Yaygın Defender for Cloud Apps tehdit koruma ilkeleri

Defender for Cloud Apps yüksek riskli kullanım ve bulut güvenliği sorunlarını belirlemenize, anormal kullanıcı davranışlarını algılamanıza ve tasdikli bulut uygulamalarınızdaki tehditleri önlemenize olanak tanır. Şüpheli davranışlar veya riskli olduğunu düşündüğünüz belirli etkinlikler algılandığında otomatik olarak uyarı almak için kullanıcı ve yönetici etkinliklerine görünürlük sağlayın ve ilkeleri tanımlayın. Tasdikli uygulamalarınızın ihtiyacınız olan tüm güvenlik denetimlerine sahip olduğundan emin olmak ve bunlar üzerinde denetim sahibi olmanıza yardımcı olmak için çok miktarda Microsoft tehdit bilgileri ve güvenlik araştırması verisinden yararlanabilirsiniz.

Bilinmeyen konumlardan kullanıcı etkinliğini algılama ve denetleme

Kuruluşunuzdaki başka bir kişi tarafından hiç ziyaret edilmeyen konumlardan kullanıcı erişiminin veya etkinliğinin otomatik olarak algılanması.

Önkoşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

Bu algılama, yeni konumlardan erişim olduğunda sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz. Anomali algılama ilkeleri.

Güvenliği aşılmış hesabı imkansız konuma göre algılama (imkansız seyahat)

İki farklı konumdan kullanıcı erişiminin veya etkinliğinin otomatik olarak algılanması, iki konum arasında geçen süreden daha kısadır.

Önkoşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

1. Bu algılama, imkansız konumlardan erişim olduğunda sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz. Anomali algılama ilkeleri.

2. İsteğe bağlı: Anomali algılama ilkelerini özelleştirebilirsiniz:

   • Algılama kapsamını kullanıcılar ve gruplar açısından özelleştirme

   • Dikkate alınacak oturum açma türlerini seçin

   • Uyarı için duyarlılık tercihinizi ayarlama

3. Anomali algılama ilkesini oluşturun.

Bir "izinli" çalışandan şüpheli etkinliği algılama

Ücretsiz izinde olan ve herhangi bir kuruluş kaynağında etkin olmaması gereken bir kullanıcının kuruluşunuzun bulut kaynaklarına ne zaman eriştiğini algılayın.

Önkoşullar

• Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

• Ücretsiz izindeki kullanıcılar için Microsoft Entra ID bir güvenlik grubu oluşturun ve izlemek istediğiniz tüm kullanıcıları ekleyin.

Adımlar

1. Kullanıcı grupları ekranında Kullanıcı grubu oluştur'u seçin ve ilgili Microsoft Entra grubunu içeri aktarın.

2. Microsoft Defender Portalı'ndaki Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.

3. Kullanıcı grubu filtresini, ödenmemiş izinli kullanıcılar için Microsoft Entra ID'de oluşturduğunuz kullanıcı gruplarının adına eşit olarak ayarlayın.

4. İsteğe bağlı: İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir. Kullanıcıyı askıya al'ı seçebilirsiniz.

5. Dosya ilkesini oluşturun.

Eski tarayıcı işletim sistemi kullanıldığında algılama ve bildirme

Bir kullanıcının kuruluşunuz için uyumluluk veya güvenlik riskleri oluşturabilecek eski istemci sürümüne sahip bir tarayıcı kullandığını algılayın.

Önkoşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

1. Microsoft Defender Portalı'ndaki Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.

2. Kullanıcı aracısı etiketi eski tarayıcıya ve Eski işletim sistemine eşit filtresini ayarlayın.

3. bir ihlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir. Kullanıcılarınızın uyarı üzerinde işlem yapıp gerekli bileşenleri güncelleştirebilmesi için Tüm uygulamalar'ın altında Kullanıcıya bildir'i seçin.

4. Etkinlik ilkesini oluşturun.

Riskli IP adreslerinde Yönetici etkinliği algılandığında algılama ve uyarı verme

Riskli bir IP adresi olarak kabul edilen ve ip adresinden gerçekleştirilen yönetici etkinliklerini algılayın ve daha fazla araştırma için sistem yöneticisine bilgi verin veya yöneticinin hesabında bir idare eylemi ayarlayın. IP aralıkları ve Riskli IP ile çalışma hakkında daha fazla bilgi edinin.

Önkoşullar

• Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

• Ayarlar dişlisinden IP adresi aralıkları'nı seçin ve iç alt ağlarınız ve çıkış genel IP adresleri için IP adresi aralıkları eklemek için + simgesini seçin. Kategori'yiİç olarak ayarlayın.

Adımlar

1. Microsoft Defender Portalı'ndaki Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.

2. Üzerinde Işlem'iTek etkinlik olarak ayarlayın.

3. Filtre IP adresiniKategori eşittir Riskli olarak ayarlayın

4. Yönetim etkinliği filtresini True olarak ayarlayın

5. bir ihlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir. Tüm uygulamalar'ın altında Kullanıcıya bildir'i seçerek kullanıcılarınızın uyarı üzerinde işlem yapmalarını ve kullanıcının yöneticisinin gerekli bileşenleri güncelleştirmesini sağlayın.

6. Etkinlik ilkesini oluşturun.

Dış IP adreslerinden hizmet hesabına göre etkinlikleri algılama

İç olmayan IP adreslerinden kaynaklanan hizmet hesabı etkinliklerini algılama. Bu, şüpheli davranışı veya güvenliği aşılmış bir hesabı gösterebilir.

Önkoşullar

• Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

• Ayarlar dişlisinden IP adresi aralıkları'nı seçin ve iç alt ağlarınız ve çıkış genel IP adresleri için IP adresi aralıkları eklemek için + simgesini seçin. Kategori'yiİç olarak ayarlayın.

• Ortamınızdaki hizmet hesapları için adlandırma kurallarını standartlaştırarak tüm hesap adlarını "svc" ile başlayacak şekilde ayarlayın.

Adımlar

1. Microsoft Defender Portalı'ndaki Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.

2. Kullanıcı filtresini Ad olarak ayarlayın ve ardından Şununla başlar'ı seçin ve svc gibi adlandırma kuralınızı girin.

3. Filtre IP adresiniKategoridiğer ve kurumsal olarak ayarlama.

4. bir ihlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir.

5. İlkeyi oluşturun.

Toplu indirmeyi algılama (veri sızdırma)

Belirli bir kullanıcının kısa bir süre içinde çok sayıda dosyaya eriştiğinde veya indirdiğinde algılama.

Önkoşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

1. Microsoft Defender Portalı'ndaki Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.

2. Filtre IP adresleriniEtiket microsoft Azure'a eşit değil olarak ayarlayın. Bu işlem etkileşimli olmayan cihaz tabanlı etkinlikleri dışlar.

3. Etkinlik türleri eşittir filtresini ayarlayın ve ardından tüm ilgili indirme etkinliklerini seçin.

4. bir ihlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir.

5. İlkeyi oluşturun.

Olası Fidye Yazılımı etkinliğini algılama

Olası Fidye Yazılımı etkinliğinin otomatik olarak algılanması.

Önkoşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

1. Bu algılama, olası bir fidye yazılımı riski algılandığında sizi uyaracak şekilde otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz. Anomali algılama ilkeleri.

2. Algılama kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek İdare eylemlerini özelleştirmek mümkündür. Defender for Cloud Apps Ransomware'i nasıl tanımlaylediği hakkında daha fazla bilgi için bkz. Kuruluşunuzu fidye yazılımlarından koruma.

Buluttaki kötü amaçlı yazılımları algılama

Microsoft'un Tehdit Bilgileri altyapısıyla Defender for Cloud Apps tümleştirmesini kullanarak bulut ortamlarınızda kötü amaçlı yazılım içeren dosyaları algılayın.

Önkoşullar

• Microsoft 365 kötü amaçlı yazılım algılaması için Microsoft 365 P1 için Microsoft Defender için geçerli bir lisansa sahip olmanız gerekir.
• Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

• Bu algılama, kötü amaçlı yazılım içerebilecek bir dosya olduğunda sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz. Anomali algılama ilkeleri.

Sahte yönetici devralma işlemini algılama

Kötü amaçlı amaçları gösterebilecek yinelenen yönetici etkinliğini algılayın.

Önkoşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

1. Microsoft Defender Portalı'ndaki Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.

2. Üzerinde Işlem'iYinelenen etkinlik olarak ayarlayın, En az yinelenen etkinlikleri özelleştirin ve kuruluşunuzun ilkesine uygun bir Zaman Çerçevesi ayarlayın...

3. Kullanıcı filtresini Kimden grubu eşittir olarak ayarlayın ve ilgili tüm yönetici grubunu yalnızca Aktör olarak seçin.

4. Etkinlik türü filtresini parola güncelleştirmeleri, değişiklikler ve sıfırlamalarla ilgili tüm etkinliklere eşit olarak ayarlayın.

5. bir ihlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir.

6. İlkeyi oluşturun.

Şüpheli gelen kutusu işleme kurallarını algılama

Kullanıcının gelen kutusunda şüpheli bir gelen kutusu kuralı ayarlandıysa, kullanıcı hesabının gizliliğinin ihlal edildiğini ve posta kutusunun kuruluşunuzda istenmeyen posta ve kötü amaçlı yazılım dağıtmak için kullanıldığını gösterebilir.

Önkoşullar

• E-posta için Microsoft Exchange kullanımı.

Adımlar

• Bu algılama, şüpheli bir gelen kutusu kural kümesi olduğunda sizi uyaracak şekilde otomatik olarak kullanıma hazır olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz. Anomali algılama ilkeleri.

Sızdırılan kimlik bilgilerini algılama

Siber suçlular meşru kullanıcıların geçerli parolalarını tehlikeye attığında, genellikle bu kimlik bilgilerini paylaşırlar. Bu genellikle bunları koyu web veya yapıştırma sitelerine genel olarak göndererek ya da kimlik bilgilerini karaborsada satarak ya da satarak yapılır.

Defender for Cloud Apps, bu tür kimlik bilgilerini kuruluşunuzda kullanılan kimlik bilgileriyle eşleştirmek için Microsoft'un Tehdit zekasını kullanır.

Önkoşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

Bu algılama, olası bir kimlik bilgisi sızıntısı algılandığında sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz. Anomali algılama ilkeleri.

Anormal dosya indirmelerini algılama

Kullanıcıların öğrenilen temele göre tek bir oturumda birden çok dosya indirme etkinliği gerçekleştirdiğinde algılama. Bu bir ihlal girişimine işaret edebilir.

Önkoşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

1. Bu algılama, anormal bir indirme gerçekleştiğinde sizi uyarmak için otomatik olarak kullanıma açık olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz. Anomali algılama ilkeleri.

2. Algılama kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek eylemi özelleştirmek mümkündür.

Kullanıcının anormal dosya paylaşımlarını algılama

Kullanıcıların öğrenilen temele göre tek bir oturumda birden çok dosya paylaşım etkinliği gerçekleştirdiğini algılayın ve bu da ihlal girişimine işaret edebilir.

Önkoşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

1. Bu algılama, kullanıcılar birden çok dosya paylaşımı gerçekleştirdiğinde sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz. Anomali algılama ilkeleri.

2. Algılama kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek eylemi özelleştirmek mümkündür.

Seyrek görülen ülke/bölgeden anormal etkinlikleri algılama

Yakın zamanda olmayan veya kullanıcı tarafından ya da kuruluşunuzdaki herhangi bir kullanıcı tarafından ziyaret edilen bir konumdaki etkinlikleri algılayın.

Önkoşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

1. Bu algılama, seyrek görülen bir ülkeden/bölgeden anormal bir etkinlik gerçekleştiğinde sizi uyarmak için otomatik olarak kullanıma açık olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz. Anomali algılama ilkeleri.

2. Algılama kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek eylemi özelleştirmek mümkündür.

Sonlandırılan bir kullanıcı tarafından gerçekleştirilen etkinliği algılama

Artık kuruluşunuzun çalışanı olmayan bir kullanıcının tasdikli bir uygulamada ne zaman etkinlik gerçekleştirdığını algılayın. Bu, şirket kaynaklarına hala erişimi olan, sonlandırılan bir çalışanın kötü amaçlı etkinliğini gösterebilir.

Önkoşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

1. Bu algılama, sonlandırılan bir çalışan tarafından bir etkinlik gerçekleştirildiğinde sizi uyarmak için otomatik olarak hazır olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz. Anomali algılama ilkeleri.

2. Algılama kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek eylemi özelleştirmek mümkündür.

Sonraki adımlar

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.