每月操作指南 - Microsoft Defender for Cloud Apps
本文列出了建议使用 Microsoft Defender for Cloud Apps 执行的每月操作活动。
每月活动可以更频繁或根据需要执行,具体取决于环境和需求。
查看策略评估
位置:在 Microsoft Defender XDR 门户中,选择 云应用 > 策略 > 策略管理
角色:安全性和合规性管理员
查看策略并进行任何必要的更新,以确保它们仍适合你的组织。
检查误报率和良性真正率,并调整速率过高的策略。 例如,确保在 Defender for Cloud Apps 设置中正确配置任何新的公司 IP 地址,以避免不可能误报。
查看业务需求并评估自定义策略的要求。 例如,每个策略检测到的威胁是否仍然相关? 还是有一个新的内置解决方案来检测该威胁?
清除旧警报。 例如:
- 查看过去六个月的警报。 筛选掉标记为 “已解决”的警报,并对类似警报进行分组以简化查看。
- 验证显示的每个警报为何未解决。
- 如果警报是良性的,请消除警报并根据需要调整策略。
有关详细信息,请参阅 使用策略控制云应用。
查看活动日志
位置:在 Microsoft Defender XDR 门户的“云应用”下,选择“活动日志”。
角色:安全性和合规性管理员
经常查看与警报相关的活动日志,并作为威胁调查的一部分。 建议每月重新访问活动日志,以检查同一实体重复的活动,例如同一用户的多个搜索或登录。
- 按活动类型(例如失败的登录)或删除或删除或分配权限来透视结果。
- 将活动范围缩小到应用或用户。
- 使用结果创建新策略,帮助你更密切地监视和响应潜在威胁。
有关详细信息,请参阅 活动查询。