Criteri di Cloud Discovery

Nota

• Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

• Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Questo articolo offre una panoramica di come iniziare a usare app Defender per il cloud per ottenere visibilità nell'organizzazione in Shadow IT tramite Cloud Discovery.

Defender per il cloud App consente di individuare e analizzare le app cloud usate nell'ambiente dell'organizzazione. Il dashboard di Cloud Discovery mostra tutte le app cloud in esecuzione nell'ambiente e le classifica in base alla funzione e all'idoneità aziendale. Per ogni app, individuare gli utenti associati, gli indirizzi IP, i dispositivi, le transazioni e esegue la valutazione dei rischi senza dover installare un agente nei dispositivi endpoint.

Rilevare un nuovo volume elevato o un'app wide

Rilevare nuove app altamente usate, in termini di numero di utenti o quantità di traffico nell'organizzazione.

Prerequisiti

Configurare il caricamento automatico dei log per i report di Cloud Discovery continui, come descritto in Configurare il caricamento automatico dei log per i report continui o abilitare l'integrazione di app Defender per il cloud con Defender for Endpoint, come descritto in Integrare Microsoft Defender per endpoint con app Defender per il cloud.

Passaggi

1. Nella pagina Criteri creare un nuovo criterio di individuazione app

2. Nel campo Modello di criteri selezionare Nuova app a volume elevato o Nuova app popolare e applicare il modello.

3. Personalizzare i filtri dei criteri per soddisfare i requisiti dell'organizzazione.

4. Configurare le azioni da eseguire quando viene attivato un avviso.

Nota

Un avviso viene generato una volta per ogni nuova app non individuata negli ultimi 90 giorni.

Rilevare l'uso di nuove app rischiose o non conformi

Rilevare l'esposizione potenziale dell'organizzazione nelle app cloud che non soddisfano gli standard di sicurezza.

Prerequisiti

Configurare il caricamento automatico dei log per i report di Cloud Discovery continui, come descritto in Configurare il caricamento automatico dei log per i report continui o abilitare l'integrazione di app Defender per il cloud con Defender for Endpoint, come descritto in Integrare Microsoft Defender per endpoint con app Defender per il cloud.

Passaggi

1. Nella pagina Criteri creare un nuovo criterio di individuazione app.

2. Nel campo Modello di criteri selezionare il nuovo modello di app a rischio e applicare il modello.

3. In App corrispondente a tutti i seguenti impostare il dispositivo di scorrimento Punteggio di rischio e il fattore di rischio di conformità per personalizzare il livello di rischio che si vuole attivare un avviso e impostare gli altri filtri dei criteri per soddisfare i requisiti di sicurezza dell'organizzazione.

   1. Facoltativo: per ottenere rilevamenti più significativi, personalizzare la quantità di traffico che attiverà un avviso.

   2. Selezionare la casella di controllo Attiva un criterio se si verificano tutte le operazioni seguenti nello stesso giorno .

   3. Selezionare Traffico giornaliero maggiore di 2000 GB (o altro).

4. Configurare le azioni di governance da eseguire quando viene attivato un avviso. In Governance selezionare App tag come non autorizzata.
   L'accesso all'app verrà bloccato automaticamente quando il criterio viene corrispondente.

5. Facoltativo: sfruttare le integrazioni native di app Defender per il cloud con gateway Web sicuri per bloccare l'accesso alle app.

Rilevare l'uso di app aziendali non autorizzate

È possibile rilevare quando i dipendenti continuano a usare app non autorizzate come sostituzione delle app pronte per le aziende approvate.

Prerequisiti

• Configurare il caricamento automatico dei log per i report di Cloud Discovery continui, come descritto in Configurare il caricamento automatico dei log per i report continui o abilitare l'integrazione di app Defender per il cloud con Defender for Endpoint, come descritto in Integrare Microsoft Defender per endpoint con app Defender per il cloud.

Passaggi

1. Nel catalogo app cloud cercare le app pronte per le aziende e contrassegnarle con un tag di app personalizzato.

2. Seguire la procedura descritta in Rilevare il nuovo volume elevato o l'utilizzo di app wide.

3. Aggiungere un filtro tag app e scegliere i tag dell'app creati per le app pronte per l'azienda.

4. Configurare le azioni di governance da eseguire quando viene attivato un avviso. In Governance selezionare App tag come non autorizzata.
   L'accesso all'app verrà bloccato automaticamente quando il criterio viene corrispondente.

5. Facoltativo: sfruttare le integrazioni native di app Defender per il cloud con gateway Web sicuri per bloccare l'accesso alle app.

Rilevare modelli di utilizzo insoliti nella rete

Rilevare modelli di utilizzo anomalo del traffico (caricamenti/download) nelle app cloud, provenienti da utenti o indirizzi IP all'interno della rete dell'organizzazione.

Prerequisiti

Configurare il caricamento automatico dei log per i report di Cloud Discovery continui, come descritto in Configurare il caricamento automatico dei log per i report continui o abilitare l'integrazione di app Defender per il cloud con Defender for Endpoint, come descritto in Integrare Microsoft Defender per endpoint con app Defender per il cloud.

Passaggi

1. Nella pagina Criteri creare un nuovo criterio di rilevamento anomalie di Cloud Discovery.

2. Nel campo Modello di criteri selezionare Comportamento anomalo negli utenti individuati o comportamento anomalo negli indirizzi IP individuati.

3. Personalizzare i filtri per soddisfare i requisiti dell'organizzazione.

4. Se si vuole essere avvisati solo quando si verificano anomalie che coinvolgono app rischiose, usare i filtri punteggio di rischio e impostare l'intervallo in cui le app sono considerate rischiose.

5. Usare il dispositivo di scorrimento per Selezionare la riservatezza del rilevamento anomalie.

Nota

Dopo aver stabilito il caricamento continuo del log, il motore di rilevamento anomalie richiede alcuni giorni fino a quando non viene stabilita una baseline (periodo di apprendimento) per il comportamento previsto nell'organizzazione. Dopo aver stabilito una baseline, si inizia a ricevere avvisi in base alle discrepanze dal comportamento previsto del traffico tra le app cloud effettuate dagli utenti o dagli indirizzi IP.

Rilevare un comportamento anomalo di cloud discovery nelle app di archiviazione che non sono approvate

Rilevare un comportamento anomalo da parte di un utente in un'app di archiviazione cloud non approvata.

Prerequisiti

Configurare il caricamento automatico dei log per i report di Cloud Discovery continui, come descritto in Configurare il caricamento automatico dei log per i report continui o abilitare l'integrazione di app Defender per il cloud con Defender for Endpoint, come descritto in Integrare Microsoft Defender per endpoint con app Defender per il cloud.

Passaggi

1. Nella pagina Criteri creare un nuovo criterio di rilevamento anomalie di Cloud Discovery.

2. Selezionare la categoria di filtro App uguale all'archiviazione cloud.

3. Selezionare il tag dell'app filtro non uguale a Sanzionato.

4. Selezionare la casella di controllo per creare un avviso per ogni evento corrispondente con la gravità del criterio.

5. Configurare le azioni da eseguire quando viene attivato un avviso.

Rilevare app OAuth rischiose

Ottenere visibilità e controllare le app OAuth installate all'interno di app come Google Workspace, Office 365 e Salesforce. Le app OAuth che richiedono autorizzazioni elevate e che hanno un uso raro della community potrebbero essere considerate rischiose.

Prerequisiti

È necessario avere Google Workspace, Office 365 o Salesforce app connessa usando i connettori dell'app.

Passaggi

1. Nella pagina Criteri creare un nuovo criterio di app OAuth.

2. Selezionare l'app filtro e impostare il criterio che deve coprire, Google Workspace, Office 365 o Salesforce.

3. Selezionare Filtro a livello di autorizzazione uguale a Alto (disponibile per Google Workspace e Office 365).

4. Aggiungere il filtro Community usare uguale a Rare.

5. Configurare le azioni da eseguire quando viene attivato un avviso. Ad esempio, per Office 365, selezionare Revoca app per le app OAuth rilevate dai criteri.

Nota

Supportato per Google Workspace, Office 365 e Salesforce app store.

Passaggi successivi

Attività quotidiane per la protezione dell'ambiente cloud

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.