Шаблоны политик
Рекомендуется упростить создание политики, начиная с существующих шаблонов по возможности. В этой статье перечислены несколько шаблонов политик, доступных для приложений Microsoft Defender для облака.
Полный список шаблонов проверка портале Microsoft Defender.
Основные сведения о шаблоне политики
| Категория риска | Имя шаблона | Description |
|---|---|---|
| Cloud Discovery | Аномальное поведение обнаруженных пользователей | Оповещение об аномальном поведении обнаруженных пользователей и приложений, например о большом объеме отправленных данных по сравнению с объемом отправленных данных других пользователей, о крупных по сравнению с другими транзакциями в журнале пользователя пользовательских транзакциях. |
| Cloud Discovery | Аномальное поведение обнаруженных IP-адресов | Оповещение об аномальном поведении обнаруженных IP-адресов и приложений, например о большом объеме отправленных данных по сравнению с объемом отправленных данных с других IP-адресов, о крупных транзакциях приложений по сравнению с транзакциями в журнале IP-адресов. |
| Cloud Discovery | Проверка соответствия приложений для совместной работы | Оповещение о новых приложениях для совместной работы, которые не соответствуют SOC2 и SSAE 16, а также в случаях, если свыше 50 пользователей работают с такими приложениями и объем общего ежедневного трафика превышает 50 МБ. |
| Cloud Discovery | Проверка соответствия приложения облачного хранилища | Оповещение о новых приложениях облачного хранилища, не соответствующих SOC2, SSAE 16, ISAE 3402 и PCI DSS, а также в случаях, если свыше 50 пользователей работают с такими приложениями и объем общего ежедневного трафика превышает 50 МБ. |
| Cloud Discovery | Проверка соответствия приложений CRM | Оповещение о новых приложениях CRM, не соответствующих SOC2, SSAE 16, ISAE 3402, ISO 27001 и HIPAA, а также в случаях, если свыше 50 пользователей работают с такими приложениями и объем общего ежедневного трафика превышает 50 МБ. |
| Cloud Discovery | Новое приложение облачного хранилища | Оповещение о том, что больше 50 пользователей работает с новыми приложениями облачного хранилища, а объем общего ежедневного трафика превышает 50 МБ. |
| Cloud Discovery | Новое приложение для размещения кода | Оповещение о том, что больше 50 пользователей работает с новыми приложениями для размещения кода, а объем общего ежедневного трафика превышает 50 МБ. |
| Cloud Discovery | Новое приложение для совместной работы | Оповещение о том, что больше 50 пользователей работает с новыми приложениями для совместной работы, а объем общего ежедневного трафика превышает 50 МБ. |
| Cloud Discovery | Новое приложение CRM | Оповещение при обнаружении новых приложений CRM, используемых более чем 50 пользователями с общим дневным объемом использования более 50 МБ. |
| Cloud Discovery | Новое приложение с большим объемом трафика | Оповещение о новых приложениях, общий ежедневный исходящий трафик которых превышает 500 МБ. |
| Cloud Discovery | Новое приложение с большим объемом исходящего трафика | Оповещение о новых приложениях, общий ежедневный исходящий трафик которых превышает 500 МБ. |
| Cloud Discovery | Новое приложение для управления персоналом | Оповещение о том, что свыше 50 пользователей работают с новыми приложениями для управления персоналом, а объем общего ежедневного трафика превышает 50 МБ. |
| Cloud Discovery | Новое приложение для собраний по сети | Оповещение о том, что больше 50 пользователей работает с новыми приложениями для собраний по сети, а объем общего ежедневного трафика превышает 50 МБ. |
| Cloud Discovery | Новое популярное приложение | Оповещение о новых приложениях, с которыми работает свыше 500 пользователей. |
| Cloud Discovery | Новое опасное приложение | Оповещение о новых приложениях с уровнем риска ниже 6, а также в случаях, если свыше 50 пользователей работают с такими приложениями и объем общего ежедневного трафика превышает 50 МБ. |
| Cloud Discovery | Новое приложение продаж | Оповещение о том, что больше 50 пользователей работает с новыми приложениями продаж, а объем общего ежедневного трафика превышает 50 МБ. |
| Cloud Discovery | Новые приложения системы управления поставщиками | Оповещение о том, что больше 50 пользователей работает с новыми приложениями системы управления поставщиками, а объем общего ежедневного трафика превышает 50 МБ. |
| Защита от потери данных | Исходный код, к которому предоставлен доступ за пределами организации | Оповещение о предоставлении доступа к файлу с исходным кодом лицам, не являющимся сотрудниками вашей организации. |
| Защита от потери данных | В облаке обнаружен файл, содержащий PCI-данные (встроенный механизм защиты от потери данных) | Оповещение при обнаружении файла с информацией карта оплаты (PCI) подсистемой защиты от потери данных (DLP) Microsoft Defender для облака Apps в санкционированном облачном приложении. |
| Защита от потери данных | В облаке обнаружен файл, содержащий медицинскую информацию (встроенная подсистема защиты от потери данных) | Оповещение при обнаружении файла с защищенной информацией о работоспособности (PHI) подсистемой защиты от потери данных (DLP) Microsoft Defender для облака приложений в санкционированном облачном приложении. |
| Защита от потери данных | В облаке обнаружен файл, содержащий конфиденциальную информацию (встроенная подсистема защиты от потери данных) | Оповещение при обнаружении файла с личными данными подсистемой защиты от потери данных (DLP) Microsoft Defender для облака Apps в санкционированном облачном приложении. |
| Обнаружение угроз | Действие администрирования с некорпоративного IP-адреса | Оповещение, если администратор выполняет действие администрирования с IP-адреса, не включенного в диапазон корпоративных IP-адресов. Сначала настройте корпоративные IP-адреса на странице "Параметры" и параметр Диапазоны IP-адресов. |
| Обнаружение угроз | Вход с опасных IP-адресов | Оповещение о входе пользователя в санкционированное приложение с опасного IP-адреса. По умолчанию в категорию опасных IP-адресов входят IP-адреса с тегами "Анонимный прокси-сервер", "TOR" или "Ботнет". Вы можете добавить дополнительные IP-адреса в эту категорию на странице "Параметры диапазонов IP-адресов". |
| Обнаружение угроз | Массовое скачивание одним пользователем | Оповещение о том, что пользователь пытался скачать данные больше 50 раз за 1 минут. |
| Обнаружение угроз | Несколько неудачных попыток входа пользователя в приложение | Оповещение о том, что пользователь пытался войти в приложение больше 10 раз за пять минут, но все попытки завершились неудачей. |
| Обнаружение угроз | Потенциальная активность программы-шантажиста | Оповещение о том, что пользователь отправляет в облако файлы, которые могут быть заражены программой-шантажистом. |
| Управление общим доступом | Предоставлен общий доступ к файлу с личным адресом электронной почты | Оповещение о том, когда файл предоставляется совместно с личным адресом электронной почты пользователя. |
| Управление общим доступом | Доступ к файлу предоставлен неавторизованному домену | Оповещение о предоставлении доступа к файлу неавторизованному домену (например, домену конкурента). |
| Управление общим доступом | Предоставлен общий доступ к цифровым сертификатам (расширения файлов) | Оповещение о предоставлении общего доступа к файлу с цифровыми сертификатами. Этот шаблон используется для управления хранилищем AWS. |
| Управление общим доступом | Общедоступные контейнеры S3 (AWS) | Оповещение о том, что контейнер S3 AWS является общедоступным. |
| Управление общим доступом | Устаревшие файлы, к которым предоставлен доступ за пределами организации | Оповещение о том, что внешние общие файлы не были изменены по крайней мере на 6 месяцев. |
Просмотр полного списка шаблонов политик
Чтобы просмотреть полный список шаблонов политик, на портале Microsoft Defender в разделе "Облачные приложения" перейдите в раздел "Политики -> шаблоны политик". Например:
Следующие шаги
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.