Gestire gli avvisi di governance delle app

  • Articolo

È possibile analizzare gli avvisi relativi ad app e app cloud dannose che possono presentare rischi per l'organizzazione nelle pagine Avvisi o eventi imprevisti di Microsoft Defender XDR.

Ad esempio:

Screenshot of the app governance alerts summary page in the Microsoft Defender XDR.

Visualizzare i dettagli dell'avviso

Per impostazione predefinita, la pagina Avvisi XDR di Microsoft Defender elenca i nuovi avvisi generati dalla governance delle app in base alle regole di rilevamento delle minacce e ai criteri attivi. Visualizzare i dettagli di un avviso specifico selezionando l'avviso. Viene visualizzata una pagina con informazioni aggiuntive sull'avviso e sulle opzioni per la gestione dell'avviso.

Ad esempio:

Screenshot of additional information about the alert and options for managing the alert.

Nella pagina è possibile ottenere informazioni aggiuntive dalla sezione Storia avviso:

  • Dettagli esatti sul motivo per cui l'avviso è stato creato in Cosa è successo
  • Informazioni su come correggere l'avviso in Azioni consigliate

Gestire un avviso di governance delle app

Per analizzare e intervenire su un'app nella governance delle app, selezionare la scheda di entità dell'app in Entità correlate e quindi selezionare Visualizza i dettagli dell'app.

I criteri delle app configurati per la correzione automatica dall'azione hanno lo stato Risolto.

Per gestire l'avviso di governance delle app:

  1. Indagine: esaminare le informazioni nell'avviso e modificarne lo stato in Contrassegna in corso.
  2. Soluzione: dopo l'indagine e, in base alle esigenze, la determinazione delle modifiche ai criteri dell'app o il supporto continuo delle app nel tenant, modificarne lo stato in Risolto.

In base ai modelli di avviso delle app, è possibile aggiornare i criteri dell'app appropriati e modificarne l'impostazione Azione per eseguire la correzione automatica. In questo modo viene rimossa la necessità di analizzare e risolvere manualmente gli avvisi futuri generati dai criteri dell'app. Per altre informazioni, vedere Gestire i criteri delle app.

Vietare o approvare un'app OAuth connessa a Salesforce e Google Workspace

Nota

Questa sezione è rilevante solo per le applicazioni Salesforce e Google Workspace.

  1. Nelle schede App Google o Salesforce apps selezionare l'app per aprire il riquadro App e visualizzare altre informazioni sull'app e le autorizzazioni concesse.

    • Selezionare Autorizzazioni per visualizzare un elenco completo delle autorizzazioni concesse all'app.
    • In Utilizzo della community è possibile vedere in che misura l'app viene usata nelle altre organizzazioni.
    • Selezionare Attività correlata per visualizzare le attività elencate nel log attività correlato a questa app.

  2. Per impedire l'app, selezionare l'icona di esclusione alla fine della riga dell'app nella tabella. Ad esempio:

    Screenshot of a ban app icon.

    • È possibile scegliere se comunicare agli utenti che l'app che hanno installato e autorizzato è stata vietata. La notifica comunica agli utenti che l'app verrà disabilitata e che non avranno accesso all'app connessa. Per fare in modo che gli utenti non lo sappiano, deselezionare l'opzione Invia una notifica agli utenti che hanno concesso l'accesso a questa app vietata nella finestra di dialogo.
    • È consigliabile informare gli utenti dell'app che l'uso dell'app sta per essere vietato.

    Ad esempio:

    Screenshot of banning an app.

  3. Digitare il messaggio da inviare agli utenti dell'app nella casella Immettere un messaggio di notifica personalizzato. Selezionare Ban app (Ban app ) per inviare la posta elettronica e impedire l'app agli utenti dell'app connessa.

  4. Per approvare l'app, selezionare l'icona approva alla fine della riga nella tabella.

    Screenshot of the approve app icon.

    • L'icona diventa verde e l'app viene approvata per tutti gli utenti dell'app connessa.
    • Quando si contrassegna un'app come approvata non vi sono effetti sull'utente finale. La modifica del colore consente di distinguere le app approvate e separarle da quelle non ancora esaminate.

Revocare l'app OAuth connessa a Salesforce e Google Workspace e inviare una notifica all'utente

Nota

Questa sezione è rilevante solo per le applicazioni Salesforce e Google Workspace. Per Google Workspace e Salesforce, è possibile revocare l'autorizzazione a un'app o notificare all'utente che deve modificare l'autorizzazione. Quando si revoca l'autorizzazione, vengono rimosse tutte le autorizzazioni concesse all'applicazione in "Applicazioni aziendali" in Microsoft Entra ID.

  1. Nelle schede Google Apps o Salesforce apps (App Google) o Salesforce apps (App Salesforce) selezionare i tre puntini alla fine della riga dell'app e selezionare Notify user (Notifica utente). Per impostazione predefinita, l'utente riceve una notifica nel modo seguente: l'app è autorizzata ad accedere all'account Google Workspace. Questa app è in conflitto con i criteri di sicurezza dell'organizzazione. Riconsiderare o revocare le autorizzazioni concesse all'app nell'account Google Workspace. Per revocare l'accesso alle app, passare a: https://security.google.com/settings/security/permissions?hl=en& pli=1 Selezionare l'app e selezionare "Revoca accesso" sulla barra dei menu a destra. È possibile personalizzare il messaggio inviato.

  2. È anche possibile revocare le autorizzazioni ad usare l'app per l'utente. Selezionare l'icona alla fine della riga dell'app nella tabella e selezionare Revoca app.

    Screenshot of the revoke app icon.

Passaggi successivi

Proteggere le app che accedono alle API non Graph usando la governance delle app