クラウド ディスカバリー ポリシーの作成

新しいアプリが検出されたときに通知する、アプリの検出ポリシーを作成できます。 Defender for Cloud Apps は、クラウド ディスカバリー内のログもすべて検索して異常を検出します。

アプリの検出ポリシーの作成

検出ポリシーを使用すると、組織内で新しいアプリが検出されたことを知らせる警告を設定することができます。

  1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 次に、[シャドウ IT] タブを選択します。

  2. [ポリシーの作成] をクリックし、[アプリ検出ポリシー] を選択します。

    クラウド ディスカバリー ポリシーを作成します。

  3. ポリシーに名前と説明を指定します。 必要に応じて、テンプレートを使用することができます。 ポリシー テンプレートの詳細については、ポリシーを使用してクラウド アプリを制御するをご覧ください。

  4. ポリシーの [重要度] を設定します。

  5. どのアプリが検出されたらこのポリシーをトリガーするか設定するには、フィルターを追加します。

  6. ポリシーの感度については、しきい値を設定できます。 [Trigger a policy match if all the following occur on the same day]\(以下のすべてが同じ日に起こった場合にポリシーの一致をトリガーする\) を有効にします。 ポリシーに一致するにはアプリが毎日超えなくてはならない条件を設定できます。 次のいずれかの条件を選択します。

    • 毎日のトラフィック
    • ダウンロードされたデータ
    • IP アドレスの数
    • トランザクションの数
    • ユーザーの数
    • アップロードされたデータ
  7. [アラート] の [日次アラート制限] を設定します。 アラートが電子メールとして送信されるかどうかを選択します。 次に、必要に応じて電子メール アドレスを入力します。

    • [Save alert settings as the default for your organization] (アラートの設定を組織の既定として保存する) を選択すると、将来のポリシーでその設定を使用できるようになります。
    • 既定の設定がある場合は、[Use your organization's default settings]\(組織の既定の設定を使用する\) を選択できます。
  8. アプリがこのポリシーと一致したときに適用する、ガバナンス アクションを選択します。 これによって、ポリシーに [承認]、[非承認]、[監視対象] タグ、またはカスタム タグを付けることができます。

  9. [作成] を選択します

Note

  • 新しく作成された検出ポリシー (または継続的レポートが更新されたポリシー) は、同じアプリに対する既存のアラートがあるかどうかに関係なく、継続的なレポートごと、アプリごとに 90 日に 1 回アラートをトリガーします。 そのため、たとえば、新しい人気が高いアプリを検出するためのポリシーを作成すると、既に検出されてアラートが送信されているアプリに対して、そのポリシーが追加のアラートをトリガーする可能性があります。
  • スナップショット レポートのデータは、アプリ検出ポリシーでアラートをトリガーしません。

たとえば、クラウド環境内における危険なホスティング アプリを検出することに関心がある場合には、次のようにポリシーを設定します。

[ホスティング サービス] カテゴリで発見された、高い危険性を示すリスク スコア 1 のサービスを検出するポリシー フィルターを設定します。

下部にある特定の検出されたアプリに対してアラートをトリガーするしきい値を設定します。 たとえば、環境内でアプリを使用したユーザーが 100 名を超えた場合や、サービスから特定のデータ量がダウンロードされた場合にのみ通知することができます。 さらに、1 日に受信するアラート数を設定することもできます。

アプリ検出ポリシーの例。

クラウド ディスカバリー異常検出

Defender for Cloud Apps は、クラウド ディスカバリー内のログをすべて検索して異常を検出します。 たとえば、これまでに Dropbox を使用したことのないユーザーが突然 600 GB のファイルを Dropbox にアップロードしたり、特定のアプリで通常よりもはるかに多くのトランザクションが発生していたりする場合などに通知します。 異常検出ポリシーは、既定で有効になっています。 新しいポリシーを構成しなくても動作します。 ただし、既定のポリシーの通知する異常のタイプを微調整することができます。

  1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 次に、 シャドウ IT タブを選択します。

  2. ポリシーの作成 を選択し、Cloud Discovery 異常検出ポリシー を選択します。

    Cloud Discovery 異常検出ポリシーのメニュー。

  3. ポリシーに名前と説明を指定します。 必要に応じて、ポリシー テンプレートを使用することもできます。ポリシー テンプレートの詳細については、「Control cloud apps with policies」(ポリシーによるクラウド アプリの制御) を参照してください。

  4. どのアプリが検出されたらこのポリシーがトリガーされるかを設定するには、[フィルターの追加] を選択します。

    フィルターをドロップダウン リストから選択します。 フィルターを追加するには、[フィルターの追加] を選択します。 フィルターを削除するには、[X] を選択します。

  5. [Apply to]\(適用の対象\) で、このポリシーを [All continuous reports]\(すべての継続的レポート\) と [Specific continuous reports]\(特定の継続的レポート\) のどちらに適用するかを選択します。 ポリシーを [ユーザー]、[IP アドレス]、またはその両方に適用するかどうかを選択します。

  6. [指定の日付後に生じた疑わしいアクティビティに関してのみアラートを出す] で、異常なアクティビティに対してアラートをトリガーする期間を選択します。

  7. [アラート] の [日次アラート制限] を設定します。 アラートが電子メールとして送信されるかどうかを選択します。 次に、必要に応じて電子メール アドレスを入力します。

    • [Save alert settings as the default for your organization] (アラートの設定を組織の既定として保存する) を選択すると、将来のポリシーでその設定を使用できるようになります。
    • 既定の設定がある場合は、[Use your organization's default settings]\(組織の既定の設定を使用する\) を選択できます。
  8. [作成] を選択します

    新しい異常検出ポリシー。

次のステップ

問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。