Начало работы с управлением приложениями в приложениях Defender для облака

Решения по управлению приложениями требуют глубокого понимания поведения приложения в среде для выявления и устранения действий, которые соответствуют уровню терпимости, требующего более подробного изучения для оценки злонамеренного намерения. При наложении на Defender для облака Приложения система управления приложениями обеспечивает глубокое управление поведением приложений в среде.

В этой статье описывается, как приступить к работе с функциями управления приложениями в Microsoft Defender для облака Apps.

Необходимые компоненты

  • Если вы еще не сделали этого, зарегистрируйтесь для управления приложениями и выполните действия, чтобы добавить его в клиент. После регистрации в системе управления приложениями вам потребуется ждать до 10 часов, чтобы увидеть и использовать продукт.

    Дополнительные сведения см. в разделе "Включение управления приложениями" для Microsoft Defender для облака Apps.

  • Учетная запись входа должна иметь поддерживаемую роль администратора управления приложениями, чтобы просмотреть все данные системы управления приложениями.

  • Чтобы использовать полные функциональные возможности для оповещений системы управления приложениями, необходимо подготовить как Defender для облака приложения, так и XDR в Microsoft Defender, доступ к соответствующим порталам по крайней мере один раз.

Шаг 1. Получение видимости и аналитических сведений

Начните с следующих действий, чтобы получить видимость и аналитические сведения о приложениях:

  1. Войдите: в браузере перейдите на страницу управления приложениями XDR XDR > >В Microsoft Defender.

  2. Определение положения соответствия. Используйте данные на вкладке "Обзор управления приложениями>", чтобы оценить состояние соответствия приложений и инцидентов в клиенте. Просмотрите сведения, такие как количество избыточных приложений в клиенте, количество активных инцидентов, общий доступ к данным API Graph и многое другое.

    Совет

    Вы также можете просмотреть рекомендации, связанные с управлением приложениями, в Secure Score , чтобы помочь вам целостно управлять состоянием.

  3. Просмотр приложений: сортировка данных на вкладках управления приложениями по приложениям с высоким уровнем использования данных или количеством предоставленных разрешений, а также фильтрация по приложениям с высоким уровнем привилегий, приложениям с неиспользуемыми разрешениями или непроверенным издателем и многое другое.

    Используйте эти параметры сортировки и фильтрации, чтобы получить более подробную информацию о приложениях OAuth, включая соответствующие метаданные приложения и данные об использовании.

  4. Получите подробные сведения о приложении: на вкладках управления приложениями выберите приложение в сетке, чтобы просмотреть страницу сведений о приложении. Изучите использование данных учетной записи приоритета для конкретного приложения, трассируйте точно данные, к которым осуществляется доступ, какие разрешения используются, и какие разрешения не используются.

Дополнительные сведения см. в статье "Начало работы с видимостью и аналитическими сведениями".

Шаг 2. Реализация политик приложений

Управление приложениями использует алгоритмы обнаружения на основе машинного обучения для обнаружения аномального поведения приложения в вашей среде, а затем создает оповещения, которые можно просматривать, исследовать и разрешать.

Помимо этой встроенной возможности обнаружения используйте набор шаблонов политик по умолчанию или создайте собственные политики приложений для создания других оповещений.

Политики для шаблонов и поведения приложений и пользователей могут защитить пользователей от использования несоответствующих или вредоносных приложений, а также ограничить доступ к данным клиента рискованным приложениям.

Управление приложениями поддерживает следующие типы политик:

Тип политики Description
Предопределенные политики Управление приложениями оснащено набором предопределенных политик, адаптированных к вашей среде. Предопределенные политики позволяют запускать мониторинг приложений даже перед настройкой любых политик. Используйте предопределенные политики, чтобы убедиться, что вы получите уведомление о аномалиях приложений на ранних этапах.
Определяемые пользователем политики Помимо предопределенных политик администраторы также могут использовать доступные условия для создания пользовательских политик или выбора из доступных рекомендуемых политик.

Чтобы просмотреть список текущих политик управления приложениями, перейдите на вкладку "Политики управления > приложениями XDR" в Microsoft Defender XDR > Cloud Apps>.

Примечание.

Встроенные политики обнаружения угроз не перечислены на странице управления приложениями . Дополнительные сведения см. в статье "Исследование оповещений об обнаружении угроз".

Для реализации политик приложений:

  1. Работа с предопределенными политиками: управление приложениями содержит набор стандартных политик для обнаружения аномального поведения приложений. Эти политики активируются по умолчанию, но их можно отключить, если вы решили.

  2. Создание политик приложений: управление приложениями предлагает более 20 условий политики и шаблонов для использования. Политики управления приложениями помогают вам:

    • Укажите условия, с помощью которых система управления приложениями может оповещать вас о поведении приложений для автоматического или ручного исправления.

    • Реализуйте политики соответствия приложений для вашей организации.

  3. Управление политиками приложений: чтобы поддерживать последние приложения, которые ваша организация использует, реагировать на новые атаки на основе приложений и для текущих изменений в требованиях соответствия приложений, может потребоваться управлять политиками приложений следующим образом:

    • Создание новых политик, предназначенных для новых приложений

    • Изменение состояния существующей политики (активный, неактивный, режим аудита)

    • Изменение условий существующей политики

    • Изменение действий существующей политики для автоматического создания оповещений

Дополнительные сведения см. в разделе "Сведения о политиках приложений".

Шаг 3. Обнаружение и устранение угроз приложений

Используйте систему управления приложениями для отслеживания оповещений об угрозах, создаваемых встроенными методами обнаружения системы управления приложениями для действий вредоносных приложений и оповещений на основе политик, создаваемых активными политиками приложений.

Эти оповещения могут указывать на аномалии в действии приложения и когда используются несоответствующие, вредоносные или рискованные приложения. Вы также можете использовать шаблоны в оповещениях для создания новых политик приложений или изменения параметров существующих политик для более строгих действий.

Вы также можете исправить оповещения, вручную после исследования или автоматически с помощью параметров действия в активных политиках приложений.

Выполните любой из следующих действий, чтобы обнаружить и устранить угрозы:

  • Начало работы с обнаружением и исправлением угроз приложений. Управление приложениями собирает оповещения об угрозах, созданные встроенными методами обнаружения управления приложениями на основе машинного обучения. Оповещения об угрозах основаны на действиях вредоносных приложений и оповещениях на основе политик, создаваемых активными политиками приложений.

  • Отслеживайте и реагируйте на приложения с необычным использованием данных: управление приложениями предоставляет сведения об использовании данных, которые помогают выявлять нежелательные и потенциально вредоносные действия приложений.

  • Изучение оповещений об обнаружении аномалий: управление приложениями предоставляет обнаружения безопасности и оповещения для вредоносных действий. Цель этого руководства — предоставить вам общую и практическую информацию о каждом оповещении, чтобы помочь в выполнении задач исследования и исправления.

  • Устранение угроз приложений: вы исправляете вредное действие приложения и приложения, определяемое оповещениями системы управления приложениями в XDR в Microsoft Defender.

Дополнительные сведения см. в статье об обнаружении угроз приложений и исправлении.

Следующие шаги

Часто задаваемые вопросы об управлении приложениями