Cloud Discovery 策略

  • 项目

本文概述了如何开始使用 Defender for Cloud Apps,以通过 Cloud Discovery 在整个组织中深入了解影子 IT。

Defender for Cloud Apps 使你能够发现和分析组织环境中使用的云应用。 Cloud Discovery 仪表板显示环境中运行的所有云应用,并按功能和企业就绪情况对其进行分类。 对于每个应用,发现关联的用户、IP 地址、设备、事务并执行风险评估,而无需在端点设备上安装代理。

检测新的大容量或大范围应用使用情况

根据组织中的用户数量或流量,检测高度使用的新应用。

先决条件

为连续的 Cloud Discovery 报告配置自动日志上传,如为连续报告配置自动上传日志中所述,或者启用 Defender for Cloud Apps 与 Defender for Endpoint 的集成,如将 Microsoft Defender for Endpoint 与 Defender for Cloud Apps 集成中所述。

步骤

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”。 创建新的应用发现策略

  2. 在“策略模板”字段中,选择“新建大容量应用”或“新建常用应用”并应用模板。

  3. 自定义策略筛选器以满足组织的要求。

  4. 配置触发警报时要执行的操作。

注意

针对过去 90 天未发现的每个新应用生成一次警报。

检测新的有风险的或不合规的应用使用情况

检测云应用中不符合安全标准的潜在风险。

先决条件

为连续的 Cloud Discovery 报告配置自动日志上传,如为连续报告配置自动上传日志中所述,或者启用 Defender for Cloud Apps 与 Defender for Endpoint 的集成,如将 Microsoft Defender for Endpoint 与 Defender for Cloud Apps 集成中所述。

步骤

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”。 创建新的应用发现策略

  2. 在“策略模板”字段中,选择“新的有风险的应用”模板并应用该模板。

  3. 在“匹配以下所有项的应用”下,设置“风险分数”滑块和合规性风险因素,以自定义要触发警报的风险级别,并设置其他策略筛选器以满足组织的安全要求。

    1. 可选:要获取更有意义的检测,请自定义将触发警报的流量。

    2. 选中“在同一天中发生下述所有情况时触发策略”复选框。

    3. 选择超过 2000 GB(或其他)的每日流量

  4. 配置触发警报时要执行的治理操作。 在“治理”下,选择“将应用标记为未批准”
    匹配策略时,将自动阻止对应用的访问。

  5. 可选:利用 Defender for Cloud Apps 与安全 Web 网关的本机集成以阻止应用访问。

检测未批准的商业应用的使用情况

你可以检测员工何时继续使用未批准的应用,来替代已批准的可用于业务的应用。

先决条件

步骤

  1. 在云应用目录中,搜索可用于业务的应用,并使用自定义应用标记对其进行标记。

  2. 按照检测新大容量或大范围应用使用情况中的步骤操作。

  3. 添加“应用标记”筛选器,并选择为可用于业务的应用创建的应用标记。

  4. 配置触发警报时要执行的治理操作。 在“治理”下,选择“将应用标记为未批准”
    匹配策略时,将自动阻止对应用的访问。

  5. 可选:利用 Defender for Cloud Apps 与安全 Web 网关的本机集成以阻止应用访问。

检测网络上的异常使用模式

检测云应用中的异常流量使用模式(上传/下载),这些流量来自组织网络内的用户或 IP 地址。

先决条件

为连续的 Cloud Discovery 报告配置自动日志上传,如为连续报告配置自动上传日志中所述,或者启用 Defender for Cloud Apps 与 Defender for Endpoint 的集成,如将 Microsoft Defender for Endpoint 与 Defender for Cloud Apps 集成中所述。

步骤

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”。 创建新的 Cloud Discovery 异常情况检测策略

  2. 在“策略模板”字段中,选择“已发现用户的异常行为”,或者“发现的 IP 地址中的异常行为”

  3. 自定义筛选器以满足组织的要求。

  4. 如果只想在存在涉及风险应用的异常时收到警报,请使用“风险分数”筛选器并设置应用被视为有风险的范围。

  5. 使用滑块选择异常情况检测敏感度

注意

建立连续的日志上传后,异常情况检测引擎需要几天时间才能为组织中的预期行为建立基线(学习期)。 建立基线后,如果用户或 IP 地址跨云应用的流量行为与预期不符,就会收到警报。

检测未批准的存储应用中的异常 Cloud Discovery 行为

检测用户在未批准的云存储应用中的异常行为。

先决条件

为连续的 Cloud Discovery 报告配置自动日志上传,如为连续报告配置自动上传日志中所述,或者启用 Defender for Cloud Apps 与 Defender for Endpoint 的集成,如将 Microsoft Defender for Endpoint 与 Defender for Cloud Apps 集成中所述。

步骤

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”。 创建新的 Cloud Discovery 异常情况检测策略

  2. 选择筛选器“应用类别”等于“云存储”

  3. 选择筛选器“应用标记”不等于“已批准”

  4. 选中“为每个具有策略严重性的匹配事件创建警报”旁的复选框。

  5. 配置触发警报时要执行的操作。

检测有风险的 OAuth 应用

获取对 Google Workspace、Microsoft 365 和 Salesforce 等应用中安装的 OAuth 应用的可见性和控制。 请求高权限且社区很少使用的 OAuth 应用可能会被视为有风险。

先决条件

你必须使用应用连接器连接 Google Workspace、Microsoft 365 或 Salesforce 应用。

步骤

    1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”。 创建新的 OAuth 应用策略

  2. 选择筛选器“应用”并设置策略应涵盖的应用、Google Workspace、Microsoft 365 或 Salesforce。

  3. 选择“权限级别”等于“高”(适用于 Google Workspace 和 Microsoft 365)。

  4. 添加筛选器“社区使用”等于“很少”

  5. 配置触发警报时要执行的操作。 例如,对于 Microsoft 365,为策略检测到的 OAuth 应用选中“撤销应用”

注意

支持 Google Workspace、Microsoft 365 和 Salesforce App Store。

后续步骤

保护组织的最佳做法

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证