Beleid voor clouddetectie

Dit artikel bevat een overzicht van hoe u aan de slag kunt gaan met Defender for Cloud Apps om binnen uw organisatie inzicht te krijgen in Shadow IT met behulp van clouddetectie.

met Defender for Cloud Apps kunt u cloud-apps detecteren en analyseren die in de omgeving van uw organisatie worden gebruikt. Op het dashboard voor clouddetectie worden alle cloud-apps weergegeven die in de omgeving worden uitgevoerd en worden ze gecategoriseerd op basis van functie- en bedrijfsgereedheid. Voor elke app detecteert u de bijbehorende gebruikers, IP-adressen, apparaten en transacties en voert u een risicoanalyse uit zonder dat u een agent op uw eindpuntapparaten hoeft te installeren.

Nieuw groot of breed app-gebruik detecteren

Detecteer nieuwe apps die veel worden gebruikt, in termen van het aantal gebruikers of de hoeveelheid verkeer in uw organisatie.

Vereisten

Automatische logboekupload configureren voor rapporten voor continue clouddetectie, zoals beschreven in Automatische logboekupload configureren voor continue rapporten of de Defender for Cloud Apps-integratie inschakelen met Defender voor Eindpunt, zoals beschreven in Integreren Microsoft Defender voor Eindpunt met Defender for Cloud Apps.

Stappen

1. Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Maak een nieuw beleid voor app-detectie.

2. Selecteer in het veld Beleidssjabloonde optie Nieuwe app met hoog volume of Nieuwe populaire app en pas de sjabloon toe.

3. Pas beleidsfilters aan om te voldoen aan de vereisten van uw organisatie.

4. Configureer de acties die moeten worden uitgevoerd wanneer een waarschuwing wordt geactiveerd.

Nieuw riskant of niet-compatibel app-gebruik detecteren

Detecteer mogelijke blootstelling van uw organisatie in cloud-apps die niet voldoen aan uw beveiligingsstandaarden.

Vereisten

Automatische logboekupload configureren voor rapporten voor continue clouddetectie, zoals beschreven in Automatische logboekupload configureren voor continue rapporten of de Defender for Cloud Apps-integratie inschakelen met Defender voor Eindpunt, zoals beschreven in Integreren Microsoft Defender voor Eindpunt met Defender for Cloud Apps.

Stappen

1. Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Maak een nieuw beleid voor app-detectie.

2. Selecteer in het veld Beleidssjabloon de sjabloon Nieuwe riskante app en pas de sjabloon toe.

3. Stel onder App-overeenkomst de schuifregelaar Risicoscore en de risicofactor Naleving in om het risiconiveau aan te passen dat u wilt activeren en stel de andere beleidsfilters in om te voldoen aan de beveiligingsvereisten van uw organisatie.

   1. Optioneel: als u zinvollere detecties wilt krijgen, past u de hoeveelheid verkeer aan die een waarschuwing activeert.

   2. Schakel het selectievakje Een beleidsovereenkomst activeren als al het volgende zich op dezelfde dag voordoet in.

   3. Selecteer Dagelijks verkeer groter dan 2000 GB (of overig).

4. Beheeracties configureren die moeten worden uitgevoerd wanneer een waarschuwing wordt geactiveerd. Selecteer onder Governancede optie App labelen als niet-opgegeven.
   De toegang tot de app wordt automatisch geblokkeerd wanneer het beleid overeenkomt.

5. Optioneel: maak gebruik van Defender for Cloud Apps systeemeigen integraties met Beveiligde webgateways om app-toegang te blokkeren.

Gebruik van niet-sanctioneerde zakelijke apps detecteren

U kunt detecteren wanneer uw werknemers niet-goedgekeurde apps blijven gebruiken als vervanging voor goedgekeurde apps die geschikt zijn voor bedrijven.

Vereisten

• Automatische logboekupload configureren voor rapporten voor continue clouddetectie, zoals beschreven in Automatische logboekupload configureren voor continue rapporten of de Defender for Cloud Apps-integratie inschakelen met Defender voor Eindpunt, zoals beschreven in Integreren Microsoft Defender voor Eindpunt met Defender for Cloud Apps.

Stappen

1. Zoek in de cloud-app-catalogus naar uw bedrijfsklare apps en markeer deze met een aangepaste app-tag.

2. Volg de stappen in Nieuw app-gebruik met een hoog volume of een breed app-gebruik detecteren.

3. Voeg een app-tagfilter toe en kies de app-tags die u hebt gemaakt voor uw zakelijke apps.

4. Beheeracties configureren die moeten worden uitgevoerd wanneer een waarschuwing wordt geactiveerd. Selecteer onder Governance de optie App labelen als niet-opgegeven.
   De toegang tot de app wordt automatisch geblokkeerd wanneer het beleid overeenkomt.

5. Optioneel: maak gebruik van Defender for Cloud Apps systeemeigen integraties met Beveiligde webgateways om app-toegang te blokkeren.

Ongebruikelijke gebruikspatronen in uw netwerk detecteren

Detecteer afwijkende verkeersgebruikspatronen (uploads/downloads) in uw cloud-apps, die afkomstig zijn van gebruikers of IP-adressen in het netwerk van uw organisatie.

Vereisten

Automatische logboekupload configureren voor rapporten voor continue clouddetectie, zoals beschreven in Automatische logboekupload configureren voor continue rapporten of de Defender for Cloud Apps-integratie inschakelen met Defender voor Eindpunt, zoals beschreven in Integreren Microsoft Defender voor Eindpunt met Defender for Cloud Apps.

Stappen

1. Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Maak een nieuw beleid voor anomaliedetectie in Cloud Discovery.

2. Selecteer in het veld Beleidssjabloonde optie Afwijkend gedrag in gedetecteerde gebruikers of Afwijkend gedrag in gedetecteerde IP-adressen.

3. Pas de filters aan om te voldoen aan de vereisten van uw organisatie.

4. Als u alleen wilt worden gewaarschuwd wanneer er afwijkingen zijn met betrekking tot riskante apps, gebruikt u de risicoscorefilters en stelt u het bereik in waarin apps als riskant worden beschouwd.

5. Gebruik de schuifregelaar om anomaliedetectiegevoeligheid te selecteren.

Afwijkend gedrag van clouddetectie detecteren in opslag-apps die niet zijn goedgekeurd

Detecteer afwijkend gedrag van een gebruiker in een cloudopslag-app die niet is goedgekeurd.

Vereisten

Automatische logboekupload configureren voor rapporten voor continue clouddetectie, zoals beschreven in Automatische logboekupload configureren voor continue rapporten of de Defender for Cloud Apps-integratie inschakelen met Defender voor Eindpunt, zoals beschreven in Integreren Microsoft Defender voor Eindpunt met Defender for Cloud Apps.

Stappen

1. Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Maak een nieuw beleid voor anomaliedetectie in Cloud Discovery.

2. Selecteer het filter App-categorie is gelijk aan Cloudopslag.

3. Selecteer het filter App-tag is niet gelijk aan Goedgekeurd.

4. Schakel het selectievakje in om een waarschuwing te maken voor elke overeenkomende gebeurtenis met de ernst van het beleid.

5. Configureer de acties die moeten worden uitgevoerd wanneer een waarschuwing wordt geactiveerd.

Riskante OAuth-apps detecteren

Krijg zichtbaarheid en controle over OAuth-apps die zijn geïnstalleerd in apps zoals Google Workspace, Microsoft 365 en Salesforce. OAuth-apps die hoge machtigingen aanvragen en zeldzaam communitygebruik hebben, kunnen als riskant worden beschouwd.

Vereisten

U moet de Google Workspace-, Microsoft 365- of Salesforce-app hebben verbonden met behulp van app-connectors.

Stappen

1. 1. Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Maak een nieuw OAuth-app-beleid.

2. Selecteer het filter App en stel de app in die het beleid moet omvatten, Google Workspace, Microsoft 365 of Salesforce.

3. Selecteer Machtigingsniveaufilter is gelijk aan Hoog (beschikbaar voor Google Workspace en Microsoft 365).

4. Voeg het filter Communitygebruik toe aan Zeldzaam.

5. Configureer de acties die moeten worden uitgevoerd wanneer een waarschuwing wordt geactiveerd. Schakel voor Microsoft 365 bijvoorbeeld App intrekken in voor OAuth-apps die zijn gedetecteerd door het beleid.

Volgende stappen

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.