مشاركة عبر

نهج الحماية من التهديدات الشائعة Defender for Cloud Apps

  • مقالة

Defender for Cloud Apps تمكنك من تحديد مشكلات الاستخدام والأمان السحابي عالية المخاطر، واكتشاف سلوك المستخدم غير الطبيعي، ومنع التهديدات في تطبيقات السحابة المعتمدة. احصل على رؤية لأنشطة المستخدم والمسؤول وحدد النهج للتنبيه تلقائيا عند اكتشاف سلوك مشبوه أو أنشطة محددة تعتبرها محفوفة بالمخاطر. استخلص من الكمية الهائلة من بيانات التحليل الذكي للمخاطر وبحوث الأمان من Microsoft للمساعدة في ضمان أن تطبيقاتك المعتمدة تحتوي على جميع عناصر التحكم في الأمان التي تحتاجها وتساعدك على الحفاظ على التحكم فيها.

ملاحظة

عند دمج Defender for Cloud Apps مع Microsoft Defender for Identity، تظهر النهج من Defender for Identity أيضا في صفحة النهج. للحصول على قائمة بنهج Defender for Identity، راجع تنبيهات الأمان.

الكشف عن نشاط المستخدم والتحكم فيه من مواقع غير مألوفة

الكشف التلقائي عن وصول المستخدم أو نشاطه من مواقع غير مألوفة لم يزورها أي شخص آخر في مؤسستك.

المتطلبات الأساسية

يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

الخطوات

يتم تكوين هذا الكشف تلقائيا خارج الصندوق لتنبيهك عند الوصول من مواقع جديدة. لا تحتاج إلى اتخاذ أي إجراء لتكوين هذا النهج. لمزيد من المعلومات، راجع نهج الكشف عن الحالات الشاذة.

الكشف عن الحساب المخترق حسب الموقع المستحيل (السفر المستحيل)

الكشف التلقائي عن وصول المستخدم أو نشاطه من موقعين مختلفين خلال فترة زمنية أقصر من الوقت الذي يستغرقه السفر بين الاثنين.

المتطلبات الأساسية

يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

الخطوات

  1. يتم تكوين هذا الكشف تلقائيا خارج الصندوق لتنبيهك عند الوصول من مواقع مستحيلة. لا تحتاج إلى اتخاذ أي إجراء لتكوين هذا النهج. لمزيد من المعلومات، راجع نهج الكشف عن الحالات الشاذة.

  2. اختياري: يمكنك تخصيص نهج الكشف عن الحالات الشاذة:

    • تخصيص نطاق الكشف من حيث المستخدمين والمجموعات

    • اختر أنواع عمليات تسجيل الدخول التي يجب مراعاتها

    • تعيين تفضيل الحساسية للتنبيه

  3. إنشاء نهج الكشف عن الحالات الشاذة.

الكشف عن نشاط مشبوه من موظف "عند الإجازة"

اكتشف متى يصل المستخدم، الذي يكون في إجازة غير مدفوعة ولا ينبغي أن يكون نشطا على أي مورد تنظيمي، إلى أي من موارد السحابة الخاصة بمؤسستك.

المتطلبات الأساسية

  • يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

  • إنشاء مجموعة أمان في Microsoft Entra ID للمستخدمين في إجازة غير مدفوعة وإضافة جميع المستخدمين الذين تريد مراقبتها.

الخطوات

  1. في شاشة User groups، حدد Create user group واستورد مجموعة Microsoft Entra ذات الصلة.

  2. في مدخل Microsoft Defender، ضمن Cloud Apps، انتقل إلى Policies ->Policy management. إنشاء نهج نشاط جديد.

  3. تعيين عامل التصفية مجموعة المستخدم يساوي اسم مجموعات المستخدمين التي قمت بإنشائها في Microsoft Entra ID لمستخدمي الإجازة غير المدفوعة.

  4. اختياري: قم بتعيين إجراءات الحوكمة التي سيتم اتخاذها على الملفات عند اكتشاف انتهاك. تختلف إجراءات الحوكمة المتاحة بين الخدمات. يمكنك اختيار Suspend user.

  5. إنشاء نهج الملف.

الكشف والإعلام عند استخدام نظام تشغيل المستعرض القديم

اكتشف متى يستخدم المستخدم مستعرضا بإصدار عميل قديم قد يشكل مخاطر توافق أو أمان لمؤسستك.

المتطلبات الأساسية

يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

الخطوات

  1. في مدخل Microsoft Defender، ضمن Cloud Apps، انتقل إلى Policies ->Policy management. إنشاء نهج نشاط جديد.

  2. تعيين عامل تصفية علامة عامل المستخدم تساوي المستعرض القديمونظام التشغيل القديم.

  3. قم بتعيين إجراءات الحوكمة التي سيتم اتخاذها على الملفات عند اكتشاف انتهاك. تختلف إجراءات الحوكمة المتاحة بين الخدمات. ضمن جميع التطبيقات، حدد إعلام المستخدم، بحيث يمكن للمستخدمين التصرف بناء على التنبيه وتحديث المكونات الضرورية.

  4. إنشاء نهج النشاط.

الكشف والتنبيه عند اكتشاف نشاط مسؤول على عناوين IP الخطرة

الكشف عن أنشطة المسؤول التي يتم تنفيذها من وعنوان IP الذي يعتبر عنوان IP محفوف بالمخاطر، وإعلام مسؤول النظام لمزيد من التحقيق أو تعيين إجراء إدارة على حساب المسؤول. تعرف على المزيد حول كيفية العمل مع نطاقات IP وعنوان IP الخطر.

المتطلبات الأساسية

  • يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

  • من ترس الإعدادات، حدد نطاقات عناوين IP وحدد + لإضافة نطاقات عناوين IP للشبكات الفرعية الداخلية وعناوين IP العامة الخاصة بها. تعيين الفئة إلى داخلي.

الخطوات

  1. في مدخل Microsoft Defender، ضمن Cloud Apps، انتقل إلى Policies ->Policy management. إنشاء نهج نشاط جديد.

  2. تعيين Act on إلى Single activity.

  3. تعيين عنوان IP للتصفية إلى Category يساوي Risky

  4. تعيين عامل التصفية النشاط الإداري إلى True

  5. قم بتعيين إجراءات الحوكمة التي سيتم اتخاذها على الملفات عند اكتشاف انتهاك. تختلف إجراءات الحوكمة المتاحة بين الخدمات. ضمن All apps، حدد Notify user، بحيث يمكن للمستخدمين التصرف بناء على التنبيه وتحديث المكونات الضرورية CC لمدير المستخدم.

  6. إنشاء نهج النشاط.

الكشف عن الأنشطة حسب حساب الخدمة من عناوين IP الخارجية

الكشف عن أنشطة حساب الخدمة التي تنشأ من عناوين IP غير الداخلية. قد يشير هذا إلى سلوك مريب أو حساب مخترق.

المتطلبات الأساسية

  • يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

  • من ترس الإعدادات، حدد نطاقات عناوين IP وحدد + لإضافة نطاقات عناوين IP للشبكات الفرعية الداخلية وعناوين IP العامة الخاصة بها. تعيين الفئة إلى داخلي.

  • توحيد اصطلاحات التسمية لحسابات الخدمة في بيئتك، على سبيل المثال، تعيين جميع أسماء الحسابات لتبدأ ب "svc".

الخطوات

  1. في مدخل Microsoft Defender، ضمن Cloud Apps، انتقل إلى Policies ->Policy management. إنشاء نهج نشاط جديد.

  2. قم بتعيين عامل التصفية User إلى Name ثم يبدأ ب وأدخل اصطلاح التسمية الخاص بك، مثل svc.

  3. تعيين عنوان IP للتصفية إلى Category لا يساوي Other و Corporate.

  4. قم بتعيين إجراءات الحوكمة التي سيتم اتخاذها على الملفات عند اكتشاف انتهاك. تختلف إجراءات الحوكمة المتاحة بين الخدمات.

  5. إنشاء النهج.

الكشف عن التنزيل الجماعي (النقل غير المصرح للبيانات)

الكشف عن وقت وصول مستخدم معين إلى عدد كبير من الملفات أو تنزيلها في فترة زمنية قصيرة.

المتطلبات الأساسية

يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

الخطوات

  1. في مدخل Microsoft Defender، ضمن Cloud Apps، انتقل إلى Policies ->Policy management. إنشاء نهج نشاط جديد.

  2. تعيين عناوين IP عامل التصفية إلى العلامة لا يساوي Microsoft Azure. سيؤدي ذلك إلى استبعاد الأنشطة غير التفاعلية المستندة إلى الجهاز.

  3. قم بتعيين أنواع نشاط عامل التصفية التي تساوي ثم حدد جميع أنشطة التنزيل ذات الصلة.

  4. قم بتعيين إجراءات الحوكمة التي سيتم اتخاذها على الملفات عند اكتشاف انتهاك. تختلف إجراءات الحوكمة المتاحة بين الخدمات.

  5. إنشاء النهج.

الكشف عن نشاط برامج الفدية الضارة المحتمل

الكشف التلقائي عن نشاط برامج الفدية الضارة المحتملة.

المتطلبات الأساسية

يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

الخطوات

  1. يتم تكوين هذا الكشف تلقائيا خارج الصندوق لتنبيهك عند اكتشاف مخاطر برامج الفدية الضارة المحتملة. لا تحتاج إلى اتخاذ أي إجراء لتكوين هذا النهج. لمزيد من المعلومات، راجع نهج الكشف عن الحالات الشاذة.

  2. من الممكن تكوين نطاق الكشف وتخصيص إجراءات الحوكمة التي سيتم اتخاذها عند تشغيل تنبيه. لمزيد من المعلومات حول كيفية تحديد Defender for Cloud Apps برامج الفدية الضارة، راجع حماية مؤسستك من برامج الفدية الضارة.

ملاحظة

ينطبق هذا على Microsoft 365 وGoogle Workspace وBox وDropbox.

الكشف عن البرامج الضارة في السحابة

اكتشف الملفات التي تحتوي على برامج ضارة في بيئات السحابة الخاصة بك باستخدام تكامل Defender for Cloud Apps مع محرك التحليل الذكي للمخاطر من Microsoft.

المتطلبات الأساسية

  • للكشف عن البرامج الضارة في Microsoft 365، يجب أن يكون لديك ترخيص صالح Microsoft Defender ل Microsoft 365 P1.
  • يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

الخطوات

  • يتم تكوين هذا الكشف تلقائيا خارج الصندوق لتنبيهك عند وجود ملف قد يحتوي على برامج ضارة. لا تحتاج إلى اتخاذ أي إجراء لتكوين هذا النهج. لمزيد من المعلومات، راجع نهج الكشف عن الحالات الشاذة.

الكشف عن استيلاء المسؤول المخادع

الكشف عن نشاط المسؤول المتكرر الذي قد يشير إلى نوايا ضارة.

المتطلبات الأساسية

يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

الخطوات

  1. في مدخل Microsoft Defender، ضمن Cloud Apps، انتقل إلى Policies ->Policy management. إنشاء نهج نشاط جديد.

  2. قم بتعيين Act on إلى Repeated activity وتخصيص الحد الأدنى من الأنشطة المتكررة وتعيين إطار زمني للامتثال لنهج مؤسستك.

  3. تعيين عامل التصفية User إلى From group يساوي وحدد جميع مجموعة المسؤولين ذات الصلة كممثل فقط.

  4. تعيين نوع نشاط عامل التصفية يساوي جميع الأنشطة التي تتعلق بتحديثات كلمة المرور والتغييرات وإعادة التعيين.

  5. قم بتعيين إجراءات الحوكمة التي سيتم اتخاذها على الملفات عند اكتشاف انتهاك. تختلف إجراءات الحوكمة المتاحة بين الخدمات.

  6. إنشاء النهج.

الكشف عن قواعد معالجة علبة الوارد المشبوهة

إذا تم تعيين قاعدة علبة وارد مريبة على علبة الوارد الخاصة بالمستخدم، فقد تشير إلى تعرض حساب المستخدم للخطر، وأنه يتم استخدام علبة البريد لتوزيع البريد العشوائي والبرامج الضارة في مؤسستك.

المتطلبات الأساسية

  • استخدام Microsoft Exchange للبريد الإلكتروني.

الخطوات

  • يتم تكوين هذا الكشف تلقائيا خارج الصندوق لتنبيهك عند وجود مجموعة قواعد علبة وارد مريبة. لا تحتاج إلى اتخاذ أي إجراء لتكوين هذا النهج. لمزيد من المعلومات، راجع نهج الكشف عن الحالات الشاذة.

الكشف عن بيانات الاعتماد المسربة

عندما يخترق مجرمو الإنترنت كلمات المرور الصالحة للمستخدمين الشرعيين، فإنهم غالبا ما يشاركون بيانات الاعتماد هذه. وعادة ما يتم ذلك عن طريق نشرها علنا على شبكة الإنترنت المظلمة أو لصق المواقع أو عن طريق التداول أو بيع بيانات الاعتماد في السوق السوداء.

يستخدم Defender for Cloud Apps التحليل الذكي للمخاطر من Microsoft لمطابقة بيانات الاعتماد هذه مع تلك المستخدمة داخل مؤسستك.

المتطلبات الأساسية

يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

الخطوات

يتم تكوين هذا الكشف تلقائيا خارج الصندوق لتنبيهك عند اكتشاف تسرب محتمل لبيانات الاعتماد. لا تحتاج إلى اتخاذ أي إجراء لتكوين هذا النهج. لمزيد من المعلومات، راجع نهج الكشف عن الحالات الشاذة.

الكشف عن تنزيلات الملفات الشاذة

اكتشف متى يقوم المستخدمون بتنفيذ أنشطة تنزيل ملفات متعددة في جلسة عمل واحدة، نسبة إلى الأساس الذي تم تعلمه. قد يشير هذا إلى محاولة خرق.

المتطلبات الأساسية

يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

الخطوات

  1. يتم تكوين هذا الكشف تلقائيا خارج الصندوق لتنبيهك عند حدوث تنزيل غير مألوف. لا تحتاج إلى اتخاذ أي إجراء لتكوين هذا النهج. لمزيد من المعلومات، راجع نهج الكشف عن الحالات الشاذة.

  2. من الممكن تكوين نطاق الكشف وتخصيص الإجراء الذي سيتم اتخاذه عند تشغيل تنبيه.

الكشف عن مشاركات الملفات الشاذة من قبل مستخدم

اكتشف متى يقوم المستخدمون بتنفيذ أنشطة متعددة لمشاركة الملفات في جلسة واحدة فيما يتعلق بخط الأساس الذي تم تعلمه، مما قد يشير إلى محاولة خرق.

المتطلبات الأساسية

يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

الخطوات

  1. يتم تكوين هذا الكشف تلقائيا خارج الصندوق لتنبيهك عندما يقوم المستخدمون بإجراء مشاركة ملفات متعددة. لا تحتاج إلى اتخاذ أي إجراء لتكوين هذا النهج. لمزيد من المعلومات، راجع نهج الكشف عن الحالات الشاذة.

  2. من الممكن تكوين نطاق الكشف وتخصيص الإجراء الذي سيتم اتخاذه عند تشغيل تنبيه.

الكشف عن الأنشطة الشاذة من بلد/منطقة غير متكررة

الكشف عن الأنشطة من موقع لم يكن مؤخرا أو لم تتم زيارته من قبل المستخدم أو من قبل أي مستخدم في مؤسستك.

المتطلبات الأساسية

يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

الخطوات

  1. يتم تكوين هذا الكشف تلقائيا خارج الصندوق لتنبيهك عند حدوث نشاط شاذ من بلد/منطقة غير متكررة. لا تحتاج إلى اتخاذ أي إجراء لتكوين هذا النهج. لمزيد من المعلومات، راجع نهج الكشف عن الحالات الشاذة.

  2. من الممكن تكوين نطاق الكشف وتخصيص الإجراء الذي سيتم اتخاذه عند تشغيل تنبيه.

ملاحظة

يتطلب الكشف عن المواقع الشاذة فترة تعلم أولية 7 أيام. أثناء فترة التعلم، لا ينشئ Defender for Cloud Apps تنبيهات للمواقع الجديدة.

الكشف عن النشاط الذي يقوم به مستخدم تم إنهاؤه

اكتشف متى يقوم مستخدم لم يعد موظفا في مؤسستك بتنفيذ نشاط في تطبيق مخول. قد يشير هذا إلى نشاط ضار من قبل موظف منتهي الخدمة لا يزال لديه حق الوصول إلى موارد الشركة.

المتطلبات الأساسية

يجب أن يكون لديك تطبيق واحد على الأقل متصل باستخدام موصلات التطبيقات.

الخطوات

  1. يتم تكوين هذا الكشف تلقائيا خارج الصندوق لتنبيهك عند تنفيذ نشاط من قبل موظف منته. لا تحتاج إلى اتخاذ أي إجراء لتكوين هذا النهج. لمزيد من المعلومات، راجع نهج الكشف عن الحالات الشاذة.

  2. من الممكن تكوين نطاق الكشف وتخصيص الإجراء الذي سيتم اتخاذه عند تشغيل تنبيه.

الخطوات التالية

أفضل الممارسات لحماية مؤسستك

إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.