A szervezet fenyegetések elleni védelmeProtecting your organization against threats

Magas kockázatú használati és a felhő biztonsági problémákat azonosítása, rendellenes felhasználói viselkedést, veszélyek felderítésére és megelőzésére a csatlakoztatott felhőalkalmazásban.Identify high-risk usage and cloud security issues, detect abnormal user behavior, and prevent threats in your connected cloud apps. Betekinthet a felhasználói és a rendszergazdai tevékenységekbe, valamint szabályzatok meghatározásával automatikusan kérhet riasztásokat a gyanús viselkedésről vagy olyan konkrét tevékenységekről, amelyeket kockázatosnak ítél meg az engedélyezett környezetekben.Get visibility into user and admin activities and define policies to automatically alert on suspicious behavior or when specific activities that you consider risky happen in your sanction environments. Kihasználhatja a Microsoft hatalmas mennyiségű fenyegetés-felderítési és biztonsági kutatási adatait.Draw from the vast amount of Microsoft threat intelligence and security research data. A fenyegetésészlelési szabályzatok segítenek annak garantálásában, hogy az engedélyezett alkalmazások a helyileg szükséges összes biztonsági megoldást megkapják, és segítenek az alkalmazások felügyeletében is.Threat detection policies help you ensure that your sanctioned apps have all the security controls you need in place and help you maintain control over them.

Tömeges letöltési egyfelhasználós (adatok exfiltration által egy belső)Mass download by a single user (data exfiltration by an insider)

Ebben az esetben használja az Office 365, a G Suite, a mezőbe, a dropbox-ba, a Salesforce vonatkozik.This use case applies to Office 365, G Suite, Box, Dropbox, Salesforce.

A FENYEGETÉSTHE THREAT

Egy rosszindulatú belső exfiltrate adatokat Office 365 vagy egyéb felhőalapú alkalmazások letöltése vagy több fájl érik el a rövid idő alatt is.A malicious insider can exfiltrate data from Office 365 or other cloud apps by downloading or accessing multiple files over a short period of time.

A MEGOLDÁSTHE SOLUTION

Észlelheti, amikor egy felhasználó rövid időn belül nagy mennyiségben tölt le adatokat, vagy fér hozzá fájlokhoz.Detect when a user downloads or accesses a massive number of files within a short period.

ElőfeltételekPrerequisites

Csatlakoztasson legalább egy felhőalkalmazást a Cloud App Securityhez.Connect at least one cloud app to Cloud App Security.

A figyelés beállításaSetting up monitoring

  1. Alapértelmezés szerint a Cloud App Security a hálózat vizsgálatával megállapítja az alapértékeket, és megtanulja a felhasználók viselkedésmintáit a különböző felhőbeli tevékenységekre, használati időpontokra és gyakori műveletekre vonatkozóan.By default, Cloud App Security scans your network to establish a baseline, wherein it learns patterns of what your users ordinarily do in your cloud, when they do it and what they commonly do.

  2. Állítsa be olyan házirendet, amely a felhőalkalmazások nagy letöltési és riasztás történik, ha valamilyen különleges beállítás nem lesz bemutató:Set a policy that will watch your cloud apps for massive downloads and alert you if something out of the ordinary happens:

    1. A Szabályzatok lapon kattintson a Tevékenységszabályzat létrehozása elemre.On the Policies page, click Create activity policy.

    2. A Szabályzatsablon mezőben válassza az Egyetlen felhasználó által végrehajtott tömeges letöltés elemet.In the Policy template field, choose Mass download by a single user.

    3. Szükség esetén konfigurálva finomhangolhatják is az ismétlődő tevékenység szűrő.Optionally, you can fine tune the repeated activity filter.

    4. Kattintson a Create (Létrehozás) gombra.Click Create.

  3. Az egyezések vizsgálataInvestigating your matches

    1. A Szabályzatok lapon kattintson a kívánt szabályzat nevére. Ekkor a Szabályzati jelentés jelenik meg, ahol áttekintheti a szabályzat által gyűjtött egyezéseket.In the Policies page, click on the policy name to go to the Policy report and review the matches that were triggered for the policy.

    2. Az egyes egyezésekre kattintva megnyílik a Tevékenység navigációs menü, ahol megvizsgálhatja az adott egyezést.You can investigate the match by clicking on a specific match to open the activity drawer. A navigációs menüben megtekintheti azokat az egyéb szabályzatokat, amelyekkel ez a tevékenység egyezik.In the drawer, you can see the other policies that this activity matched.

    3. Ellenőrizheti, hogy a felhasználó a tevékenység bjects a kattintva letöltött fájlokat a tevékenység fiók és majd a fájl nevét, a ez vezet, a fájl, a fájl táblában.You can check the files that were downloaded by the user by clicking on the activity bjects in the Activity drawer and then on the file’s name, this will lead you to the file in the files table. Ott tekintheti meg, ha a fájlok tulajdonában vannak, a felhasználó megosztva, és lehetővé teszi, hogy annak eldöntése, hogy ezek a fájlok általában működnek a, vagy csatlakoznak-e valamilyen belső IP-cím nem lehet letölteni.There you can see if the files are owned by the user, who are they shared with and will allow you to determine if these are files they usually work on or whether they are internal IP that should not be downloaded.

A szabályzat ellenőrzéseValidating your policy

  1. Riasztás szimulálása, töltse le a dokumentumok, a száma, amely nagyobb, mint a küszöbérték beállítása, a csatlakoztatott felhőalkalmazásban attól függően, hogy a házirendet (például 30 letöltések 5 percen belül) beállítása időkeretre rövid időn belül.To simulate an alert, download a number of documents, that is larger than the threshold you set, from your connected cloud apps within a short period depending on the timeframe you set in the policy (for example, 30 downloads in less than 5 minutes).
  2. Nyissa meg a szabályzatjelentést.Go to the policy report. A tevékenységszabályzati egyezés hamarosan megjelenik.An activity policy match should appear shortly.
  3. Az adott egyezésre kattintva láthatja, hogy mely fájlok letöltése történt meg.You can click on the match to see which files were downloaded.

A kockázat eltávolításaRemoving the risk

Miután érvényesítve, és a házirend finomíthatók, távolítsa el a lehetséges téves, előfordulhat, hogy rendelkezik egyezik a szabályzat, például a szolgáltatásfiókokat, szinkronizálását végzi a fájlok és mappák képek vállalati események, stb. Ezután tegye a következőket:After you've validated it and fine-tuned the policy, remove possible false positives that may have matched your policy, such as service accounts that are syncing files, folders of pictures from company events, etc. Then, do the following:

  1. Készíthet cégirányítási műveletek ellenőrzéséhez nyissa meg a tevékenység az tevékenység fiókot, és kattintson a fájl nevét a tevékenység objektumok.You can take governance actions opening the activity in the activity drawer, and click on the name of the file under Activity objects.

  2. Lépjen kapcsolatba a felhasználóknak miért szükséges a számítógépükön sok vállalati fájlok másolatait.Contact the users to see why they need to copies of so many corporate files on their computers.

Rendszergazdai tevékenység a vállalati hálózaton kívülAdmin activity from outside your organization's network

Ebben az esetben használja az Office 365, a G Suite, a mezőben, a dropbox-ba, a Salesforce és a Okta vonatkozik.This use case applies to Office 365, G Suite, Box, Dropbox, Salesforce, and Okta.

A FENYEGETÉSTHE THREAT

Rendszergazdai fiók feltört egy külső támadó.An admin account has been compromised by an outside attacker. Rendszergazdai fiókok a leginkább bizalmas fiókokat a szervezetben, mert az a legnagyobb jogosultsággal és az információhoz való hozzáféréssel rendelkezik a szervezetben.Admin accounts are the most sensitive accounts in your organization because the have the highest privileges and access to all the information in your organization. Általában a felügyeleti tevékenység kell elvégezni az irodából, a rendszergazda munka részeként, és nem a távoli helyekről vagy ismeretlen eszközök.Usually administrative activity should be performed from the office as a part of the admin’s work, and not from remote locations or unrecognized devices.

A MEGOLDÁSTHE SOLUTION

Észleli, ha személyek vajon rendszergazdák csatlakozik, a felhő alkalmazás külső IP-címről, és a felügyeleti tevékenység végrehajtása.Detect when people posing as admins are connecting to your cloud application from external IP addresses and performing any admin activity.

ElőfeltételekPrerequisites

  • Csatlakoztasson legalább egy felhőalkalmazást a Cloud App Securityhez.Connect at least one cloud app to Cloud App Security.

  • Lépjen beállítások > IP-címtartományok , és adja hozzá az IP-címtartományok mindkét belső alhálózat és a nyilvános IP-címek kilépési és címke azokat vállalati.Go to Settings > IP address ranges and add IP address ranges for both internal subnets and their egress public IPs and tag them as Corporate.

A figyelés beállításaSetting up monitoring

  1. A felhőalkalmazások beállításával fog tekintse meg a felügyeleti tevékenység kívül a hálózat és a riasztás történik, ha valami kirívó felhőalkalmazások egy házirendet a figyelés indításának:Start monitoring your cloud apps by setting up a policy that will watch your cloud apps for admin activity outside your network and alert you if something out of the ordinary happens:

    1. A Szabályzatok lapon kattintson a Tevékenységszabályzat létrehozása elemre.On the Policies page, click Create activity policy.

    2. A a Házirendsablon mezőben, válassza a rendszergazdai tevékenység egy nem vállalati IP-címről is beállíthat, és a tevékenységtípus való jelentkezzen be válassza felhasználói , majd csoportból jelölje ki azt a csoportot, a rendszergazdák tartoznak.In the Policy template field, choose Administrative activity from a non-corporate IP address and also set the Activity type to Log on and select User and then From group and select the group your administrators belong to.

    3. Úgy finomhangolhatja, a házirend beállítása a ismételt akkor érdemes megfontolni a gyanús tevékenységek számát.You can fine-tune the policy to set the number of repeated activities that you want to consider suspicious.

    4. Kattintson a Create (Létrehozás) gombra.Click Create.

  2. Az egyezések vizsgálataInvestigating your matches

    1. A Szabályzatok lapon kattintson a kívánt szabályzat nevére. Ekkor a Szabályzati jelentés jelenik meg, ahol áttekintheti a szabályzat által gyűjtött egyezéseket.In the Policies page, click on the policy name to go to the Policy report and review the matches that were triggered for the policy.

    2. Az egyes egyezésekre kattintva megnyílik a Tevékenység navigációs menü, ahol megvizsgálhatja az adott egyezést.You can investigate the match by clicking on a specific match to open the activity drawer. A navigációs menüben megtekintheti azokat az egyéb szabályzatokat, amelyekkel ez a tevékenység egyezik.In the drawer, you can see the other policies that this activity matched.

A szabályzat ellenőrzéseValidating your policy

  1. Riasztást, egy számítógép, amely nem része a vállalati hálózat IP-címmel szimulálása hajtsa végre a rendszergazdai tevékenységek és meggyőződött arról, hogy, hogy elvégezhető tevékenységek száma nagyobb, mint a küszöbérték beállítása, attól függően, hogy a házirendet (például 1 tevékenységek 5 percen belül) beállítása időkeretre rövid időn belül-e.To simulate an alert, from a computer with an IP address that is not part of your Corporate network, perform admin activities, making sure that the number of activities you perform is larger than the threshold you set, within a short period depending on the timeframe you set in the policy (for example, 1 activities in less than 5 minutes).
  2. Nyissa meg a szabályzatjelentést.Go to the policy report. A tevékenységszabályzati egyezés hamarosan megjelenik.An activity policy match should appear shortly.
  3. Kattintson a találatra tevékenységeket végeztek.You can click on the match to see what activities were performed.

A kockázat eltávolításaRemoving the risk

Miután ellenőrizte és finomította a szabályzatot, távolítsa el a szabályzatával egyező esetleges vakriasztásokat.After you've validated it and fine-tuned the policy, remove possible false positives that may have matched your policy. Ezután tegye a következőket:Then, do the following:

  1. Készíthet cégirányítási műveletek ellenőrzéséhez nyissa meg a tevékenység az tevékenység fiókot, majd kattintson a nevét a felhasználói.You can take governance actions opening the activity in the activity drawer, and click on the name of the User.

  2. A felhasználó lapján megtekintheti a felhasználói tevékenység egy grafikonon keresztül az elmúlt hónapban, és a helyek, ahol a felhasználó korábban látott aktív keresztül utolsó hónapban, valamint a csoporttagságokat, alkalmazás tevékenység és fiókok.In the user page that opens, you can see a graph of the user's activity over the last month, and locations where the user was seen active over the last month as well as group memberships, app activity and accounts.

  3. Ha szükséges, kattintson forduljon e-mailt küldhet a felhasználót, hogy a felhasználót, hogy a fiók nem tettek.If necessary, you can click contact to send an email message to the user to alert them that their account has been breached.

    irányítási művelet, külső

    1. Miután ellenőrizte a szabályzatot, beállíthat hozzá automatikus cégirányítási műveleteket is.After it's fully validated, you can set it to perform automatic governance actions. Például végezheti Suspend felhasználói vagy felhasználó csoportmunkáinak eltávolítása.For example, you can Suspend user or Remove user's collaborations.

Lásd még:See Also

A felhőkörnyezet védelmét célzó mindennapi tevékenységek Daily activities to protect your cloud environment
Műszaki támogatást a Cloud App Security személyes támogatási oldalán kaphat. For technical support, please visit the Cloud App Security assisted support page.
A Premier ügyfelek a Premier portálról közvetlenül is kiválaszthatják a Cloud App Security szolgáltatást.Premier customers can also choose Cloud App Security directly from the Premier Portal.