Megosztás a következőn keresztül:

Gyakori Defender for Cloud Apps veszélyforrások elleni védelmi szabályzatok

  • Cikk

Defender for Cloud Apps lehetővé teszi a magas kockázatú használati és felhőbiztonsági problémák azonosítását, a rendellenes felhasználói viselkedés észlelését és a fenyegetések megelőzését az engedélyezett felhőalkalmazásokban. Betekintést kaphat a felhasználói és rendszergazdai tevékenységekbe, és szabályzatokat határozhat meg, amelyek automatikusan riasztást adnak, ha gyanús viselkedést vagy a kockázatosnak ítélt konkrét tevékenységeket észlel. A Microsoft fenyegetésfelderítési és biztonsági kutatási adatainak széles halmazából kiindulva gondoskodhat arról, hogy az engedélyezett alkalmazások rendelkezzenek a szükséges biztonsági vezérlőkkel, és segítsen fenntartani az irányításuk feletti irányítást.

Megjegyzés:

Ha Defender for Cloud Apps integrál Microsoft Defender for Identity, a Defender for Identity szabályzatai is megjelennek a szabályzatok oldalán. A Defender for Identity szabályzatainak listáját lásd: Biztonsági riasztások.

Ismeretlen helyekről származó felhasználói tevékenységek észlelése és szabályozása

A felhasználók hozzáférésének vagy tevékenységének automatikus észlelése ismeretlen helyekről, amelyeket senki más nem látogatott meg a szervezetben.

Előfeltételek

Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

Utaslépcső

Ez az észlelés automatikusan beépítetten van konfigurálva, hogy riasztást küldhessen, ha új helyekről van hozzáférés. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

Feltört fiók észlelése lehetetlen hely alapján (lehetetlen utazás)

Két különböző helyről származó felhasználói hozzáférés vagy tevékenység automatikus észlelése egy olyan időtartamon belül, amely rövidebb, mint a kettő közötti utazáshoz szükséges idő.

Előfeltételek

Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

Utaslépcső

  1. Ez az észlelés automatikusan beépítetten van konfigurálva, hogy riasztást küldhessen, ha lehetetlen helyekről van hozzáférés. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

  2. Nem kötelező: testre szabhatja az anomáliadetektálási szabályzatokat:

    • Az észlelési hatókör testreszabása felhasználók és csoportok szerint

    • Válassza ki a megfontolandó bejelentkezési típusokat

    • A riasztás bizalmassági beállításainak megadása

  3. Hozza létre az anomáliadetektálási szabályzatot.

Gyanús tevékenység észlelése "szabadságon" dolgozó alkalmazotttól

Észleli, ha egy fizetés nélküli szabadságon lévő és semmilyen szervezeti erőforráson nem aktív felhasználó hozzáfér a szervezet felhőbeli erőforrásaihoz.

Előfeltételek

  • Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

  • Hozzon létre egy biztonsági csoportot a Microsoft Entra ID a fizetés nélküli szabadságon lévő felhasználók számára, és vegye fel az összes megfigyelni kívánt felhasználót.

Utaslépcső

  1. A Felhasználói csoportok képernyőn válassza a Felhasználói csoport létrehozása lehetőséget, és importálja a megfelelő Microsoft Entra csoportot.

  2. A Microsoft Defender Portál Felhőalkalmazások területén lépjen a Szabályzatok –>Szabályzatkezelés területre. Hozzon létre egy új tevékenységszabályzatot.

  3. Állítsa be a Felhasználói csoport szűrőt, amely megegyezik azoknak a felhasználói csoportoknak a nevével, amelyeket a Microsoft Entra ID létrehozott a ki nem fizetett szabadság felhasználók számára.

  4. Nem kötelező: A szabálysértés észlelése esetén állítsa be a fájlokon végrehajtandó irányítási műveleteket. Az elérhető szabályozási műveletek különböző szolgáltatásokban érhetők el. Válassza a Felhasználó felfüggesztése lehetőséget.

  5. Hozza létre a fájlszabályzatot.

Elavult böngésző operációs rendszer észlelése és értesítése

Észleli, ha egy felhasználó olyan elavult ügyfélverzióval használ böngészőt, amely megfelelőségi vagy biztonsági kockázatokat jelenthet a szervezet számára.

Előfeltételek

Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

Utaslépcső

  1. A Microsoft Defender Portál Felhőalkalmazások területén lépjen a Szabályzatok –>Szabályzatkezelés területre. Hozzon létre egy új tevékenységszabályzatot.

  2. Állítsa a Felhasználói ügynök címkéje szűrőt Elavult böngésző és Elavult operációs rendszer értékre.

  3. Állítsa be a szabálysértés észlelése esetén végrehajtandó irányítási műveleteket a fájlokon. Az elérhető szabályozási műveletek különböző szolgáltatásokban érhetők el. A Minden alkalmazás területen válassza a Felhasználó értesítése lehetőséget, hogy a felhasználók reagálni tudjanak a riasztásra, és frissítsék a szükséges összetevőket.

  4. Hozza létre a Tevékenység szabályzatot.

Észlelés és riasztás, ha Rendszergazda tevékenységet észlel a kockázatos IP-címeken

Észleli a kockázatos IP-címnek minősülő rendszergazdai tevékenységeket és IP-címet, és értesíti a rendszergazdát a további vizsgálatról, vagy irányítási műveletet hajt végre a rendszergazda fiókján. További információ az IP-címtartományok és a kockázatos IP-címek használatáról.

Előfeltételek

  • Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

  • A Beállítások fogaskerékben válassza az IP-címtartományok elemet , majd a + lehetőséget a belső alhálózatokhoz és a kimenő forgalom nyilvános IP-címéhez tartozó IP-címtartományok hozzáadásához. Állítsa a Kategória beállítást Belső értékre.

Utaslépcső

  1. A Microsoft Defender Portál Felhőalkalmazások területén lépjen a Szabályzatok –>Szabályzatkezelés területre. Hozzon létre egy új tevékenységszabályzatot.

  2. Állítsa a Act on beállítást egyetlen tevékenységre.

  3. Állítsa a szűrő IP-címéta Category equals Risky (Kockázatos) értékre

  4. A Felügyeleti tevékenység szűrő beállítása True (Igaz) értékre

  5. Állítsa be a szabálysértés észlelése esetén végrehajtandó irányítási műveleteket a fájlokon. Az elérhető szabályozási műveletek különböző szolgáltatásokban érhetők el. A Minden alkalmazás területen válassza a Felhasználó értesítése lehetőséget, hogy a felhasználók reagálni tudjanak a riasztásra, és frissítsék a szükséges összetevőket másolatot kapva a felhasználó feletteséről.

  6. Hozza létre a tevékenységszabályzatot.

Tevékenységek észlelése szolgáltatásfiókonként külső IP-címekről

Nem belső IP-címekről származó szolgáltatásfiók-tevékenységek észlelése. Ez gyanús viselkedést vagy feltört fiókot jelezhet.

Előfeltételek

  • Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

  • A Beállítások fogaskerékben válassza az IP-címtartományok elemet , majd a + lehetőséget a belső alhálózatokhoz és a kimenő forgalom nyilvános IP-címéhez tartozó IP-címtartományok hozzáadásához. Állítsa a Kategória beállítást Belső értékre.

  • Szabványosítsa a környezetben lévő szolgáltatásfiókok elnevezési konvencióit, például állítsa be az összes fióknevet "svc" kezdetűre.

Utaslépcső

  1. A Microsoft Defender Portál Felhőalkalmazások területén lépjen a Szabályzatok –>Szabályzatkezelés területre. Hozzon létre egy új tevékenységszabályzatot.

  2. Állítsa a Felhasználó szűrőt Név értékre, majd a Kezdete elemet , és adja meg az elnevezési konvencióját, például az svc-t.

  3. Állítsa a szűrő IP-címéta Category (Kategória ) nem egyenlő az Other (Egyéb ) és a Corporate (Vállalati) értékre.

  4. Állítsa be a szabálysértés észlelése esetén végrehajtandó irányítási műveleteket a fájlokon. Az elérhető szabályozási műveletek különböző szolgáltatásokban érhetők el.

  5. Hozza létre a szabályzatot.

Tömeges letöltés észlelése (adatkiszivárgás)

Észleli, ha egy adott felhasználó rövid idő alatt nagy mennyiségű fájlt ér el vagy tölt le.

Előfeltételek

Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

Utaslépcső

  1. A Microsoft Defender Portál Felhőalkalmazások területén lépjen a Szabályzatok –>Szabályzatkezelés területre. Hozzon létre egy új tevékenységszabályzatot.

  2. Állítsa a szűrő IP-címeita Nem egyenlő a Microsoft Azure-beli címkével. Ez kizárja a nem interaktív eszközalapú tevékenységeket.

  3. Állítsa be a Tevékenységtípusok egyenlő szűrőt , majd válassza ki az összes releváns letöltési tevékenységet.

  4. Állítsa be a szabálysértés észlelése esetén végrehajtandó irányítási műveleteket a fájlokon. Az elérhető szabályozási műveletek különböző szolgáltatásokban érhetők el.

  5. Hozza létre a szabályzatot.

Potenciális zsarolóprogram-tevékenység észlelése

A lehetséges zsarolóprogramok tevékenységének automatikus észlelése.

Előfeltételek

Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

Utaslépcső

  1. Ez az észlelés automatikusan beépítetten van konfigurálva, hogy riasztást küldjön, ha lehetséges zsarolóprogram-kockázat észlelhető. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

  2. Konfigurálhatja az észlelés hatókörét , és testre szabhatja a riasztás aktiválásakor végrehajtandó irányítási műveleteket. További információ arról, hogyan azonosítja Defender for Cloud Apps zsarolóprogramokat: A szervezet védelme a zsarolóprogramoktól.

Megjegyzés:

Ez a Microsoft 365-re, a Google Workspace-re, a Boxra és a Dropboxra vonatkozik.

Kártevők észlelése a felhőben

Észlelheti a felhőalapú környezetekben kártevőt tartalmazó fájlokat a Defender for Cloud Apps integrálásával a Microsoft fenyegetésfelderítési motorjával.

Előfeltételek

Utaslépcső

  • Ez az észlelés automatikusan beépítetten van konfigurálva, hogy riasztást küldjön, ha kártevőt tartalmazó fájl található. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

Rosszindulatú rendszergazdai átvétel észlelése

Ismétlődő rendszergazdai tevékenység észlelése, amely rosszindulatú szándékokat jelezhet.

Előfeltételek

Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

Utaslépcső

  1. A Microsoft Defender Portál Felhőalkalmazások területén lépjen a Szabályzatok –>Szabályzatkezelés területre. Hozzon létre egy új tevékenységszabályzatot.

  2. Az Act on (Műveletek ) beállítást állítsa ismétlődő tevékenységre , és szabja testre a Minimális ismétlődő tevékenységeket , és állítson be egy időkeretet a szervezet szabályzatának való megfeleléshez.

  3. Állítsa a Felhasználó szűrőt a Feladó csoport egyenlő értékre, és válassza ki az összes kapcsolódó rendszergazdai csoportot csak aktorként.

  4. A szűrő tevékenységtípusának beállítása megegyezik a jelszófrissítésekkel, módosításokkal és alaphelyzetbe állításokkal kapcsolatos összes tevékenységgel.

  5. Állítsa be a szabálysértés észlelése esetén végrehajtandó irányítási műveleteket a fájlokon. Az elérhető szabályozási műveletek különböző szolgáltatásokban érhetők el.

  6. Hozza létre a szabályzatot.

Gyanús levelezési kezelési szabályok észlelése

Ha gyanús levelezési szabály van beállítva egy felhasználó beérkezett üzenetek mappájában, az azt jelezheti, hogy a felhasználói fiók biztonsága sérült, és hogy a postaládát levélszemét és kártevők terjesztésére használják a szervezetben.

Előfeltételek

  • A Microsoft Exchange használata e-mailekhez.

Utaslépcső

  • Ez az észlelés automatikusan beépítetten van konfigurálva, hogy riasztást küldjön, ha gyanús levelezési szabály van beállítva. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

Kiszivárgott hitelesítő adatok észlelése

Amikor a kiberbűnözők feltörik a megbízható felhasználók érvényes jelszavát, gyakran megosztják ezeket a hitelesítő adatokat. Ez általában úgy történik, hogy közzéteszi őket nyilvánosan a sötét weben, vagy illessze be az oldalakat, vagy a fekete piacon kereskedik vagy értékesíti a hitelesítő adatokat.

Defender for Cloud Apps a Microsoft fenyegetésfelderítési funkcióját használja az ilyen hitelesítő adatok és a szervezeten belül használt hitelesítő adatok egyeztetésére.

Előfeltételek

Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

Utaslépcső

Ez az észlelés automatikusan beépítetten van konfigurálva, hogy riasztást küldjön, ha lehetséges hitelesítőadat-szivárgást észlel. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

Rendellenes fájlletöltések észlelése

Észleli, ha a felhasználók több fájlletöltési tevékenységet hajtanak végre egyetlen munkamenetben az alapkonfigurációhoz képest. Ez behatolási kísérletre utalhat.

Előfeltételek

Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

Utaslépcső

  1. Ez az észlelés automatikusan beépítetten van konfigurálva, hogy riasztást küldjön, ha rendellenes letöltés történik. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

  2. Konfigurálhatja az észlelés hatókörét, és testre szabhatja a riasztás aktiválásakor végrehajtandó műveletet.

Felhasználó rendellenes fájlmegosztásainak észlelése

Észleli, ha a felhasználók több fájlmegosztási tevékenységet hajtanak végre egyetlen munkamenetben a tanult alapkonfigurációhoz képest, ami behatolási kísérletre utalhat.

Előfeltételek

Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

Utaslépcső

  1. Ez az észlelés automatikusan beépítetten van konfigurálva, hogy riasztást küldjön, ha a felhasználók több fájlmegosztást végeznek. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

  2. Konfigurálhatja az észlelés hatókörét, és testre szabhatja a riasztás aktiválásakor végrehajtandó műveletet.

Ritkán előforduló országból/régióból származó rendellenes tevékenységek észlelése

Olyan helyről észleli a tevékenységeket, amelyeket a felhasználó vagy a szervezet egyik felhasználója sem látogatott meg nemrég, vagy soha nem látogatott meg.

Előfeltételek

Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

Utaslépcső

  1. Ez az észlelés automatikusan beépítetten van konfigurálva, hogy riasztást küldjön, ha rendellenes tevékenység történik egy ritkán előforduló országból/régióból. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

  2. Konfigurálhatja az észlelés hatókörét, és testre szabhatja a riasztás aktiválásakor végrehajtandó műveletet.

Megjegyzés:

A rendellenes helyek észlelése 7 napos kezdeti tanulási időszakot igényel. A tanulási időszak alatt a Defender for Cloud Apps nem hoz létre riasztásokat az új helyekhez.

Leállított felhasználó által végrehajtott tevékenység észlelése

Észleli, ha egy olyan felhasználó, aki már nem a szervezet alkalmazottja, egy engedélyezett alkalmazásban végez tevékenységet. Ez azt jelezheti, hogy egy leállított alkalmazott rosszindulatú tevékenységet végez, aki továbbra is hozzáfér a vállalati erőforrásokhoz.

Előfeltételek

Legalább egy alkalmazásnak alkalmazás-összekötőkkel kell rendelkeznie.

Utaslépcső

  1. Ez az észlelés automatikusan beépítetten van konfigurálva, hogy riasztást küldjön, ha egy leállított alkalmazott tevékenységet végez. A szabályzat konfigurálásához nem kell semmilyen műveletet elvégeznie. További információ: Anomáliadetektálási szabályzatok.

  2. Konfigurálhatja az észlelés hatókörét, és testre szabhatja a riasztás aktiválásakor végrehajtandó műveletet.

Következő lépések

Ajánlott eljárások a szervezet védelméhez

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.