Undersöka risker för molnappar och misstänkt aktivitet

När Microsoft Defender för molnet Apps har körts i din molnmiljö behöver du ett steg för att lära dig och undersöka. Lär dig hur du använder verktygen Microsoft Defender för molnet Apps för att få en djupare förståelse för vad som händer i din molnmiljö. Baserat på din miljö och hur den används kan du identifiera kraven för att skydda din organisation från risker. Den här artikeln beskriver hur du gör en undersökning för att få en bättre förståelse för din molnmiljö.

Tagga appar som sanktionerade eller osanktionerade

Ett viktigt steg för att förstå ditt moln är att lägga till taggar till appar som är sanktionerade eller icke-sanktionerade. När du har sanktionerat en app kan du filtrera appar som inte är sanktionerade och starta migrering till sanktionerade appar av samma typ.

• I Microsoft Defender-portalen går du till cloud app-katalogen eller Cloud discovery –> Identifierade appar under Molnappar.

• Välj de tre punkterna i slutet av raden på den rad där appen du vill tagga som sanktionerad visas i listan över appar och välj Sanktionerad.

  

Använda undersökningsverktyg

1. I Microsoft Defender-portalen går du till aktivitetsloggen och filtrerar efter en specifik app under Molnappar. Kontrollera följande objekt:

   • Vem har åtkomst till molnmiljön?

   • Från vilka IP-intervall?

   • Vad är administratörsaktiviteten?

   • Från vilka platser ansluter administratörerna?

   • Finns det föråldrade enheter som ansluter till molnmiljön?

   • Kommer misslyckade inloggningar från förväntade IP-adresser?

2. I Microsoft Defender-portalen går du till Filer under Molnappar och kontrollerar följande:

   • Hur många filer delas offentligt så att alla kan komma åt dem utan någon länk?

   • Vilka partner delar du filer med (utgående delning)?

   • Har några filer känsliga namn?

   • Finns det filer som delas med någons personliga konto?

3. I Microsoft Defender-portalen går du till Identiteter och kontrollerar följande:

   • Har några konton varit inaktiva i en viss tjänst under en längre tid? Du kanske kan återkalla licensen för användaren till den tjänsten.

   • Vill du veta vilka användare som har en viss roll?

   • Har någon som blivit avskedad fortfarande åtkomst till en app så att han eller hon har möjlighet att stjäla information?

   • Vill du återkalla en användares behörighet till en specifik app eller kräva att en specifik användare använder multifaktorautentisering?

   • Du kan öka detaljnivån för användarens konto genom att välja de tre punkterna i slutet av användarens kontorad och välja en åtgärd att vidta. Vidta en åtgärd, till exempel Pausa användare eller Ta bort användarens samarbeten. Om användaren har importerats från Microsoft Entra-ID kan du också välja Microsoft Entra-kontoinställningar för att få enkel åtkomst till avancerade användarhanteringsfunktioner. Exempel på hanteringsfunktioner är grupphantering, MFA, information om användarens inloggningar och möjligheten att blockera inloggning.

4. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslut ed Apps väljer du Anslutningsverktyg och sedan en app. Appinstrumentpanelen öppnas och du får information. Du kan använda flikarna överst för att kontrollera:

   • Från vilka typer av enheter ansluter användarna till appen?

   • Vilka typer av filer sparar de i molnet?

   • Vilken aktivitet pågår i appen just nu?

   • Finns det appar från tredje part-leverantörer som är anslutna till miljön?

   • Känner du till dessa appar?

   • Har de behörighet för den åtkomstnivå som de är tillåtna för?

   • Hur många användare har distribuerat dem? Hur vanliga är de här apparna?

   

5. I Microsoft Defender-portalen går du till Cloud Discovery under Cloud Apps. Välj fliken Instrumentpanel och markera följande objekt:

   • Vilka molnappar används, i vilken utsträckning och av vilka användare?

   • I vilket syfte används de?

   • Hur mycket data överförs till dessa molnappar?

   • Inom vilka kategorier där du har sanktionerade molnappar använder användarna ändå alternativa lösningar?

   • Finns det appar som du vill ta bort sanktioneringen för i organisationen för den alternativa lösningen?

   • Finns det molnappar som används men inte följer organisationens princip?

Exempel på undersökning

Anta att du antar att du inte har någon åtkomst till din molnmiljö med riskfyllda IP-adresser. Låt oss till exempel säga Tor. Men du skapar ändå en princip för riskfyllda IP-adresser bara för att vara på den säkra sidan:

1. I Microsoft Defender-portalen går du till Principer –> Principmallar under Molnappar.

2. Välj aktivitetsprincipen för typen.

3. I slutet av inloggningen från en riskfylld IP-adressrad väljer du plustecknet (+) för att skapa en ny princip.

4. Ändra principnamnet så att du kan identifiera det.

5. Under Aktiviteter som matchar allt följande väljer du + att lägga till ett filter. Rulla ned till IP-tagg och välj sedan Tor.

   

Nu när du har principen på plats upptäcker du att du har en avisering om att principen har brutits.

1. I Microsoft Defender-portalen går du till Incidenter och aviseringar –> Aviseringar och visar aviseringen om principöverträdelsen.

2. Om du ser att det ser ut som en verklig överträdelse vill du begränsa risken eller åtgärda den.

   Du kan begränsa risken genom att skicka ett meddelande till användaren och fråga om överträdelsen var avsiktlig och om användaren var medveten om överträdelsen.

   Du kan också öka detaljnivån i aviseringen och inaktivera användaren tills du bestämt dig för vad som behöver göras.

3. Om händelsen var tillåten och troligtvis inte kommer att hända igen kan du stänga av aviseringen.

   Om händelsen var tillåten och troligtvis kommer att inträffa igen kan du ändra principen så att den här typen av händelse inte ses som en överträdelse i framtiden.

Nästa steg

• Styra anslutna appar

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.