Cloud Discovery-principer
Den här artikeln innehåller en översikt över hur du kommer igång med Defender för molnet-appar för att få insyn i skugg-IT i organisationen med Hjälp av Cloud Discovery.
Defender för molnet Apps kan du identifiera och analysera molnappar som används i din organisations miljö. Cloud Discovery-instrumentpanelen visar alla molnappar som körs i miljön och kategoriserar dem efter funktions- och företagsberedskap. För varje app identifierar du associerade användare, IP-adresser, enheter, transaktioner och utför riskbedömning utan att behöva installera en agent på dina slutpunktsenheter.
Identifiera ny användning av hög volym eller bred app
Identifiera nya appar som används mycket, när det gäller antalet användare eller mängden trafik i din organisation.
Förutsättningar
Konfigurera automatisk logguppladdning för kontinuerliga Cloud Discovery-rapporter enligt beskrivningen i Konfigurera automatisk logguppladdning för kontinuerliga rapporter eller aktivera Defender för molnet Apps-integrering med Defender för Endpoint, enligt beskrivningen i Integrera Microsoft Defender för Endpoint med Defender för molnet Apps.
Steg
I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Skapa en ny appidentifieringsprincip.
I fältet Principmall väljer du Ny högvolymapp eller Ny populär app och tillämpar mallen.
Anpassa principfilter för att uppfylla organisationens krav.
Konfigurera de åtgärder som ska vidtas när en avisering utlöses.
Kommentar
En avisering genereras en gång för varje ny app som inte har identifierats under de senaste 90 dagarna.
Identifiera ny riskfylld eller icke-kompatibel appanvändning
Identifiera potentiell exponering av din organisation i molnappar som inte uppfyller dina säkerhetsstandarder.
Förutsättningar
Konfigurera automatisk logguppladdning för kontinuerliga Cloud Discovery-rapporter enligt beskrivningen i Konfigurera automatisk logguppladdning för kontinuerliga rapporter eller aktivera Defender för molnet Apps-integrering med Defender för Endpoint, enligt beskrivningen i Integrera Microsoft Defender för Endpoint med Defender för molnet Apps.
Steg
I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Skapa en ny appidentifieringsprincip.
I fältet Principmall väljer du mallen Ny riskfylld app och tillämpar mallen.
Under App som matchar alla följande anger du skjutreglaget Riskpoäng och riskfaktorn Efterlevnad för att anpassa den risknivå som du vill utlösa en avisering och ange de andra principfiltren så att de uppfyller organisationens säkerhetskrav.
Valfritt: Om du vill få mer meningsfulla identifieringar anpassar du mängden trafik som utlöser en avisering.
Markera kryssrutan Utlösa en principmatchning om alla följande inträffar samma dag .
Välj Daglig trafik som är större än 2 000 GB (eller annan).
Konfigurera styrningsåtgärder som ska vidtas när en avisering utlöses. Under Styrning väljer du Tagga appen som osanktionerad.
Åtkomst till appen blockeras automatiskt när principen matchas.Valfritt: Använd inbyggda Defender för molnet Apps-integreringar med säkra webbgatewayer för att blockera appåtkomst.
Identifiera användning av icke-sanktionerade affärsappar
Du kan identifiera när dina anställda fortsätter att använda icke-sanktionerade appar som ersättning för godkända företagsklara appar.
Förutsättningar
- Konfigurera automatisk logguppladdning för kontinuerliga Cloud Discovery-rapporter enligt beskrivningen i Konfigurera automatisk logguppladdning för kontinuerliga rapporter eller aktivera Defender för molnet Apps-integrering med Defender för Endpoint, enligt beskrivningen i Integrera Microsoft Defender för Endpoint med Defender för molnet Apps.
Steg
I molnappkatalogen söker du efter dina företagsklara appar och markerar dem med en anpassad apptagg.
Följ stegen i Identifiera ny hög volym eller bred appanvändning.
Lägg till ett filter för apptagg och välj de apptaggar som du skapade för dina företagsklara appar.
Konfigurera styrningsåtgärder som ska vidtas när en avisering utlöses. Under Styrning väljer du Tagga appen som osanktionerad.
Åtkomst till appen blockeras automatiskt när principen matchas.Valfritt: Använd inbyggda Defender för molnet Apps-integreringar med säkra webbgatewayer för att blockera appåtkomst.
Identifiera ovanliga användningsmönster i nätverket
Identifiera avvikande trafikanvändningsmönster (uppladdningar/nedladdningar) i dina molnappar, som kommer från användare eller IP-adresser i organisationens nätverk.
Förutsättningar
Konfigurera automatisk logguppladdning för kontinuerliga Cloud Discovery-rapporter enligt beskrivningen i Konfigurera automatisk logguppladdning för kontinuerliga rapporter eller aktivera Defender för molnet Apps-integrering med Defender för Endpoint, enligt beskrivningen i Integrera Microsoft Defender för Endpoint med Defender för molnet Apps.
Steg
I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Skapa en ny princip för avvikelseidentifiering i Cloud Discovery.
I fältet Principmall väljer du Avvikande beteende hos identifierade användare eller Avvikande beteende i identifierade IP-adresser.
Anpassa filtren så att de uppfyller organisationens krav.
Om du bara vill få aviseringar när det finns avvikelser som rör riskfyllda appar använder du filter för riskpoäng och anger i vilket intervall appar anses vara riskfyllda.
Använd skjutreglaget för att välja känslighet för avvikelseidentifiering.
Kommentar
När kontinuerlig logguppladdning har upprättats tar avvikelseidentifieringsmotorn några dagar tills en baslinje (inlärningsperiod) har upprättats för det förväntade beteendet i din organisation. När en baslinje har upprättats börjar du ta emot aviseringar baserat på avvikelser från det förväntade trafikbeteendet i molnappar som görs av användare eller från IP-adresser.
Identifiera avvikande molnidentifieringsbeteende i lagringsappar som inte är sanktionerade
Identifiera avvikande beteende av en användare i en molnlagringsapp som inte är sanktionerad.
Förutsättningar
Konfigurera automatisk logguppladdning för kontinuerliga Cloud Discovery-rapporter enligt beskrivningen i Konfigurera automatisk logguppladdning för kontinuerliga rapporter eller aktivera Defender för molnet Apps-integrering med Defender för Endpoint, enligt beskrivningen i Integrera Microsoft Defender för Endpoint med Defender för molnet Apps.
Steg
I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Skapa en ny princip för avvikelseidentifiering i Cloud Discovery.
Välj filtret Appkategori är lika med Molnlagring.
Välj filtret Apptaggen är inte lika med Sanktionerad.
Markera kryssrutan för att skapa en avisering för varje matchande händelse med principens allvarlighetsgrad.
Konfigurera de åtgärder som ska utföras när en avisering utlöses.
Identifiera riskfyllda OAuth-appar
Få insyn och kontroll över OAuth-appar som är installerade i appar som Google Workspace, Microsoft 365 och Salesforce. OAuth-appar som begär höga behörigheter och har sällsynt communityanvändning kan betraktas som riskfyllda.
Förutsättningar
Du måste ha appen Google Workspace, Microsoft 365 eller Salesforce ansluten med appanslutningsprogram.
Steg
-
- I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Skapa en ny OAuth-appprincip.
Välj filtret App och ange den app som principen ska omfatta, Google Workspace, Microsoft 365 eller Salesforce.
Välj filtret Behörighetsnivå är lika med Hög (tillgängligt för Google Workspace och Microsoft 365).
Lägg till filtret Community use är lika med Rare.
Konfigurera de åtgärder som ska utföras när en avisering utlöses. För Microsoft 365 kontrollerar du till exempel Återkalla app för OAuth-appar som identifierats av principen.
Kommentar
Stöds för Google Workspace-, Microsoft 365- och Salesforce-appbutiker.
Nästa steg
Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.