在应用治理中创建应用策略

  • 项目

除了一组内置的功能来检测异常应用行为并根据机器学习算法生成警报外,应用治理中的策略可让你:

  • 指定在哪些条件下让应用治理提醒你自动或手动修正应用行为。

  • 为组织强制实施应用合规策略。

使用应用治理,为连接到 Microsoft Entra ID、Google Workspace 和 Salesforce 的应用创建 OAuth 策略。


为 Microsoft Entra ID 创建 OAuth 应用策略

对于连接到 Microsoft Entra ID 的应用,请根据提供的模板创建可自定义的应用策略,或创建你自己的自定义应用策略。

  1. 若要为 Azure AD 应用创建新的应用策略,请转到 "Microsoft Defender XDR" >“应用治理”>“策略”> "Azure AD"

    例如:

    Screenshot of the Azure AD tab.

  2. 选择“创建新策略”选项,然后执行以下步骤之一:

    • 若要从模板创建新的应用策略,请选择相关模板类别,然后选择该类别中的模板。
    • 若要创建自定义策略,请选择“自定义”类别。

    例如:

    Screenshot of a Choose a policy template page.

应用策略模板

若要基于应用策略模板创建新的应用策略,请在“选择应用策略模板”页面上,选择应用模板的类别,选择模板的名称,然后选择“下一步”

以下部分介绍应用策略模板类别。

使用情况

下表列出了支持生成应用使用情况警报的应用治理模板。

模板名称 说明
具有高数据使用量的新应用 使用图形 API 查找已上传或已下载大量数据的新注册应用。 此策略会检查以下条件:

  • 注册年龄:七天或更少(可自定义)
  • 数据使用量:一天内大于 1 GB(可自定义)
    		•
    用户数增加 查找用户数量明显增加的应用。 此策略会检查以下条件:

  • 时间范围:过去 90 天
  • 同意用户增加:至少 50% (可自定义)
    		•

    权限

    下表列出了支持生成应用权限警报的应用治理模板。

    模板名称 说明
    特权过高的应用 查找具有未使用的图形 API 权限的应用。 这些应用已被授予正常使用可能不需要的权限。
    新的高特权应用 查找已被授予写权限和其他强大的图形 API 权限的新注册应用。 此策略会检查以下条件:

  • 注册年龄:七天或更少(可自定义)
    		•
    具有非图形 API 权限的新应用 查找具有非图形 API 权限的新注册应用。 如果它们访问的 API 得到有限的支持和更新,这些应用可能会让你面临风险。
    此策略会检查以下条件:

  • 注册年龄:七天或更少(可自定义)
  • 非图形 API 权限:是
    		•

    认证

    下表列出了支持生成 Microsoft 365 认证警报的应用治理模板。

    模板名称 说明
    新的未认证应用 查找没有发布者证明或 Microsoft 365 认证的新注册应用。 此策略会检查以下条件:

  • 注册年龄:七天或更少(可自定义)
  • 认证:无认证(可自定义)
    		•

    自定义策略

    需要执行内置模板之一尚未执行的操作时,请使用自定义应用策略。

    1. 若要创建新的自定义应用策略,请先在“策略”页面上选择“创建新策略”。 在“选择应用策略模板”页面上,选择“自定义”类别、“自定义策略模板”,然后选择“下一步”

    2. 在“名称和说明”页面上,配置下列内容:

      • 策略名称
      • 策略说明
      • 选择策略严重性,设置此策略生成的警报的严重性。
        • 中等

    3. 在“选择策略设置和条件”页面上,针对“选择此策略适用的应用”,选择:

      • 所有应用
      • 选择特定应用
      • 所有应用,除了

    4. 如果选择特定应用或除此策略以外的所有应用,请选择“添加应用”,然后从列表中选择所需的应用。 在“选择应用”窗格中,可以选择此策略应用到的多个应用,然后选择“添加”。 若对列表满意,则选择“下一步”

    5. 选择“编辑条件”。 选择“添加条件”,然后从列表中选择条件。 为所选条件设置所需的阈值。 重复以添加更多条件。 选择“保存”以保存规则,接着在完成添加规则后,选择“下一步”

      注意

      某些策略条件仅适用于访问图形 API 权限的应用。 评估仅访问非图形 API 的应用时,应用治理将跳过这些策略条件,并继续仅检查其他策略条件。

    6. 自定义应用策略的可用条件如下:

      条件 接受的条件值 说明 更多信息
      注册年龄 在过去 X 天内 从当前日期起的指定时间段内注册到 Microsoft Entra ID 的应用
      认证 无认证、发布者证明,Microsoft 365 认证 经过 Microsoft 365 认证、具有发布者证明报告或两者都没有的应用 Microsoft 365 认证
      已验证的发布者 是或否 已验证发布者的应用 发布者验证
      应用程序权限(仅限图形) 从列表中选择一个或多个 API 权限 具有直接授予的特定图形 API 权限的应用 Microsoft Graph 权限参考
      委托的权限(仅限图形) 从列表中选择一个或多个 API 权限 具有用户授予的特定图形 API 权限的应用 Microsoft Graph 权限参考
      高度特权(仅限图形) 是或否 具有相对强大的图形 API 权限的应用 基于 Defender for Cloud Apps 使用的相同逻辑的内部指定。
      特权过高(仅限图形) 是或否 具有未使用的图形 API 权限的应用 授予的权限多于这些应用使用的权限的应用。
      非图形 API 权限 是或否 具有非图形 API 权限的应用。 如果它们访问的 API 得到有限的支持和更新,这些应用可能会让你面临风险。
      数据使用量(仅限图形) 每天下载和上传的数据大于 X GB 使用图形 API 读取和写入的数据量超过指定数据量的应用
      数据使用量趋势(仅限图形) 与前一天相比,数据使用量增加 X% 与前一天相比,使用图形 API 读取和写入数据的应用增加的指定百分比
      API 访问(仅限图形) 每天的 API 调用数大于 X 一天内进行超过指定数量的图形 API 调用的应用
      API 访问趋势(仅限图形) 与前一天相比,API 调用的增加 X% 与前一天相比,使用图形 API 调用的数量的应用增加的指定百分比
      同意用户数 (大于或小于)X 个同意的用户 已获得同意的应用数大于或少于指定的用户数
      同意用户数增加 过去 90 天内用户数量增加 X% 在过去 90 天内,同意用户数已超过指定百分比的应用
      给定的优先级帐户同意 是或否 已由优先用户授予同意的应用 具有优先级帐户的用户。
      同意用户的名称 从列表中选择用户 已获得特定用户同意的应用
      同意用户的角色 从列表中选择角色 已获得特定角色的用户同意的应用 允许多选。

      任何具有已分配成员的 Microsoft Entra 角色均应在此列表中提供。
      访问内容的敏感度标签 从列表中选择一个或多个敏感度标签 在过去 30 天内使用特定敏感度标签访问数据的应用。
      访问的服务(仅限图形) Exchange 和/或 OneDrive 和/或 SharePoint 和/或 Teams 使用图形 API 访问 OneDrive、SharePoint 或 Exchange Online 的应用 允许多选。
      错误率(仅限图形) 过去七天内错误率大于 X% 过去 7 天内图形 API 错误率大于指定百分比的应用

      必须满足此应用策略生成警报的所有指定条件。

    7. 指定条件后,选择“保存”,然后选择“下一步”

    8. 在“定义策略操作”页面上,如果希望应用治理在生成基于此策略的警报时禁用应用,则请选择“禁用应用”,然后选择“下一步”。 应用操作时应小心谨慎,因为策略可能会影响用户和合法的应用使用。

    9. 在 “定义策略状态”页面上,选择以下选项之一:

      • “审核模式”:会评估策略,但不会执行配置操作。 审核模式策略在策略列表中显示为“审核”状态。 应使用审核模式测试新策略。
      • “活动”:会评估策略并执行配置操作。
      • “非活动”:不会评估策略,也不会执行配置操作。

    10. 仔细查看自定义策略的所有参数。 满足条件后,选择“提交”。 还可以通过选择任意设置下的“编辑”,返回和更改设置。

    测试和监视新应用策略

    创建应用策略后,应在“策略”页面上对其进行监视,以确保它在测试期间注册预期的活动警报数和警报总数。

    Screenshot of the app governance policies summary page in Microsoft Defender XDR, with a highlighted policy.

    如果警报数量异常低,请编辑应用策略的设置,以确保在设置其状态之前正确配置警报。

    以下是一个用于创建新策略、测试并使其处于活动状态的过程示例:

    1. 创建严重性、应用、条件和操作设置为初始值的新策略,并将状态设置为“审核模式”
    2. 检查预期行为,例如生成的警报。
    3. 如果不需要该行为,请根据需要编辑策略应用、条件和操作设置,并返回到步骤 2。
    4. 如果是预期行为,则编辑策略并将其状态更改为“活动”

    例如,以下流程图显示了所涉及的步骤:

    Diagram of the create app policy workflow.

    为连接到 Salesforce 和 Google Workspace 的 OAuth 应用创建新策略

    OAuth 应用的策略仅会针对由租户中的用户授权的策略触发警报。

    若要为 Salesforce、Google 和其他应用创建新的应用策略:

    1. 转到 "Microsoft Defender XDR" >“应用治理”>“策略”>“其他应用”。 例如:

      Other apps-policy creation

    2. 根据需要筛选应用。 例如,可以查看请求修改邮箱中日历权限的所有应用。

      提示

      使用“社区使用”筛选器来获取有关允许此应用的权限是常见、不常见还是罕见的信息。 如果拥有罕见应用,而此应用请求具有高严重级别的权限或向许多用户请求权限,此筛选器将非常有用。

    3. 你可能想要根据对应用授权的用户的组成员身份来设置策略。 例如,管理员可以决定设置以下策略:在不常见的应用请求高权限时撤销这些应用,但前提是授予权限的用户是管理员组的成员。

    例如:

    new OAuth app policy.

    连接到 Salesforce 和 Google Workspace 的 OAuth 应用的异常情况检测策略

    除了可创建的 OAuth 应用策略之外,Defender for Cloud 应用还提供现成的异常情况检测策略用于分析 OAuth 应用的元数据,以识别潜在的恶意应用。

    本部分仅与 Salesforce 和 Google Workspace 应用程序相关。

    注意

    异常情况检测策略仅适用于已在Microsoft Entra ID 中经过授权的 OAuth 应用。 OAuth 应用异常情况检测策略的严重性无法修改。

    下表描述了 Defender for Cloud Apps 提供的现用异常情况检测策略:

    策略 说明
    误导性 OAuth 应用名称 扫描连接到环境的 OAuth 应用,并在检测到具有误导性名称的应用时触发警报。 误导性名称(如类似于拉丁文字母的外来字母)可能表明在试图将恶意应用伪装成已知的受信任应用。
    OAuth 应用的误导性发布者名称 扫描连接到环境的 OAuth 应用,并在检测到具有误导性发布者名称的应用时触发警报。 误导性发布者名称(如类似于拉丁文字母的外来字母)可能表明在试图将恶意应用伪装成来自已知的受信任发布者的应用。
    恶意 OAuth 应用许可 扫描连接到环境的 OAuth 应用,并在授权潜在恶意应用时触发警报。 恶意 OAuth 应用可用于在网络钓鱼活动中尝试入侵用户。 此检测利用 Microsoft 安全研究和威胁情报专业知识来识别恶意应用。
    可疑的 OAuth 应用文件下载活动 有关详细信息,请参阅异常情况检测策略

    后续步骤

    管理应用策略