次の方法で共有

クラウド検出ポリシー

  • [アーティクル]

この記事では、クラウド検出を使用してDefender for Cloud Appsを使用してシャドウ IT にorganization全体を可視化する方法の概要について説明します。

Defender for Cloud Appsを使用すると、organizationの環境で使用されているクラウド アプリを検出して分析できます。 クラウド検出ダッシュボードには、環境内で実行されているすべてのクラウド アプリが表示され、機能とエンタープライズの準備によって分類されます。 アプリごとに、関連付けられているユーザー、IP アドレス、デバイス、トランザクションを検出し、エンドポイント デバイスにエージェントをインストールすることなくリスク評価を行います。

新しい大量または広範なアプリの使用を検出する

ユーザー数やorganization内のトラフィック量の観点から、使用頻度の高い新しいアプリを検出します。

前提条件

「継続的なレポートの自動ログ アップロードを構成する」の説明に従って、継続的なクラウド検出レポートの自動ログ アップロードを構成するか、「Microsoft Defender for Endpointと統合する」で説明されているように、Defender for Endpoint とのDefender for Cloud Apps統合を有効にしますDefender for Cloud Apps

手順

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい アプリ検出ポリシーを作成します。

  2. [ ポリシー テンプレート ] フィールドで、[ 新しい大容量アプリ ] または [ 新しい人気アプリ ] を選択し、テンプレートを適用します。

  3. organizationの要件を満たすようにポリシー フィルターをカスタマイズします。

  4. アラートがトリガーされたときに実行されるアクションを構成します。

注:

アラートは、過去 90 日間に検出されなかった新しいアプリごとに 1 回生成されます。

新しい危険なアプリまたは準拠していないアプリの使用を検出する

セキュリティ標準を満たしていないクラウド アプリでorganizationが公開される可能性を検出します。

前提条件

「継続的なレポートの自動ログ アップロードを構成する」の説明に従って、継続的なクラウド検出レポートの自動ログ アップロードを構成するか、「Microsoft Defender for Endpointと統合する」で説明されているように、Defender for Endpoint とのDefender for Cloud Apps統合を有効にしますDefender for Cloud Apps

手順

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい アプリ検出ポリシーを作成します。

  2. [ ポリシー テンプレート ] フィールドで、[ 新しい危険なアプリ ] テンプレートを選択し、テンプレートを適用します。

  3. [アプリの一致] で、[リスク スコア] スライダーと [コンプライアンス リスクファクター] を設定して、アラートをトリガーするリスクのレベルをカスタマイズし、organizationのセキュリティ要件を満たすように他のポリシー フィルターを設定します。

    1. 省略可能: より意味のある検出を取得するには、アラートをトリガーするトラフィックの量をカスタマイズします。

    2. [ 次のすべてが同じ日に発生した場合にポリシーの一致をトリガーする ] チェック ボックスをオンにします。

    3. 2000 GB を超える 毎日のトラフィック (またはその他) を選択します。

  4. アラートがトリガーされたときに実行されるガバナンス アクションを構成します。 [ガバナンス] で、[アプリを承認されていないものとしてタグ付けする] を選択します。
    ポリシーが一致すると、アプリへのアクセスが自動的にブロックされます。

  5. 省略可能: Defender for Cloud Apps ネイティブ統合と Secure Web Gateways を活用して、アプリへのアクセスをブロックします。

承認されていないビジネス アプリの使用を検出する

承認されたビジネス対応アプリの代わりに、従業員が承認されていないアプリを引き続き使用するタイミングを検出できます。

前提条件

  • 「継続的なレポートの自動ログ アップロードを構成する」の説明に従って、継続的なクラウド検出レポートの自動ログ アップロードを構成するか、「Microsoft Defender for Endpointと統合する」で説明されているように、Defender for Endpoint とのDefender for Cloud Apps統合を有効にしますDefender for Cloud Apps

手順

  1. クラウド アプリ カタログで、ビジネス向けアプリを検索し、 カスタム アプリ タグでマークします。

  2. 新しい大量または広範なアプリの使用状況を検出する」の手順に従います。

  3. アプリ タグ フィルターを追加し、ビジネス対応アプリ用に作成したアプリ タグを選択します。

  4. アラートがトリガーされたときに実行されるガバナンス アクションを構成します。 [ガバナンス] で、[ アプリを承認されていないものとしてタグ付けする] を選択します。
    ポリシーが一致すると、アプリへのアクセスが自動的にブロックされます。

  5. 省略可能: Defender for Cloud Apps ネイティブ統合と Secure Web Gateways を活用して、アプリへのアクセスをブロックします。

ネットワーク上の異常な使用パターンを検出する

organizationのネットワーク内のユーザーまたは IP アドレスから発生する、クラウド アプリの異常なトラフィック使用パターン (アップロード/ダウンロード) を検出します。

前提条件

「継続的なレポートの自動ログ アップロードを構成する」の説明に従って、継続的なクラウド検出レポートの自動ログ アップロードを構成するか、「Microsoft Defender for Endpointと統合する」で説明されているように、Defender for Endpoint とのDefender for Cloud Apps統合を有効にしますDefender for Cloud Apps

手順

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい Cloud Discovery 異常検出ポリシーを作成します

  2. [ ポリシー テンプレート ] フィールドで、[ 検出されたユーザーの異常な動作] または [検出されたIP アドレスでの異常な動作] を選択します。

  3. organizationの要件を満たすようにフィルターをカスタマイズします。

  4. 危険なアプリに関連する異常がある場合にのみアラートを受け取る場合は、 リスク スコア フィルターを使用し、アプリが危険と見なされる範囲を設定します。

  5. スライダーを使用して 異常検出の秘密度を選択します

注:

継続的なログアップロードが確立された後、異常検出エンジンは、organizationで予想される動作に対してベースライン (学習期間) が確立されるまで数日かかります。 ベースラインが確立されると、ユーザーまたは IP アドレスによって作成されたクラウド アプリ間で予想されるトラフィック動作との不一致に基づいてアラートの受信を開始します。

承認されていないストレージ アプリで異常なクラウド検出動作を検出する

承認されていないクラウド ストレージ アプリ内のユーザーによる異常な動作を検出します。

前提条件

「継続的なレポートの自動ログ アップロードを構成する」の説明に従って、継続的なクラウド検出レポートの自動ログ アップロードを構成するか、「Microsoft Defender for Endpointと統合する」で説明されているように、Defender for Endpoint とのDefender for Cloud Apps統合を有効にしますDefender for Cloud Apps

手順

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい Cloud Discovery 異常検出ポリシーを作成します

  2. [ アプリ] カテゴリ[クラウド ストレージ] と等しいフィルターを選択します。

  3. [ アプリ タグ承認済み] と等しくないフィルターを選択します。

  4. [ ポリシーの重大度を持つ一致するイベントごとにアラートを作成する] チェック ボックスをオンにします。

  5. アラートがトリガーされたときに実行するアクションを構成します。

危険な OAuth アプリを検出する

Google ワークスペース、Microsoft 365、Salesforce などのアプリ内にインストールされている OAuth アプリの可視性と制御を取得します。 高いアクセス許可を要求し、コミュニティでまれに使用する OAuth アプリは危険と見なされる場合があります。

前提条件

Google ワークスペース、Microsoft 365、または Salesforce アプリが アプリ コネクタを使用して接続されている必要があります。

手順

    1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい OAuth アプリ ポリシーを作成します。

  2. フィルター [ アプリ ] を選択し、ポリシーでカバーするアプリ (Google ワークスペース、Microsoft 365、Salesforce) を設定します。

  3. [ アクセス許可レベル ] フィルターが [高 ] (Google ワークスペースと Microsoft 365 で使用できます) を選択します。

  4. [Community use equals Rare]\(レア\) というフィルターを追加します。

  5. アラートがトリガーされたときに実行するアクションを構成します。 たとえば、Microsoft 365 の場合、チェックポリシーによって検出された OAuth アプリのアプリを取り消します

注:

Google ワークスペース、Microsoft 365、Salesforce アプリ ストアでサポートされます。

次の手順

organizationを保護するためのベスト プラクティス

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。