Zkoumání rizik cloudových aplikací a podezřelých aktivit
Po spuštění Programu Microsoft Defender for Cloud Apps ve vašem cloudovém prostředí budete potřebovat fázi učení a zkoumání. Naučte se používat nástroje Microsoft Defender for Cloud Apps k hlubšímu porozumění tomu, co se děje ve vašem cloudovém prostředí. Na základě vašeho konkrétního prostředí a způsobu jeho použití můžete identifikovat požadavky na ochranu vaší organizace před riziky. Tento článek popisuje, jak provést šetření, abyste lépe porozuměli vašemu cloudovému prostředí.
Označení aplikací jako schválených nebo neschválené
Důležitým krokem k získání přehledu o vašem cloudu je označení aplikací jako schválených nebo neschválených. Po schválení aplikací můžete vyfiltrovat aplikace, které nejsou schválené, a zahájit migraci na schválené aplikace stejného typu.
Na portálu Microsoft Defender v části Cloud Apps přejděte do katalogu cloudových aplikací nebo do Cloud Discovery – >Zjištěné aplikace.
V seznamu aplikací na řádku, na kterém se zobrazí aplikace, kterou chcete označit jako schválenou, vyberte tři tečky na konci řádku a zvolte Schváleno.
Použití nástrojů šetření
Na portálu Microsoft Defender v části Cloud Apps přejděte do protokolu aktivit a vyfiltrujte ho podle konkrétní aplikace. Zkontrolujte následující:
Kdo přistupuje k vašemu cloudovému prostředí?
Z jakých rozsahů IP adres?
Jaká je aktivita správce?
Z jakých umístění se správci připojují?
Nepřipojují se k vašemu cloudovému prostředí nějaká zastaralá zařízení?
Pochází neúspěšná přihlášení z očekávaných IP adres?
Na portálu Microsoft Defender v části Cloud Apps přejděte na Soubory a zkontrolujte následující položky:
Kolik souborů se sdílí veřejně, aby k nim měl přístup každý bez odkazu?
Se kterými partnery soubory sdílíte (odchozí sdílení)?
Mají některé soubory citlivý název?
Sdílí se některé soubory jsou sdíleny s osobním účtem některého z uživatelů?
Na portálu Microsoft Defender přejděte na Identityies a zkontrolujte následující položky:
Jsou některé účty v určité službě dlouhou dobu neaktivní? Možná můžete odvolat licenci pro daného uživatele k této službě.
Chcete vědět, kteří uživatelé mají konkrétní roli?
Nebyl s někým rozvázán pracovní poměr, ale stále má přístup k aplikaci a mohl by pomocí těchto přístupových informací odcizit nějaké informace?
Chcete odvolat oprávnění uživatele ke konkrétní aplikaci nebo vyžadovat, aby konkrétní uživatel používal vícefaktorové ověřování?
Můžete přejít k podrobnostem účtu uživatele tak, že vyberete tři tečky na konci řádku účtu uživatele a vyberete akci, kterou chcete provést. Proveďte akci, například Pozastavit uživatele nebo Odebrat spolupráci uživatele. Pokud byl uživatel importován z Microsoft Entra ID, můžete také vybrat nastavení účtu Microsoft Entra, abyste získali snadný přístup k pokročilým funkcím správy uživatelů. Mezi příklady funkcí správy patří správa skupin, vícefaktorové ověřování, podrobnosti o přihlášení uživatele a možnost blokovat přihlášení.
Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps. V části Připojení ed Apps (Aplikace) vyberte Konektor aplikace a pak vyberte aplikaci. Otevře se řídicí panel aplikací a poskytne vám informace a přehledy. Pomocí karet v horní části můžete zkontrolovat:
Jaký druh zařízení vaši uživatelé používají k připojení k aplikaci?
Jaké typy souborů ukládají v cloudu?
Jaké aktivity v aplikaci probíhají právě teď?
Existují nějaké aplikace třetích stran připojené k vašemu prostředí?
Znáte tyto aplikace?
Mají oprávnění pro úroveň přístupu, kterou mají povolenou?
Kolik uživatelů je nasadilo? Jak běžné jsou tyto aplikace obecně?
Na portálu Microsoft Defender v části Cloud Apps přejděte na Cloud Discovery. Vyberte kartu Řídicí panel a zkontrolujte následující položky:
Jaké cloudové aplikace se používají, v jakém rozsahu a kteří uživatelé?
Pro jaké účely se používají?
Jak velký objem dat se nahrává do těchto cloudových aplikací?
Ve kterých kategorií máte k dispozici schválené cloudové aplikace, přičemž uživatelé stejně používají alternativní řešení?
Z hlediska alternativních řešení: chcete ve vaší organizaci zrušit schválení některých cloudových aplikací?
Používají se cloudové aplikace, ale nejsou v souladu se zásadami vaší organizace?
Ukázka prošetření
Řekněme, že předpokládáte, že nemáte přístup ke svému cloudovému prostředí rizikovými IP adresami. Řekněme například Tor. Pro jistotu ale vytvoříte zásadu pro rizikové IP adresy:
Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady -> Šablony zásad.
Zvolte zásadu aktivity pro typ.
Na konci přihlášení z rizikového řádku IP adresy zvolte znaménko plus (+) a vytvořte novou zásadu.
Změňte název zásady, abyste ho mohli identifikovat.
V části Aktivity odpovídající všem následujícím položkě zvolte + , že chcete přidat filtr. Posuňte se dolů na značku IP a pak zvolte Tor.
Teď, když máte zásadu zavedenou, zjistíte, že máte upozornění, že zásady byly porušeny.
Na portálu Microsoft Defender přejděte na Incidenty a výstrahy –> Výstrahy a zobrazte upozornění týkající se porušení zásad.
Pokud zjistíte, že to vypadá jako skutečné porušení, chcete riziko nebo ho napravit.
Pokud se rozhodnete pro zmírnění rizika, můžete uživateli odeslat oznámení a zeptat se ho, jestli bylo porušení zásady úmyslné a jestli si ho byl uživatel vědom.
Můžete si také zobrazit podrobnosti upozornění a zablokovat uživatele do doby, dokud nepřijdete na to, co je třeba provést.
Pokud jde o povolenou událost, která se s velkou pravděpodobností nebude opakovat, můžete upozornění zavřít.
Pokud je to povolená událost a očekáváte, že se bude opakovat, můžete zásadu změnit tak, aby se už tento typ události v budoucnu nepovažoval za porušení zásady.
Další kroky
Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.