Kontrolowanie aplikacji w chmurze za pomocą zasadControl cloud apps with policies

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Zasady umożliwiają zdefiniowanie sposobu, w jaki użytkownicy mają zachowywać się w chmurze.Policies allow you to define the way you want your users to behave in the cloud. Umożliwiają one wykrywanie zachowań ryzykownych, naruszeń lub podejrzanych punktów danych i działań w środowisku chmury.They enable you to detect risky behavior, violations, or suspicious data points and activities in your cloud environment. Jeśli to konieczne, możesz zintegrować przepływy pracy korygowania w celu osiągnięcia pełnego ograniczenia ryzyka.If necessary, you can integrate remediation work flows to achieve complete risk mitigation. Jest wiele typów zasad skorelowanych z różnymi typami informacji, które można zbierać w środowisku chmury. Są też różne typy akcji korygowania, które można wykonywać.There are multiple types of policies that correlate to the different types of information you want to gather about your cloud environment and the types of remediation actions you may want to take.

Na przykład w przypadku zagrożenia naruszenia danych, którą chcesz poddać kwarantannie, potrzebujesz innego typu niż Jeśli chcesz zablokować aplikację stwarzającą ryzyko w chmurze, używany przez Twoją organizację są stosowane zasady.For example, if there's a data violation threat that you want to quarantine, you need a different type of policy in place than if you want to block a risky cloud app from being used by your organization.

Typy zasadPolicy types

Podczas przeglądania zasad strony, poszczególne zasady i szablony można rozróżnić przy użyciu typów i ikon, które zasady są dostępne.When you look at the Policy page, the various policies and templates can be distinguished by type and icon to see which policies are available. Dostępne zasady zależą od źródła danych i od elementów włączonych w usłudze Cloud App Security dla organizacji.The available policies depend on the data source and what you have enabled in Cloud App Security for your organization. Na przykład jeśli przekazano dzienniki funkcji Cloud Discovery, są wyświetlane zasady związane z rozwiązaniem Cloud Discovery.For example, if you uploaded Cloud Discovery logs, the policies relating to Cloud Discovery are displayed.

Można utworzyć następujące typy zasad:The following types of policies can be created:

Ikona typu zasadPolicy type icon Typ zasadPolicy type UżycieUse
Ikona zasad dostępu Zasady dostępuAccess policy Zasady dostępu zapewniają monitorowanie w czasie rzeczywistym oraz kontrolę logowania użytkowników do aplikacji w chmurze.Access policies provide you with real-time monitoring and control over user logins to your cloud apps.
ikona zasad dotyczących działań Zasady dotyczące działańActivity policy Zasady dotyczące działań pozwalają wymusić szeroką gamę zautomatyzowanych procesów przy użyciu interfejsów API dostawcy aplikacji.Activity policies allow you to enforce a wide range of automated processes using the app provider’s APIs. Te zasady pozwalają monitorować konkretne działania wykonywane przez różnych użytkowników lub śledzić nieoczekiwanie wysokie wskaźniki dotyczące określonego typu działania.These policies enable you to monitor specific activities carried out by various users, or follow unexpectedly high rates of a certain type of activity.
ikona zasad wykrywania anomalii Zasady wykrywania anomaliiAnomaly detection policy Zasady wykrywania anomalii umożliwiają wyszukiwanie nietypowych działań w chmurze.Anomaly detection policies enable you to look for unusual activities on your cloud. Wykrywanie opiera się na czynniki ryzyka ustawione w celu wysyłania alertów, gdy coś, co się stanie, która różni się od punktu odniesienia organizacji lub zwykłej aktywności użytkownika.Detection is based on the risk factors you set to alert you when something happens that is different from the baseline of your organization or from the user's regular activity.
ikona zasad funkcji Cloud Discovery Zasady odnajdywania aplikacjiApp discovery policy Zasady odnajdywania aplikacji pozwalają ustawić alerty, które powiadamiają o wykryciu nowych aplikacji w organizacji.App discovery policies enable you to set alerts that notify you when new apps are detected within your organization.
ikona zasad wykrywania anomalii Zasady wykrywania anomalii w usłudze Cloud DiscoveryCloud Discovery anomaly detection policy Zasady wykrywania anomalii w usłudze Cloud Discovery sprawdzają dzienniki używane do wykrywania aplikacji w chmurze i wyszukują nietypowe wystąpienia.Cloud Discovery anomaly detection policies look at the logs you use for discovering cloud apps and search for unusual occurrences. Na przykład gdy użytkownik, który nigdy wcześniej nie korzystał z usługi Dropbox, nagle przekazuje do niej 600 GB danych, lub gdy w określonej aplikacji wykonywanych jest znacznie więcej transakcji niż zwykle.For example, when a user who never used Dropbox before suddenly uploads 600 GB to Dropbox, or when there are a lot more transactions than usual on a particular app.
ikona zasad plików Zasady dotyczące plikuFile policy Zasady dotyczące plików umożliwiają skanowanie aplikacji w chmurze dla określonych plików lub typów plików (udostępnione, udostępnione domenom zewnętrznym), data (zastrzeżone informacje, dane osobowe, informacje dotyczące kart kredytowych i inne typy danych) i stosowanie akcji ładu do plików) Akcje ładu są aplikacji w chmurze określonych).File policies enable you to scan your cloud apps for specified files or file types (shared, shared with external domains), data (proprietary information, personal data, credit card information, and other types of data) and apply governance actions to the files (governance actions are cloud-app specific).
Ikona zasad sesji Zasady sesjiSession policy Zasady sesji zapewniają monitorowanie w czasie rzeczywistym oraz kontrolę logowania użytkowników w aplikacjach w chmurze.Session policies provide you with real-time monitoring and control over user activity in your cloud apps.

Identyfikowanie ryzykaIdentifying risk

Usługa Cloud App Security pomaga ograniczać różnego rodzaju zagrożenia w chmurze.Cloud App Security helps you mitigate different risks in the cloud. Można skonfigurować dowolne zasady i alerty do skojarzenia z jednym z następujących czynników ryzyka:You can configure any policy and alert to be associated with one of the following risks:

  • Kontrola dostępu: Kto uzyskuje dostęp do co lokalizacji?Access control: Who accesses what from where?

    Ciągłe monitorowanie zachowania i wykrywanie nietypowych działań, włącznie z atakami wewnętrznymi i zewnętrznymi wysokiego ryzyka, oraz stosowanie zasad w celu wyzwalania alertów, blokowania lub żądania weryfikacji tożsamości dla dowolnej aplikacji lub konkretnej akcji w obrębie aplikacji.Continuously monitor behavior and detect anomalous activities, including high-risk insider and external attacks, and apply a policy to alert, block, or require identity verification for any app or specific action within an app. Włącza zasady dostępu lokalnego i zdalnego (z urządzeń przenośnych) na podstawie użytkownika, urządzenia i lokalizacji geograficznej z ogólnym blokowaniem oraz szczegółowym podglądem, edycją i blokowaniem.Enables on-premises and mobile access control policies based on user, device, and geography with coarse blocking and granular view, edit, and block. Wykrywa podejrzane zdarzenia logowania, w tym niepowodzenia uwierzytelniania wieloskładnikowego, niepowodzenia logowania do wyłączonych kont oraz zdarzenia personifikacji.Detect suspicious login events, including multi-factor authentication failures, disabled account login failures, and impersonation events.

  • Zgodność: Wymagania dotyczące zgodności są naruszone?Compliance: Are your compliance requirements breached?

    Katalogowanie i identyfikowanie danych poufnych lub podlegających przepisom (w tym uprawnień do udostępniania dla każdego pliku) przechowywanych w usługach synchronizacji plików w celu zapewnienia zgodności z przepisami, takimi jak PCI, SOX i HIPAA.Catalog and identify sensitive or regulated data, including sharing permissions for each file, stored in file-sync services to ensure compliance with regulations such as PCI, SOX, and HIPAA

  • Kontrola konfiguracji: Są wprowadzane nieautoryzowane zmiany do konfiguracji?Configuration control: Are unauthorized changes being made to your configuration?

    Monitorowanie zmian konfiguracji, w tym zdalnego manipulowania konfiguracją.Monitor configuration changes including remote configuration manipulation.

  • Rozwiązanie cloud Discovery: Nowe aplikacje są używane w organizacji?Cloud Discovery: Are new apps being used in your organization? Czy masz problem związany z korzystaniem z aplikacji niezatwierdzonych przez dział IT, o których nie wiesz?Do you have a problem of Shadow IT apps being used that you don't know about?

    Ocena ogólnego ryzyka dla każdej aplikacji w chmurze na podstawie przepisów i certyfikatów branżowych i najlepszych rozwiązań.Rate overall risk for each cloud app based on regulatory and industry certifications and best practices. Można monitorować liczbę użytkowników, działań, wielkości ruchu i typowej liczby godzin użycia dla każdej aplikacji w chmurze.Enables you to monitor the number of users, activities, traffic volume, and typical usage hours for each cloud application.

  • FUNKCJA DLP: Zastrzeżone pliki są udostępniane publicznie?DLP: Are proprietary files being shared publicly? Czy jest wymagana kwarantanna plików?Do you need to quarantine files?

    Integracja z lokalną funkcją DLP zapewnia integrację i korygowanie w pętli zamkniętej przy użyciu istniejących lokalnych rozwiązań DLP.On-premises DLP integration provides integration and closed-loop remediation with existing on-premises DLP solutions.

  • Konta uprzywilejowane: Potrzebujesz monitorować konta administratorów?Privileged accounts: Do you need to monitor admin accounts?

    Monitorowanie i raportowanie w czasie rzeczywistym aktywności użytkowników uprzywilejowanych i administratorów.Real-time activity monitoring and reporting of privileged users and admins.

  • Kontrola udostępniania: Jak dane są udostępniane w środowisku chmury?Sharing control: How is data being shared in your cloud environment?

    Sprawdzanie zawartości plików i zawartości w chmurze oraz wymuszanie wewnętrznych i zewnętrznych zasad udostępniania.Inspect the content of files and content in the cloud, and enforce internal and external sharing policies. Monitorowanie współpracy i wymuszanie zasad udostępniania, na przykład blokowanie udostępniania plików poza organizacją.Monitor collaboration and enforce sharing policies, such as blocking files from being shared outside your organization.

  • Wykrywanie zagrożeń: Czy istnieją podejrzane działania zagrażające środowisku chmury?Threat detection: Are there suspicious activities threatening your cloud environment?

    Odbieranie powiadomień w czasie rzeczywistym (za pomocą wiadomości SMS lub wiadomości e-mail) o wszelkich naruszeniach zasad lub przekroczeniach progu działania.Receive real-time notifications for any policy violation or activity threshold via text message or email. Dzięki zastosowaniu algorytmów uczenia maszynowego, usługa Cloud App Security pozwala wykrywać zachowania mogące wskazywać, że użytkownik niewłaściwie korzysta z danych.By applying machine learning algorithms, Cloud App Security enables you to detect behavior that could indicate that a user is misusing data.

Jak kontrolować ryzykoHow to control risk

Aby kontrolować ryzyko za pomocą zasad, wykonaj następujące czynności:Follow this process to control risk with policies:

  1. Utwórz zasady na podstawie szablonu lub zapytania.Create a policy from a template or a query.

  2. Dostosuj zasady w celu osiągnięcia oczekiwanych rezultatów.Fine-tune the policy to achieve expected results.

  3. Dodaj akcje automatyczne w celu automatycznego reagowania na czynniki ryzyka i korygowania ich.Add automated actions to respond and remediate risks automatically.

Tworzenie zasadCreate a policy

Można użyć szablonów usługi Cloud App Security jako podstawy dla wszystkich zasad lub utworzyć zasady na podstawie zapytania.You can either use Cloud App Security’s policy templates as a basis for all your policies, or create policies from a query.

Szablony zasad pomagają ustawić poprawne filtry i konfiguracje niezbędne do wykrywania określonych zdarzeń w danym środowisku.Policy templates help you set the correct filters and configurations necessary to detect specific events of interest within your environment. Szablony obejmują zasady wszystkich typów i mogą być stosowane do różnych usług.The templates include policies of all types, and can apply to various services.

Aby utworzyć zasady na podstawie szablonów zasad, wykonaj następujące czynności:To create a policy from Policy templates, perform the following steps:

  1. W konsoli kliknij pozycję Sterowanie, a następnie kartę Szablony.In the console, click on Control followed by Templates.

    Tworzenie zasad z szablonu

  2. Kliknij przycisk + z prawej strony na końcu wiersza szablonu, którego chcesz użyć.Click the + at the far right of the row of the template you want to use. Zostanie otwarta strona tworzenia zasad ze wstępnie zdefiniowaną konfigurację szablonu.A create policy page opens, with the pre-defined configuration of the template.

  3. Zmodyfikuj szablon odpowiednio do potrzeb w celu zdefiniowania zasad niestandardowych.Modify the template as needed for your custom policy. Każdą właściwość i pole tych nowych zasad opartych na szablonie można zmodyfikować zgodnie z potrzebami.Every property and field of this new template-based policy can be modified according to your needs.

    Uwaga

    W przypadku używania filtrów zasad filtr zawiera wyszukuje tylko całe wyrazy — rozdzielone przecinki, kropki, spacje lub znaki podkreślenia.When using the policy filters, Contains searches only for full words – separated by comas, dots, spaces, or underscores. Na przykład jeśli wyszukasz złośliwego oprogramowania lub wirusa, znajdzie virus_malware_file.exe, ale nie odnajdzie malwarevirusfile.exe.For example if you search for malware or virus, it finds virus_malware_file.exe but it does not find malwarevirusfile.exe. Jeśli wyszukasz malware.exe, możesz znaleźć wszystkie pliki z malware lub exe w nazwie pliku, natomiast w przypadku "malware.exe" (ze znakami cudzysłowu) zostaną znalezione tylko te pliki, zawierające dokładnie "malware.exe".If you search for malware.exe, you find ALL files with either malware or exe in their filename, whereas if you search for “malware.exe” (with the quotation marks) you will find only files that contain exactly “malware.exe”. Równa się wyszukuje tylko pełny ciąg, na przykład jeśli wyszukasz malware.exe znajdzie plik malware.exe, ale nie plik malware.exe.txt.Equals searches only for the complete string, for example if you search for malware.exe it finds malware.exe but not malware.exe.txt.

  4. Po utworzeniu nowych zasad na podstawie szablonu link do nowych zasad będzie wyświetlany w tabeli szablonów zasad w kolumnie Połączone zasady obok szablonu, za pomocą którego zasady zostały utworzone.After you create the new template-based policy, a link to the new policy appears in the Linked policies column in the policy template table next to the template from which the policy was created.
    Można utworzyć tyle zasad chcesz z każdego szablonu i ich będzie więc być połączone z oryginalnym szablonem.You can create as many policies as you want from each template and they'll all be linked to the original template. Łączenie pozwala na śledzenie wszystkich zasad utworzonych przy użyciu tego samego szablonu.Linking allows you to track all policies built using the same template.

Można też tworzyć zasady podczas badania.Alternatively, you can create a policy during investigation. Jeśli analizujesz dziennika aktywności, pliki lub konti przechodzenia do wyszukiwania określonych, w dowolnym momencie możesz utworzyć nowe zasady na podstawie wyniki badania.If you're investigating the Activity log, Files or Accounts, and you drill down to search for something specific, at any time you can create a new policy based on the results of your investigation.

Na przykład, jeśli patrzysz dziennika aktywnościi zobacz aktywność administratora spoza adresów IP Twojego biura.For example, if you're looking at the Activity log, and see an admin activity from outside your office’s IP addresses.

Aby utworzyć zasady na podstawie wyników badania, wykonaj następujące czynności:To create a policy based on investigation results, do the following steps:

  1. W konsoli, kliknij zbadaj następuje dziennika aktywności, pliki, lub kont.In the console, click on Investigate followed by Activity log, Files, or Accounts.

  2. Użyj filtrów w górnej części strony, aby ograniczyć wyniki wyszukiwania do podejrzanego obszaru.Use the filters at the top of the page to limit the search results to the suspicious area. Na przykład na stronie dziennik aktywności kliknij pozycję typ działania i wybierz zapisu Administratorzy w ramach operacji platformy Azure.For example, in the Activity log page, click Activity type and select Write Administrators under Azure operation. Następnie w obszarze adresu IP, wybierz opcję kategorii i ustaw wartość wykluczającą kategorie adresów IP utworzonych dla rozpoznawanych domen, np. administratora, firmy, oraz adresy IP sieci VPN.Then, under IP address, select Category and set the value to not include IP address categories you've created for your recognized domains, such as your admin, corporate, and VPN IP addresses.

    Utwórz plik na podstawie badania

  3. W prawym górnym rogu konsoli kliknij nowe zasady na podstawie wyszukiwania.In the upper right corner of the console, click New policy from search.

    Nowe zasady na podstawie przycisk wyszukiwania

  4. Zostanie otwarta strona tworzenia zasad zawierająca filtry użyte w badaniu.A create policy page opens, containing the filters you used in your investigation.

  5. Zmodyfikuj szablon odpowiednio do potrzeb w celu zdefiniowania zasad niestandardowych.Modify the template as needed for your custom policy. Każdą właściwość i każde pole tych nowych zasad opartych na badaniu można zmodyfikować zgodnie z potrzebami.Every property and field of this new investigation-based policy can be modified according to your needs.

Uwaga

W przypadku używania filtrów zasad filtr zawiera wyszukuje tylko całe wyrazy — rozdzielone przecinki, kropki, spacje lub znaki podkreślenia.When using the policy filters, Contains searches only for full words – separated by comas, dots, spaces, or underscores. Na przykład jeśli wyszukasz złośliwego oprogramowania lub wirusa, znajdzie virus_malware_file.exe, ale nie odnajdzie malwarevirusfile.exe.For example if you search for malware or virus, it finds virus_malware_file.exe but it does not find malwarevirusfile.exe.
Równa się wyszukuje tylko pełny ciąg, na przykład jeśli wyszukasz malware.exe znajdzie plik malware.exe, ale nie plik malware.exe.txt.Equals searches only for the complete string, for example if you search for malware.exe it finds malware.exe but not malware.exe.txt.

tworzenie zasad działania na podstawie badania

Uwaga

Aby uzyskać więcej informacji na temat ustawiania pól zasad Zobacz odpowiednią dokumentacją zasad:For more information on setting the policy fields, see the corresponding policy documentation:

Zasady dotyczące działań użytkownikówUser activity policies

Zasady ochrony danychData protection policies

Zasady usługi Cloud DiscoveryCloud Discovery policies

Dodawanie akcji automatycznych w celu automatycznego reagowania na czynniki ryzyka i korygowania ichAdd automated actions to respond and remediate risks automatically

Aby zapoznać się z listą działań ładu dostępnych dla aplikacji, zobacz Zarządzanie połączonymi aplikacjami.For a list of available governance actions per app, see the Governing connected apps.

Można również ustawić zasady, aby otrzymywać alerty za pomocą wiadomości e-mail lub SMS po wykryciu dopasowań.You can also set the policy to send you an alert by email or text message when matches are detected.

Aby ustawić preferencje powiadomień, przejdź do sekcji Dostosowywanie portaluTo set your notification preferences, got to Customize the portal

Uwaga

Maksymalna liczba alertów, które są wysyłane za pośrednictwem wiadomości SMS wynosi 10 na dany numer telefonu każdego dnia.The maximum number of alerts that are sent via text message is 10 per phone number per day. Dzień jest obliczany zgodnie ze strefą czasową UTC.The day is calculated according to the UTC timezone.

Włączanie i wyłączanie zasadEnable and disable policies

Po utworzeniu zasad możesz je włączyć lub wyłączyć.After you create a policy, you can enable or disable it. Wyłączanie pozwala uniknąć konieczności usuwania zasad po ich utworzeniu w celu zatrzymania go.Disabling avoids the need to delete a policy after you create it in order to stop it. Zamiast tego Jeśli z jakiegoś powodu chcesz zatrzymać działanie zasad, wyłączyć do momentu ponownego włączenia.Instead, if for some reason you want to stop the policy, disable it until you choose to enable it again.

  • Aby włączyć zasady w zasad kliknij trzy kropki na końcu wiersza zasad, aby włączyć.To enable a policy, in the Policy page, click the three dots at the end of the row of the policy you want to enable. Wybierz Włącz.Select Enable.

    Włączanie zasad

  • Aby wyłączyć zasady w zasad kliknij trzy kropki na końcu wiersza zasad, aby wyłączyć.To disable a policy, in the Policy page, click the three dots at the end of the row of the policy you want to disable. Wybierz wyłączyć.Select Disable.

    Wyłączanie zasad

Domyślnie po utworzeniu nowych zasad zostaje włączony.By default, after you create a new policy, it's enabled.

Następne krokiNext steps

Codzienne działania dla ochrony środowiska chmuryDaily activities to protect your cloud environment

Klienci wersji Premium mogą również utworzyć nowe żądanie pomocy technicznej bezpośrednio w portalu Premium.Premier customers can also create a new support request directly in the Premier Portal.