Cloud Discovery-principerCloud Discovery policies

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

Den här artikeln innehåller en översikt över hur du kommer igång med Cloud App Security för att få insyn i din organisation att skugga den med hjälp av Cloud Discovery.This article provides an overview of how to get started using Cloud App Security to gain visibility across your organization into Shadow IT using Cloud Discovery.

Med Cloud App Security kan du identifiera och analysera molnappar som används i organisationens miljö.Cloud App Security enables you to discover and analyze cloud apps that are in use in your organization's environment. På instrument panelen för Cloud Discovery visas alla molnappar som körs i miljön och de kategoriseras efter funktion och företags beredskap.The Cloud Discovery dashboard shows all the cloud apps running in the environment and categorizes them by function and enterprise readiness. Identifiera tillhör ande användare, IP-adresser, enheter, transaktioner och genomför riskbedömning för varje app utan att behöva installera en agent på dina slut punkts enheter.For each app, discover the associated users, IP addresses, devices, transactions, and conducts risk assessment without needing to install an agent on your endpoint devices.

Identifiera ny användning av hög volym eller wide app Detect new high-volume or wide app use

Identifiera nya appar som används mycket, vad gäller antal användare eller mängd trafik i din organisation.Detect new apps that are highly used, in terms of number of users or amount of traffic in your organization.

FörutsättningarPrerequisites

Konfigurera automatisk logg uppladdning för kontinuerliga Cloud Discovery rapporter, enligt beskrivningen i Konfigurera automatisk logg uppladdning för kontinuerliga rapporter.Configure automatic log upload for continuous Cloud Discovery reports, as described in Configure automatic log upload for continuous reports.

StegSteps

  1. På sidan principer skapar du en ny app Discovery-principOn the Policies page, create a new App discovery policy

  2. I fältet principmall väljer du ny app för hög volym eller ny populär app och använder mallen.In the Policy template field, select New high volume app or New popular app and apply the template.

  3. Anpassa princip filter för att uppfylla organisationens krav.Customize policy filters to meet your organization's requirements.

  4. Konfigurera de åtgärder som ska vidtas när en avisering utlöses.Configure the actions to be take when an alert is triggered.

Anteckning

En avisering genereras en gång för varje ny app som inte har identifierats under de senaste 90 dagarna.An alert is generated once for each new app that was not discovered in the last 90 days.

Identifiera ny riskfylld eller icke-kompatibel app-användningDetect new risky or non-compliant app use

Identifiera potentiell exponering för din organisation i molnappar som inte uppfyller dina säkerhets krav.Detect potential exposure of your organization in cloud apps that do not meet your security standards.

FörutsättningarPrerequisites

Konfigurera automatisk logg uppladdning för kontinuerliga Cloud Discovery rapporter, enligt beskrivningen i Konfigurera automatisk logg uppladdning för kontinuerliga rapporter.Configure automatic log upload for continuous Cloud Discovery reports, as described in Configure automatic log upload for continuous reports.

StegSteps

  1. Skapa en ny app Discovery-princip på sidan principer .On the Policies page, create a new App discovery policy.

  2. I fältet principmall väljer du mallen ny riskfylld app och använder mallen.In the Policy template field, select the New risky app template and apply the template.

  3. Under app som matchar allt av följande anger du skjutreglaget för risk Poäng och risk faktorn för efterlevnad för att anpassa dig är den risk nivå som du vill utlösa en avisering och ange andra princip filter som uppfyller organisationens säkerhets krav.Under App matching all of the following set the Risk Score slider and the Compliance risk factor to customize you are the level of risk you want to trigger an alert, and set the other policy filters to meet your organization's security requirements.

    1. Valfritt: du kan få mer meningsfulla identifieringar genom att anpassa den mängd trafik som ska utlösa en avisering.Optional: To get more meaningful detections, customize the amount of traffic that will trigger an alert.

    2. Markera kryss rutan Utlös en princip matchning om alla följande inträffar i samma dags kryss ruta.Check the Trigger a policy match if all the following occur on the same day checkbox.

    3. Välj daglig trafik som är större än 2000 GB (eller andra).Select Daily traffic greater than 2000 GB (or other).

  4. Konfigurera styrnings åtgärder som ska vidtas när en avisering utlöses.Configure governance actions to be taken when an alert is triggered. Under styrning väljer du tagga app som ej sanktionerad.Under Governance, select Tag app as unsanctioned.
    Åtkomst till appen kommer att blockeras automatiskt när principen matchas.Access to the app will be automatically blocked when the policy is matched.

  5. Valfritt: utnyttja Cloud App Security inbyggd integrering med säkra webbgatewayer för att blockera åtkomst till appar.Optional: Leverage Cloud App Security native integrations with Secure Web Gateways to block app access.

Identifiera användning av ej sanktionerade affärs programDetect use of unsanctioned business apps

Du kan identifiera när dina anställda fortsätter att använda ej sanktionerade appar som ersättning för godkända företags klara appar.You can detect when your employees continue to use unsanctioned apps as a replacement for approved business-ready apps.

FörutsättningarPrerequisites

StegSteps

  1. I Cloud App-katalogen söker du efter dina företags färdiga appar och markerar dem med en anpassad app-tagg.In the Cloud app catalog, search for your business-ready apps and mark them with a custom app tag.

  2. Följ stegen i identifiera ny hög volym eller wide app-användning.Follow the steps in Detect new high volume or wide app usage.

  3. Lägg till ett app tag -filter och välj de app-taggar som du skapade för dina verksamhets klara appar.Add an App tag filter and choose the app tags you created for your business-ready apps.

  4. Konfigurera styrnings åtgärder som ska vidtas när en avisering utlöses.Configure governance actions to be taken when an alert is triggered. Under styrning väljer du tagga app som ej sanktionerad.Under Governance, select Tag app as unsanctioned.
    Åtkomst till appen kommer att blockeras automatiskt när principen matchas.Access to the app will be automatically blocked when the policy is matched.

  5. Valfritt: utnyttja Cloud App Security inbyggd integrering med säkra webbgatewayer för att blockera åtkomst till appar.Optional: Leverage Cloud App Security native integrations with Secure Web Gateways to block app access.

Identifiera ovanliga användnings mönster i nätverketDetect unusual usage patterns on your network

Identifiera avvikande trafik Använd mönster (uppladdning/nedladdningar) i dina molnappar, som kommer från användare eller IP-adresser i din organisations nätverk.Detect anomalous traffic use patterns (uploads/downloads) in your cloud apps, that originate from users or IP addresses inside your organization's network.

FörutsättningarPrerequisites

Konfigurera automatisk logg uppladdning för kontinuerliga Cloud Discovery rapporter, enligt beskrivningen i Konfigurera automatisk logg uppladdning för kontinuerliga rapporter.Configure automatic log upload for continuous Cloud Discovery reports, as described in Configure automatic log upload for continuous reports.

StegSteps

  1. På sidan principer skapar du en ny Cloud Discovery avvikelse identifierings princip.On the Policies page, create a new Cloud Discovery anomaly detection policy.

  2. I fältet principmall väljer du avvikande beteende i identifierade användare eller avvikande beteende i identifierade IP-adresser.In the Policy template field, select Anomalous behavior in discovered users or Anomalous behavior in discovered IP addresses.

  3. Anpassa filtren så att de uppfyller organisationens krav.Customize the filters to meet your organization's requirements.

  4. Om du bara vill få en avisering när det finns avvikelser som rör riskfyllda appar använder du risk Poäng filter och anger i vilket intervall appar anses vara riskfyllda.If you want to be alerted only when there are anomalies involving risky apps, use the Risk score filters and set the range in which apps are considered risky.

  5. Använd skjutreglaget för att välja känslighet för avvikelse identifiering.Use the slider to Select anomaly detection sensitivity.

Anteckning

När kontinuerlig logg uppladdning har upprättats tar det några dagar innan en bas linje (inlärnings period) har upprättats för avvikelse identifierings motorn.After continuous log upload is established, the anomaly detection engine takes a few days until a baseline (learning period), is established for the expected behavior in your organization. När en bas linje har upprättats börjar du få aviseringar baserat på avvikelser från det förväntade trafik beteendet i molnappar som skapats av användare eller från IP-adresser.After a baseline is established, you start receiving alerts based on discrepancies from the expected traffic behavior across cloud apps made by users or from IP addresses.

Identifiera data exfiltrering till ej sanktionerade Storage-apparDetect data exfiltration to unsanctioned storage apps

Identifiera potentiell data exfiltrering av en användare till en ej sanktionerad moln lagrings app.Detect potential data exfiltration by a user to an unsanctioned cloud storage app.

FörutsättningarPrerequisites

Konfigurera automatisk logg uppladdning för kontinuerliga Cloud Discovery rapporter, enligt beskrivningen i Konfigurera automatisk logg uppladdning för kontinuerliga rapporter.Configure automatic log upload for continuous Cloud Discovery reports, as described in Configure automatic log upload for continuous reports.

StegSteps

  1. På sidan principer redigerar du de inbyggda princip data exfiltrering till ej sanktionerade appar.On the Policies page, edit the built-in policy Data exfiltration to unsanctioned apps.

  2. Välj kategorin filter app är lika med moln lagring.Select the filter App category equals Cloud storage.

  3. Markera kryss rutan för att skapa en avisering för varje matchande händelse med principens allvarlighets grad.Select the checkbox to Create an alert for each matching event with the policy's severity.

  4. Konfigurera de åtgärder som ska vidtas när en avisering utlöses.Configure the actions to take when an alert is triggered.

Identifiera riskfyllda OAuth-apparDetect risky OAuth apps

Få insyn och kontroll över OAuth-appar som installeras i appar som Google-arbetsyta, Office 365 och Salesforce.Get visibility and control over OAuth apps that are installed inside apps like Google Workspace, Office 365, and Salesforce. OAuth-appar som begär hög behörighet och som har sällsynt grupp användning kan anses vara riskfyllda.OAuth apps that request high permissions and have rare community use might be considered risky.

FörutsättningarPrerequisites

Du måste ha Google-arbetsytan, Office 365 eller Salesforce-appen ansluten med app Connectors.You must have the Google Workspace, Office 365, or Salesforce app connected using app connectors.

StegSteps

  1. Skapa en ny princip för OAuth-app på sidan principer .On the Policies page, create a new OAuth app policy.

  2. Välj filter appen och ange appen som principen ska gälla, Google-arbetsyta, Office 365 eller Salesforce.Select the filter App and set the app the policy should cover, Google Workspace, Office 365, or Salesforce.

  3. Välj behörighets nivå filter är lika med hög (tillgängligt för Google-arbetsytan och Office 365).Select Permission level filter equals High (available for Google Workspace and Office 365).

  4. Lägg till filtret grupp användning är lika med sällsynt.Add the filter Community use equals Rare.

  5. Konfigurera de åtgärder som ska vidtas när en avisering utlöses.Configure the actions to take when an alert is triggered. För Office 365 kan du till exempel kontrol lera återkalla app för OAuth-appar som identifieras av principen.For example, for Office 365, check Revoke app for OAuth apps detected by the policy.

Anteckning

Stöds för Google Workspace, Office 365 och Salesforce App Store.Supported for Google Workspace, Office 365, and Salesforce app stores.

Nästa stegNext steps

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.