威脅保護原則

  • 發行項

適用於雲端的 Defender Apps 可讓您識別高風險的使用和雲端安全性問題、偵測異常的用戶行為,以及防止獲批准的雲端應用程式中的威脅。 瞭解使用者和系統管理員活動,並定義原則,以在偵測到您認為有風險的可疑行為或特定活動時自動發出警示。 從大量的 Microsoft 威脅情報和安全性研究數據中抽出,以協助確保您的獲批准的應用程式擁有您所需的所有安全性控制措施,並協助您維持對其的控制。

注意

將 適用於雲端的 Defender Apps 與 適用於身分識別的 Microsoft Defender 整合時,適用於身分識別的 Defender 原則也會出現在原則頁面上。 如需適用於身分識別原則的 Defender 清單,請參閱 安全性警示

從不熟悉的位置偵測和控制用戶活動

自動偵測組織中其他人從未造訪過不熟悉位置的使用者存取或活動。

必要條件

您必須至少有一個應用程式使用應用程式連接器連線,或使用條件式存取應用程控搭配會話控件進行上線

步驟

此偵測會自動設定現成現成,以在有新位置存取權時發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請參閱異常偵測原則

依不可能的位置偵測遭入侵的帳戶(不可能的旅行)

從 2 個不同位置自動偵測使用者存取或活動的時間,比兩者之間移動所需的時間短。

必要條件

您必須至少有一個應用程式使用應用程式連接器連線,或使用條件式存取應用程控搭配會話控件進行上線

步驟

  1. 此偵測會自動設定現成現成,以在無法從不可能的位置存取時發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請參閱異常偵測原則

  2. 選擇性:您可以 自定義異常偵測原則

    • 在使用者和群組方面自定義偵測範圍

    • 選擇要考慮的登入類型

    • 設定警示的敏感度喜好設定

  3. 建立異常偵測原則。

從「休假」員工偵測可疑的活動

偵測使用者何時在未付假,且不應在任何組織資源上作用中,正在存取您組織的任何雲端資源。

必要條件

  • 您必須至少有一個使用 應用程式連接器連線的應用程式。

  • 在未付休假時,為使用者建立 Microsoft Entra 識別碼中的安全組,並新增您想要監視的所有使用者。

步驟

  1. 在 [ 使用者群組] 畫面上,選取 [ 建立使用者群組 ],然後匯入相關的 Microsoft Entra 群組。

  2. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [原則 -> 原則管理]。 建立新的 活動原則

  3. 設定篩選 [使用者群組 ] 等於您在 Microsoft Entra ID 中為未付休假使用者建立的使用者群組名稱。

  4. 選擇性:設定 偵測到違規時要對檔案採取的治理 動作。 可用的治理動作會因服務而異。 您可以選擇 [ 暫停使用者]。

  5. 建立檔案原則。

使用過期的瀏覽器 OS 時偵測並通知

偵測使用者何時使用瀏覽器搭配過時的用戶端版本,這可能會對貴組織造成合規性或安全性風險。

必要條件

您必須至少有一個應用程式使用應用程式連接器連線,或使用條件式存取應用程控搭配會話控件進行上線

步驟

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [原則 -> 原則管理]。 建立新的 活動原則

  2. 將篩選 [使用者代理程序標籤 ] 設定為 [ 過期瀏覽器 ] 和 [過期的作業系統]。

  3. 設定偵測到違規時,要對檔案採取的治理動作。 可用的治理動作會因服務而異。 在 [所有應用程式] 底下,選取 [通知使用者],讓使用者可以在警示上採取行動,並更新必要的元件。

  4. 建立活動原則。

在有風險的IP位址上偵測到 管理員活動時偵測併發出警示

偵測從 執行的系統管理員活動,以及被視為具風險 IP 位址的IP位址,並通知系統管理員進一步調查或設定系統管理員帳戶的治理動作。

必要條件

  • 您必須至少有一個使用 應用程式連接器連線的應用程式。

  • 從 設定 齒輪中,選取 [IP 位址範圍],然後選取 [+] 以新增內部子網及其輸出公用 IP 位址的 IP 位址範圍。 將 [ 類別 ] 設定為 [內部]。

步驟

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [原則 -> 原則管理]。 建立新的 活動原則

  2. 將 [動作] 設定[單一活動]。

  3. 將篩選 IP 位址 設定為 [類別 ] 等於 [風險]

  4. 將篩選 管理員 istrative 活動設定為 True

  5. 設定偵測到違規時,要對檔案採取的治理動作。 可用的治理動作會因服務而異。 在 [所有應用程式] 底下,選取 [ 通知使用者],讓使用者可以在警示上採取行動,並更新必要的元件 CC 使用者管理員

  6. 建立活動原則。

從外部IP位址偵測服務帳戶的活動

偵測源自非內部IP位址的服務帳戶活動。 這可能表示可疑的行為或遭入侵的帳戶。

必要條件

  • 您必須至少有一個使用 應用程式連接器連線的應用程式。

  • 從 設定 齒輪中,選取 [IP 位址範圍],然後選取 [+] 以新增內部子網及其輸出公用 IP 位址的 IP 位址範圍。 將 [ 類別 ] 設定為 [內部]。

  • 將環境中服務帳戶的命名慣例標準化,例如,將所有帳戶名稱設定為以 「svc」 開頭。

步驟

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [原則 -> 原則管理]。 建立新的 活動原則

  2. 將篩選 [使用者 ] 設定為 [名稱 ],然後 以 開頭 ,然後輸入您的命名慣例,例如 svc。

  3. 將篩選 IP 位址設定為 [類別] 不等於 [其他] 和 [公司]。

  4. 設定偵測到違規時,要對檔案採取的治理動作。 可用的治理動作會因服務而異。

  5. 建立原則。

偵測大量下載 (資料外流)

偵測特定用戶在短時間內存取或下載大量檔案的時間。

必要條件

您必須至少有一個應用程式使用應用程式連接器連線,或使用條件式存取應用程控搭配會話控件進行上線

步驟

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [原則 -> 原則管理]。 建立新的 活動原則

  2. 將篩選 IP 位址 設定為 Tag 不等於 Microsoft Azure。 這會排除非互動式裝置型活動。

  3. 將篩選 [活動類型 ] 設定為 等於,然後選取所有相關的下載活動。

  4. 設定偵測到違規時,要對檔案採取的治理動作。 可用的治理動作會因服務而異。

  5. 建立原則。

偵測潛在的勒索軟體活動

自動偵測潛在的勒索軟體活動。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

  1. 此偵測會自動設定現成可用的偵測,以在偵測到潛在的勒索軟體風險時發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請參閱異常偵測原則

  2. 您可以設定 偵測的範圍 ,並自定義觸發警示時要採取的治理動作。 如需 適用於雲端的 Defender 應用程式如何識別勒索軟體的詳細資訊,請參閱保護貴組織免於勒索軟體

注意

這適用於 Microsoft 365、Google Workspace、Box 和 Dropbox。

偵測雲端中的惡意代碼

使用 microsoft 威脅情報引擎的 適用於雲端的 Defender Apps 整合,偵測雲端環境中含有惡意代碼的檔案。

必要條件

  • 針對 Microsoft 365 惡意代碼偵測,您必須擁有適用於 Microsoft 365 P1 的 Microsoft Defender 的有效授權。
  • 您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

  • 當有可能包含惡意代碼的檔案時,此偵測會自動設定現成可用的警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請參閱異常偵測原則

偵測流氓系統管理員接管

偵測可能表示惡意意圖的重複系統管理活動。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [原則 -> 原則管理]。 建立新的 活動原則

  2. 將 [動作] 設定為 [重複活動],並自定義 [最小重複活動],並設定時間範圍以符合貴組織的原則。

  3. 將 [使用者] 篩選設定為 [從群組] 等於 ,然後只選取所有相關管理員群組作為 [動作專案]。

  4. 設定篩選 [活動類型 ] 等於與密碼更新、變更和重設相關的所有活動。

  5. 設定偵測到違規時,要對檔案採取的治理動作。 可用的治理動作會因服務而異。

  6. 建立原則。

偵測可疑的收件匣操作規則

如果在使用者的收件匣上設定了可疑的收件匣規則,它可能會指出用戶帳戶遭到入侵,而且信箱正用來在組織中散佈垃圾郵件和惡意代碼。

必要條件

  • 使用 Microsoft Exchange 進行電子郵件。

步驟

  • 當有可疑的收件匣規則集時,此偵測會自動設定現成可用的警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請參閱異常偵測原則

偵測洩漏的認證

當網路罪犯入侵合法使用者的有效密碼時,他們通常會共用這些認證。 這通常是通過公開張貼在黑暗網站上或貼上網站或交易或銷售黑市認證來完成的。

適用於雲端的 Defender Apps 利用 Microsoft 的威脅情報,將這類認證與組織內所使用的認證相符。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

此偵測會自動設定現成現成,以在偵測到可能的認證外泄時發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請參閱異常偵測原則

偵測異常檔案下載

偵測使用者何時在單一會話中執行多個檔案下載活動,相對於所學習的基準。 這可能表示嘗試的缺口。

必要條件

您必須至少有一個應用程式使用應用程式連接器連線,或使用條件式存取應用程控搭配會話控件進行上線

步驟

  1. 此偵測會自動設定現成現成,以在發生異常下載時發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請參閱異常偵測原則

  2. 您可以設定偵測的範圍,並自定義觸發警示時要採取的動作。

偵測用戶的異常檔案共用

偵測使用者何時在單一會話中執行多個檔案共享活動,而基準學習到,這可能表示嘗試入侵。

必要條件

您必須至少有一個應用程式使用應用程式連接器連線,或使用條件式存取應用程控搭配會話控件進行上線

步驟

  1. 此偵測會自動設定現成現成,以在使用者執行多個檔案共享時發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請參閱異常偵測原則

  2. 您可以設定偵測的範圍,並自定義觸發警示時要採取的動作。

從不常的國家/地區偵測異常活動

從最近或從未由使用者或貴組織中任何用戶流覽的位置偵測活動。

必要條件

您必須至少有一個應用程式使用應用程式連接器連線,或使用條件式存取應用程控搭配會話控件進行上線

步驟

  1. 此偵測會自動設定現成現成,以在異常活動從不頻繁的國家/地區發生時發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請參閱異常偵測原則

  2. 您可以設定偵測的範圍,並自定義觸發警示時要採取的動作。

注意

偵測異常位置需要 7 天的初始學習期間。 在學習期間,適用於雲端的 Defender 應用程式不會產生新位置的警示。

偵測終止使用者所執行的活動

偵測已不再是貴組織員工的使用者在獲批准的應用程式中執行活動的時間。 這可能表示終止員工仍可存取公司資源的惡意活動。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

  1. 此偵測會自動設定現成現成,以在終止員工執行活動時發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請參閱異常偵測原則

  2. 您可以設定偵測的範圍,並自定義觸發警示時要採取的動作。

下一步

保護貴組織的最佳做法

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證