Controllare le app cloud con i criteri

Nota

Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

I criteri consentono di definire il modo in cui si vuole che gli utenti si comportino nel cloud. Consentono di rilevare comportamenti rischiosi, violazioni, punti dati sospetti e attività pericolose nell'ambiente cloud. Se necessario, è possibile integrare flussi di lavoro di correzione per ottenere una mitigazione dei rischi completa. Sono disponibili diversi tipi di criteri, correlati ai differenti tipi di informazioni che si vogliono raccogliere riguardo all'ambiente cloud e ai tipi di azioni di correzione da eseguire.

Ad esempio, se si presenta una minaccia di violazione dei dati e si vuole ricorrere alla quarantena, è necessario applicare un tipo di criterio diverso da quello usato per bloccare l'uso di un'app cloud rischiosa da parte dell'organizzazione.

Tipi di criteri

Esaminando la pagina Criteri, si può notare che i vari criteri e modelli possono essere classificati in base al tipo e all'icona, in modo da visualizzare quelli disponibili. I criteri possono essere visualizzati insieme nella scheda Tutti i criteri o nelle rispettive schede categoria. I criteri disponibili dipendono dall'origine dati e da ciò che è stato abilitato in Defender for Cloud Apps per l'organizzazione. Ad esempio, se sono stati caricati log di Cloud Discovery, vengono visualizzati i criteri relativi a Cloud Discovery.

È possibile creare i tipi di criteri seguenti:

Icona tipo di criterio Tipo di criteri Category Uso
activity policy icon. Criteri di attività Rilevamento delle minacce I criteri di attività consentono di applicare un'ampia gamma di processi automatizzati usando le API del provider di app. Questi criteri consentono di monitorare specifiche attività svolte dai diversi utenti o di seguire i livelli inaspettatamente elevati di un determinato tipo di attività. Scopri di più
anomaly detection policy icon. Rilevamento di anomalie Rilevamento delle minacce I criteri di rilevamento anomalie consentono di rilevare attività insolite nel cloud. Il rilevamento si basa sui fattori di rischio impostati per inviare un avviso quando si verifica un evento anomalo rispetto alle normali operazioni dell'organizzazione o alla regolare attività dell'utente. Scopri di più
OAuth app policy icon. Criterio dell'app OAuth Rilevamento delle minacce I criteri dell'app OAuth consentono di analizzare le autorizzazioni richieste da ogni app OAuth e approvarla o revocarla automaticamente. Questi sono criteri predefiniti che vengono creati con Defender for Cloud Apps e non possono essere creati. Scopri di più
Malware detection policy icon. Criteri di rilevamento malware Rilevamento delle minacce I criteri di rilevamento malware consentono di identificare i file dannosi nell'archiviazione cloud e approvarlo o revocarlo automaticamente. Questo è un criterio predefinito che include Defender for Cloud Apps e non può essere creato. Scopri di più
file policy icon. Criteri file Protezione delle informazioni I criteri file consentono di analizzare le app cloud per identificare file o tipi di file specifici (condivisi, condivisi con domini esterni) e dati (informazioni proprietarie, informazioni personali, informazioni relative alle carte di credito e altri tipi di dati). Consentono anche di applicare azioni di governance ai file (le azioni di governance sono specifiche delle app cloud). Scopri di più
access policy icon. Criterio di accesso Accesso condizionale I criteri di accesso consentono il monitoraggio in tempo reale e il controllo degli accessi degli utenti alle app cloud. Scopri di più
session policy icon. Criteri della sessione Accesso condizionale I criteri della sessione forniscono il monitoraggio in tempo reale e il controllo delle attività utente nelle app cloud. Scopri di più
cloud discovery policy icon. Criteri di individuazione delle app Shadow IT I criteri di individuazione delle app consentono di impostare avvisi che segnalano il rilevamento di nuove app all'interno dell'organizzazione. Scopri di più
anomaly detection policy icon. Criteri di rilevamento anomalie di Cloud Discovery Shadow IT I criteri di rilevamento di anomalie Cloud Discovery sono basati sui log usati per individuare app cloud e cercare eventi insoliti. Può trattarsi, ad esempio, dell'improvviso caricamento di 600 GB su Dropbox da parte di un utente che non ha mai usato questa applicazione o dell'insolito aumento delle transazioni su una particolare app. Scopri di più

Identificazione del rischio

Defender for Cloud Apps consente di attenuare i diversi rischi nel cloud. È possibile configurare criteri e avvisi da associare a uno dei rischi seguenti:

  • Controllo di accesso: quali utenti stanno accedendo, a quali applicazioni accedono e da dove?

    Monitorare in modo continuativo il comportamento e rilevare le attività anomale, inclusi attacchi ad alto rischio dall'interno e dall'esterno, e applicare un criterio per generare un avviso, bloccare l'accesso o richiedere la verifica dell'identità per qualsiasi app o azione specifica nell'ambito di un'app. Abilita criteri di controllo dell'accesso mobile e locale basati su utente, dispositivo e posizione imponendo un blocco grossolano e criteri basati su vista, modifica e blocco granulari. Rilevare gli eventi di accesso sospetti, tra cui autenticazioni a più fattori non riuscite, errori di accesso ad account disabilitati ed eventi di rappresentazione.

  • Conformità: i requisiti di conformità sono violati?

    Catalogare e identificare dati sensibili o regolamentati, tra cui autorizzazioni di condivisione per ciascun file, con archiviazione in servizi di sincronizzazione dei file per assicurare la conformità a normative quali PCI, SOX e HIPAA

  • Controllo della configurazione: sono in corso modifiche non autorizzate della configurazione?

    Monitorare le modifiche della configurazione, inclusa la manipolazione in remoto.

  • Cloud Discovery: nell'organizzazione vengono usate app nuove? Si verificano problemi relativi all'uso di app shadow IT di cui non si era a conoscenza?

    Consente di valutare il rischio complessivo per ogni app cloud sulla base di certificazioni standard del settore e di conformità alle normative, nonché sulla base di procedure consigliate. Consente di monitorare il numero di utenti, le attività, il volume di traffico e gli orari di utilizzo tipici di ogni applicazione cloud.

  • DLP (Data Loss Prevention, prevenzione della perdita dei dati): sono presenti file proprietari condivisi pubblicamente? È necessario mettere in quarantena i file?

    L'applicazione di criteri DLP offre correzione a ciclo chiuso e integrazione con le soluzioni DLP locali esistenti.

  • Account con privilegi: è necessario monitorare gli account amministratore?

    Monitoraggio delle attività in tempo reale e creazione di report sugli amministratori e gli utenti con privilegi.

  • Controllo della condivisione: in che modo vengono condivisi i dati nell'ambiente cloud?

    Esaminare i contenuti sia dei file che del cloud e applicare criteri di condivisione interni ed esterni. Monitorare la collaborazione e applicare criteri di condivisione, ad esempio per bloccare la condivisione di file all'esterno dell'organizzazione.

  • Rilevamento delle minacce: sono presenti attività sospette che minacciano l'ambiente cloud?

    Impostare l'invio di notifiche in tempo reale, tramite SMS o messaggi di posta elettronica, a seguito di qualsiasi violazione di criteri o soglie di attività. Applicando algoritmi di Machine Learning, Defender for Cloud Apps consente di rilevare il comportamento che potrebbe indicare che un utente sta usando in modo non corretto i dati.

Come controllare il rischio

Per controllare il rischio mediante l'uso di criteri, seguire questo processo:

  1. Creare un criterio a partire da un modello o da una query.

  2. Ottimizzare il criterio per ottenere i risultati previsti.

  3. Aggiungere azioni automatizzate per rispondere e correggere automaticamente i rischi.

Creare un criterio

È possibile usare i modelli di criteri Defender for Cloud Apps come base per tutti i criteri o creare criteri da una query.

I modelli di criteri consentono di impostare le configurazioni e i filtri appropriati necessari per rilevare eventi specifici all'interno dell'organizzazione. I modelli includono criteri di tutti i tipi e si applicano a diversi servizi.

Per creare un criterio a partire da Modelli del criterio, seguire questa procedura:

  1. Nella console fare clic su Controllo e quindi su Modelli.

    Create the policy from a template.

  2. Fare clic sul segno più (+) a destra della riga del modello da usare. Si aprirà la pagina Crea criterio, contenente la configurazione predefinita del modello.

  3. Modificare il modello nel modo necessario per il criterio personalizzato. È possibile modificare ogni proprietà e campo del nuovo criterio basato su modello a seconda delle specifiche esigenze.

    Nota

    Quando si usano i filtri dei criteri, contiene ricerche solo per parole complete, separate da coma, punti, spazi o caratteri di sottolineatura. Se, ad esempio, si cerca malware o virus, viene trovato virus_malware_file.exe ma non malwarevirusfile.exe. Se si cerca malware.exe, si trovano TUTTI i file con malware o exe nel nome file, mentre se si cerca "malware.exe" (con le virgolette) si troveranno solo file che contengono esattamente "malware.exe".
    L'opzione Uguale a consente di cercare soltanto una stringa completa. Se, ad esempio, si cerca malware.exe, verrà trovato malware.exe ma non malware.exe.txt.

  4. Dopo aver creato il nuovo criterio basato su modello, nella colonna Criteri collegati della tabella Modello del criterio viene visualizzato un collegamento al nuovo criterio accanto al modello a partire da cui è stato creato. È possibile creare tutti i criteri necessari da ogni modello. Tutti i criteri verranno collegati al modello originale, in modo che sia possibile tenere traccia di tutti i criteri creati con lo stesso modello.

In alternativa, è possibile creare un criterio durante la fase di analisi. Se si stanno analizzando gli elementi Log attività, File o Account e si esegue il drill-down per cercare un oggetto specifico, è possibile creare in qualsiasi momento un nuovo criterio sulla base dei risultati dell'analisi.

Ad esempio, se si sta esaminando il log attività e si visualizza un'attività di amministratore dall'esterno degli indirizzi IP dell'ufficio.

Per creare un criterio sulla base dei risultati dell'analisi, seguire questa procedura:

  1. Nella console fare clic su Analisi e quindi su Log attività, File o Account.

  2. Usare i filtri nella parte superiore della pagina per limitare i risultati della ricerca all'area sospetta. Ad esempio, nella pagina Log attività fare clic su Tipo di attività e selezionare Write Administrators (Amministratori con autorizzazione di scrittura) nell'operazione di Azure. Quindi in Indirizzo IP selezionare Categoria e impostare il valore in modo che non vengano incluse le categorie di indirizzi IP create per i domini riconosciuti, ad esempio gli indirizzi IP dell'amministratore, dell'azienda e della VPN.

    Create file from investigation.

  3. Nell'angolo superiore destro della console fare clic su Nuovo criterio dalla ricerca.

    New policy from search button.

  4. Viene visualizzata la pagina Crea criterio, contenente i filtri usati durante l'analisi.

  5. Modificare il modello nel modo necessario per il criterio personalizzato. È possibile modificare ogni proprietà e campo del nuovo criterio basato su analisi a seconda delle specifiche esigenze.

    Nota

    Quando si usano i filtri dei criteri, contiene ricerche solo per parole complete, separate da coma, punti, spazi o caratteri di sottolineatura. Se, ad esempio, si cerca malware o virus, viene trovato virus_malware_file.exe ma non malwarevirusfile.exe.
    L'opzione Uguale a consente di cercare soltanto una stringa completa. Se, ad esempio, si cerca malware.exe, verrà trovato malware.exe ma non malware.exe.txt.

    create activity policy from investigation.

    Nota

    Per altre informazioni sull'impostazione dei campi dei criteri, vedere la documentazione dei criteri corrispondenti:

    Criteri attività utente

    Criteri di protezione dei dati

    Criteri di Cloud Discovery

Aggiungere azioni automatizzate per rispondere e correggere automaticamente i rischi

Per un elenco delle azioni di governance disponibili per ogni app, vedere Governance delle app connesse.

È anche possibile impostare i criteri per inviare un avviso tramite un messaggio di posta elettronica o SMS quando vengono rilevate corrispondenze.

Per impostare le preferenze di notifica, vedere Personalizzare il portale

Nota

Il numero massimo di avvisi inviati tramite SMS è 10 per numero di telefono al giorno. Il giorno viene calcolato in base al fuso orario UTC.

Abilitare e disabilitare criteri

Dopo aver creato un criterio è possibile abilitarlo o disabilitarlo. Se un criterio viene disabilitato, non è necessario eliminarlo dopo averlo creato per doverlo arrestare. Se per qualche motivo si vuole arrestare il criterio, disabilitarlo fino a quando non si sceglie di abilitarlo di nuovo.

  • Per abilitare un criterio, nella pagina Criteri fare clic sui tre punti alla fine della riga del criterio che si vuole abilitare Selezionare Abilita.

    Enable policy.

  • Per disabilitare un criterio, nella pagina Criteri fare clic sui tre punti alla fine della riga del criterio che si vuole disabilitare Selezionare Disabilita.

    Disable policy.

Per impostazione predefinita, un criterio nuovo viene abilitato dopo essere stato creato.

Report di panoramica dei criteri

Defender for Cloud Apps consente di esportare un report di panoramica dei criteri che mostra le metriche di avviso aggregate per criterio per consentire di monitorare, comprendere e personalizzare i criteri per proteggere meglio l'organizzazione.

Per esportare un log, seguire questa procedura:

  1. Nella pagina Criteri fare clic sul pulsante Esporta .

  2. Specificare l'intervallo di tempo necessario.

  3. Fare clic su esportare. Questo processo potrebbe richiedere alcuni minuti.

Per scaricare il report esportato:

  1. Quando il report è pronto, passare a Impostazioni e a Report esportati.

  2. Nella tabella selezionare il report pertinente nell'elenco del report Panoramica criteri e fare clic su Download.

    download button.

Passaggi successivi

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.