendelkeznie munkamenet-vezérlőkkel.

Lépések

  1. Ez az észlelés automatikusan a dobozon kívül van konfigurálva, hogy riasztást küldjön, ha rendellenes letöltés történik. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

  2. Konfigurálhatja az észlelés hatókörét, és testre szabhatja a riasztás aktiválásakor végrehajtandó műveletet.

Rendellenes fájlmegosztások észlelése felhasználó által

Észleli, ha a felhasználók több fájlmegosztási tevékenységet végeznek egyetlen munkamenetben a tanult alapkonfiguráció tekintetében, ami behatolási kísérletre utalhat.

Előfeltételek

Legalább egy alkalmazásnak csatlakoznia kell az alkalmazás-összekötőkhöz, vagy feltételes hozzáférésű alkalmazásvezérlővel kell rendelkeznie munkamenet-vezérlőkkel.

Lépések

  1. Ez az észlelés automatikusan házon kívül van konfigurálva, hogy riasztást küldjön, ha a felhasználók több fájlmegosztást végeznek. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

  2. Konfigurálhatja az észlelés hatókörét, és testre szabhatja a riasztás aktiválásakor végrehajtandó műveletet.

Rendellenes tevékenységek észlelése ritkán előforduló országból/régióból

Olyan helyről észleli a tevékenységeket, amelyeket a felhasználó vagy a szervezet egyik felhasználója nem látogatott meg nemrég, vagy soha nem látogatott meg.

Előfeltételek

Legalább egy alkalmazásnak csatlakoznia kell az alkalmazás-összekötőkhöz, vagy feltételes hozzáférésű alkalmazásvezérlővel kell rendelkeznie munkamenet-vezérlőkkel.

Lépések

  1. Ez az észlelés automatikusan a dobozon kívül van konfigurálva, hogy riasztást küldjön, ha rendellenes tevékenység történik egy ritkán előforduló országból/régióból. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

  2. Konfigurálhatja az észlelés hatókörét, és testre szabhatja a riasztás aktiválásakor végrehajtandó műveletet.

Feljegyzés

A rendellenes helyek észlelése 7 napos kezdeti tanulási időszakot igényel. A tanulási időszak alatt az Felhőhöz készült Defender-alkalmazások nem hoznak létre riasztásokat az új helyekre.

Megszakított felhasználó által végzett tevékenység észlelése

Észleli, ha egy felhasználó, aki már nem a szervezet alkalmazottja, egy engedélyezett alkalmazásban végez tevékenységet. Ez azt jelezheti, hogy egy megszüntetett alkalmazott rosszindulatú tevékenységet végez, aki továbbra is hozzáfér a vállalati erőforrásokhoz.

Előfeltételek

Legalább egy alkalmazásnak össze kell kapcsolódnia alkalmazás-összekötőkkel.

Lépések

  1. Ez az észlelés automatikusan a beépítettségen kívül van konfigurálva, hogy riasztást küldjön, ha egy tevékenységet egy leállított alkalmazott hajt végre. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

  2. Konfigurálhatja az észlelés hatókörét, és testre szabhatja a riasztás aktiválásakor végrehajtandó műveletet.

Következő lépések

Ajánlott eljárások a szervezet védelméhez

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.