調查雲端應用程式風險和可疑活動

  • 發行項

適用於雲端的 Microsoft Defender 應用程式在雲端環境中執行之後,您將需要一個階段的學習和調查。 瞭解如何使用 適用於雲端的 Microsoft Defender Apps 工具,更深入瞭解雲端環境中發生的情況。 根據特定的環境及其使用狀況,您可以找出必要需求,保護貴組織免於風險威脅。 本文描述如何深入調查,以更了解您的雲端環境。

將應用程式標記為獲批准或未經批准

若要了解您的雲端,其中一項重要步驟就是將應用程式標記為「獲批准」或「待批准」。 批准應用程式之後,您就可以篩選未批准的應用程式,開始移轉同類型的已批准應用程式。

  • 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [雲端應用程式目錄] 或 [雲端探索 - >探索的應用程式]。

  • 在應用程式清單中,在您要標記為已批准之應用程式的數據列上,選擇數據列 Tag as sanctioned dots. 結尾的三個點,然後選擇 [ 已獲批准]。

    Tag as sanctioned.

使用調查工具

  1. 在 Microsoft Defender 入口網站的 Cloud Apps,移至 [活動記錄],並依特定應用程式進行篩選。 檢查下列項目:

    • 誰在存取您的雲端環境?

    • 從什麼 IP 範圍?

    • 什麼是管理員活動?

    • 管理員從哪些位置連線?

    • 是否有任何過時的裝置連接至雲端環境?

    • 失敗的登入是否來自預期的 IP 位址?

  2. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,移至 [檔案],並檢查下列專案:

    • 有多少檔案公開共用,以便任何人都可以不用連結即可存取它們?

    • 您與哪些夥伴共用檔案 (連出共用)?

    • 有任何檔案具機密名稱嗎?

    • 是否有任何檔案以某人的個人帳戶共用?

  3. 在 Microsoft Defender 入口網站中,移至 [ 身分識別],並檢查下列專案:

    • 是否有任何帳戶在特定服務中長時間處於非使用狀態? 也許您可以撤銷該使用者的該項服務授權。

    • 您想要知道哪些使用者有特定角色嗎?

    • 是否有解聘人員仍可存取應用程式,並可利用該存取來竊取資訊?

    • 您要撤銷使用者的特定應用程式權限,或需要特定使用者使用多重要素驗證嗎?

    • 您可以選取使用者帳戶數據列結尾的三個點,然後選取要採取的動作,向下切入至使用者帳戶的帳戶。 採取 [暫時停止使用者的權限] 或 [移除使用者的共同作業] 等動作。 如果使用者是從 Microsoft Entra ID 匯入的,您也可以選取 [Microsoft Entra 帳戶設定 ],以輕鬆存取進階使用者管理功能。 管理功能範例包括群組管理、MFA、使用者登入的詳細資料,以及封鎖登入的能力。

  4. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [連線 應用程式] 底下,選取 [應用程式連線程式],然後選取應用程式。 應用程式儀表板隨即開啟,並提供資訊及深入見解。 您可以使用上方的索引標籤來檢查︰

    • 您的使用者使用何種裝置連接到應用程式?

    • 它們在雲端中儲存何種類型的檔案?

    • 應用程式現在進行何種活動?

    • 您的環境是否有任何連接的協力廠商應用程式?

    • 您熟悉這些應用程式嗎?

    • 它們有權存取允許的層級嗎?

    • 有多少使用者部署了它們? 這些應用程式有多平常?

    App dashboard.

  5. 在 Microsoft Defender 入口網站的 Cloud Apps 下,移至 Cloud Discovery 選取 [ 儀錶板] 索引標籤,並檢查下列專案:

    • 目前使用哪些雲端應用程式?到什麼程度?使用者為誰?

    • 使用目的為何?

    • 有多少資料上傳到這些雲端應用程式?

    • 您批准了哪些雲端應用程式類別?是否有使用者使用替代方案?

    • 關於替代方案,貴組織是否有您不想批准的雲端應用程式?

    • 是否有使用但不符合您組織原則的雲端應用程式?

調查範例

假設您無權從具風險的 IP 位址存取您的雲端環境。 例如 Tor。 但您要建立風險 IP 的原則,以確定︰

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,移至 [原則 -> 原則範本]。

  2. 針對 [類型] 選擇 [活動原則]

  3. 在 [從具風險 IP 位址登入] 資料列的結尾處,選擇加號 (+) 建立新的原則。

  4. 變更原則名稱以便識別。

  5. 在 [Activities matching all of the following] \(符合下列所有條件的活動\) 下,選擇 + 新增篩選條件。 向下捲動到 [IP 標籤],然後選擇 Tor

    Example policy for risky IPs.

現在您已備妥原則,您會發現您有違反原則的警示。

  1. 在 Microsoft Defender 入口網站中,移至 [事件和警示 -> 警示 ],並檢視原則違規的相關警示。

  2. 如果您發現它看起來像真正的違規,您會要遏制風險或修復它。

    若要包含風險,您可以通知使用者,詢問是否故意違規,以及使用者是否知情。

    您也可以向下切入至警示並暫停使用者,直到您找出需要完成的事項。

  3. 如果是允許但不一定重複發生的事件,您可以關閉警示。

    若為受允許且預期會重複發生的事件,您可以變更原則,讓此類型事件日後不會視為違規。

下一步

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證