Creare criteri di Cloud Discovery

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

È possibile creare i criteri di individuazione app per ricevere un avviso quando vengono rilevate nuove app. Defender per il cloud Apps esegue anche ricerche in tutti i log in Cloud Discovery per le anomalie.

Creazione di un criterio di individuazione delle app

I criteri di individuazione consentono di impostare avvisi che segnalano il rilevamento di nuove app all'interno dell'organizzazione.

  1. Passare a Criteridi controllo>> shadow IT.

  2. Fare clic su Crea criteri e selezionare Criteri di individuazione app.

    Create a Cloud Discovery policy.

  3. Specificare un nome e una descrizione per il criterio. Se si desidera, è possibile basarlo su un modello. Per altre informazioni sui modelli di criteri, vedere Controllare le app cloud mediante criteri.

  4. Impostare la gravità del criterio.

  5. Per stabilire quali app individuate attivano questo criterio, aggiungere i filtri.

  6. È possibile impostare una soglia per la sensibilità del criterio. Abilitare Attiva una corrispondenza di criteri se tutti gli eventi seguenti si verificano nello stesso giorno. È possibile impostare valori che l'app deve superare ogni giorno per attivare il criterio. Selezionare una delle opzioni seguenti:

    • Traffico giornaliero
    • Dati scaricati
    • Numero di indirizzi IP
    • Numero di transazioni
    • Numero di utenti
    • Dati caricati
  7. Impostare un Limite di avvisi giornaliero sotto Avvisi. Selezionare se l'avviso viene inviato come messaggio di posta elettronica, SMS o entrambi. Quindi fornire i numeri di telefono e gli indirizzi di posta elettronica necessari.

    • Facendo clic su Salva queste impostazioni dell'avviso come predefinite per l'organizzazione si consente ai criteri futuri di usare l'impostazione.
    • Se si dispone di un'impostazione predefinita, è possibile selezionare Usa le impostazioni predefinite dell'organizzazione.
  8. Selezionare le azioni di governance da applicare quando un'app soddisfa questo criterio. L'app può contrassegnare automaticamente i criteri come approvati, non approvati o con un tag personalizzato.

  9. Fare clic su Crea.

Nota

  • I criteri di individuazione appena creati (o i criteri con report continui aggiornati) attivano un avviso una volta in 90 giorni per ogni report continuo, indipendentemente dal fatto che siano presenti avvisi esistenti per la stessa app. Ad esempio, se si crea un criterio per l'individuazione di nuove app popolari, può attivare avvisi aggiuntivi per le app già individuate e avvisate.
  • I dati dei report snapshot non attivano avvisi nei criteri di individuazione delle app.

Se ad esempio si è interessati a individuare app di hosting rischiose trovate nell'ambiente cloud, impostare i criteri come indicato di seguito:

Impostare i filtri per i criteri in modo da individuare eventuali servizi nella categoria Servizi di hosting che hanno un punteggio di rischio 1, corrispondente a un fattore di rischio elevato.

Impostare nella parte inferiore le soglie che genereranno un avviso per il rilevamento di una determinata app. Ad esempio, è possibile impostare la restituzione un avviso solo se oltre 100 utenti dell'ambiente hanno usato l'app e se hanno scaricato una certa quantità di dati dal servizio. È inoltre è possibile impostare il limite di avvisi giornalieri che si vogliono ricevere.

app discovery policy example.

Rilevamento anomalie di Cloud Discovery

Defender per il cloud App cerca tutti i log nell'oggetto Cloud Discovery per le anomalie. Sono esempi il caso in cui un utente che non ha mai usato Dropbox carica improvvisamente 600 GB in Dropbox oppure il caso in cui si verificano più transazioni del solito in una particolare app. I criteri di rilevamento anomalie sono abilitati per impostazione predefinita. Non è necessario configurare nuovi criteri per farli funzionare. È tuttavia possibile definire con precisione i tipi di anomalie di cui si desidera essere avvisati nei criteri predefiniti.

  1. Nella console fare clic su Controllo e quindi su Criteri.

  2. Fare clic su Crea criterio e selezionare Criteri di rilevamento anomalie di Cloud Discovery.

    cloud discovery anomaly detection policy menu.

  3. Specificare un nome e una descrizione per il criterio. Se lo si desidera è possibile basarsi su un modello. Per altre informazioni sui modelli di criteri, vedere Controllare le app cloud mediante criteri.

  4. Per impostare le app individuate che attivano questo criterio, fare clic su Aggiungi filtri.

    I filtri vengono scelti da elenchi a discesa. Per aggiungere filtri, fare clic sul pulsante con il segno più. Per rimuovere un filtro, fare clic su "X".

  5. In Applica a scegliere se questi criteri si applicano a Tutti i report continui o a Report continui specifici. Selezionare se i criteri si applicano a Utenti, Indirizzi IP o a entrambi.

  6. Selezionare le date in cui è avvenuta l'attività anomala per generare l'avviso in Genera gli avvisi solo per le attività sospette che si verificano dopo la data.

  7. Impostare un Limite di avvisi giornaliero sotto Avvisi. Selezionare se l'avviso viene inviato come messaggio di posta elettronica, SMS o entrambi. Quindi fornire i numeri di telefono e gli indirizzi di posta elettronica necessari.

    • Facendo clic su Salva queste impostazioni dell'avviso come predefinite per l'organizzazione si consente ai criteri futuri di usare l'impostazione.
    • Se si dispone di un'impostazione predefinita, è possibile selezionare Usa le impostazioni predefinite dell'organizzazione.
  8. Fare clic su Crea.

    new discovery anomaly policy.

Passaggi successivi

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.