Создание политик для управления приложениями OAuth

Создание политик приложений OAuth

Задайте политики разрешений таким образом, чтобы автоматически получать уведомления, когда приложение OAuth соответствует определенным критериям. Например, вы можете автоматически получать оповещения при наличии приложений, требующих высокого уровня разрешений и авторизованных более чем 50 пользователями. Дополнительные сведения об изучении приложений OAuth см. в статье "Управление разрешениями приложений".

Политики OAuth-приложений позволяют проверять, какие разрешения запрашивало каждое приложение и какие пользователи авторизовали их в Microsoft 365, Google Workspace и Salesforce. Вы также можете пометить эти разрешения как утвержденные или запрещенные. Пометка разрешений, запрещенных, отключает соответствующее корпоративное приложение.

Наряду со встроенным набором возможностей для обнаружения аномального поведения приложения и создания оповещений на основе алгоритмов машинного обучения политики приложений в системе управления приложениями позволяют:

  • Указывать условия, на основании которых система управления приложениями может оповещать вас о поведении приложений для автоматического или ручного исправления.
  • Настройте политики соответствия приложений для вашей организации.

Примечание.

Если вы включили управление приложениями для своей организации, вы также можете указать условия для оповещений системы управления приложениями и реализовать политики соответствия приложений для своей организации. Дополнительные сведения см. в статье Создание политик приложений в системе управления приложениями.

Создайте новую политику приложения OAuth

Вы можете создать политику приложений OAuth из управления политиками или из системы управления приложениями.

Если у вас включены функции предварительной версии Microsoft Defender и включено управление приложениями (см. раздел "Начало работы с управлением приложениями"), создайте политику на странице Управление приложениями, а не на странице Управление политиками.

Чтобы создать новую политику приложений OAuth, выполните следующие действия:

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики, а затем — Управление политиками.

  2. Перейдите на вкладку Обнаружение угроз и выберите Создать политику , а затем политику приложений OAuth.

    Снимок экрана: создание политики приложений OAUth на портале Microsoft Defender.

  3. На странице Создание политики приложений OAuth введите имя и описание политики.

    Снимок экрана, на котором показано, где ввести сведения о новой политике приложений Oauth.

  4. Отфильтруйте приложения в соответствии с вашими потребностями. Например, можно просмотреть все приложения, которые запрашивают разрешение наизменение календарей в почтовом ящике.

  5. Вы можете использовать фильтр Использование сообществом, чтобы узнать, насколько часто пользователи предоставляют разрешения этому приложению: распространено это, нераспространено или редко. Фильтр Использование сообществом может быть полезен, если у вас есть редко используемое приложение, которое запрашивает разрешение с высоким уровнем серьезности или разрешение, которое запрашивают многие пользователи.

  6. Выберите кнопку Новая политика из поиска.

  7. Политику можно настроить на основе членства в группах пользователей, авторизовавших приложения. Например, администратор может установить политику, которая отменяет необычные приложения, если они запрашивают высокие разрешения, только если пользователь, авторизовавший разрешения, является членом группы администраторов .

Примечание.

Политики приложений OAuth будут активировать оповещения только для политик, которые были авторизованы пользователями в клиенте.

Политики обнаружения аномалий приложений OAuth

В дополнение к политикам приложений OAuth, которые можно создать, существуют следующие готовые политики обнаружения аномалий, которые профилируют метаданные приложений OAuth для выявления потенциально вредоносных:

Имя политики Описание политики
Вводящее в заблуждение название OAuth-приложения Сканирует приложения OAuth, подключенные к вашей среде, и активирует оповещение при обнаружении приложения с вводящим в заблуждение именем. Вводящие в заблуждение имена, такие как иностранные буквы, напоминающие латинские буквы, могут указывать на попытку замаскировать вредоносное приложение под известное и доверенное приложение.
Неправильное имя издателя для приложения OAuth Сканирует приложения OAuth, подключенные к вашей среде, и активирует оповещение при обнаружении приложения с вводящим в заблуждение именем издателя. Вводящие в заблуждение имена издателей, такие как иностранные буквы, напоминающие латинские буквы, могут указывать на попытку замаскировать вредоносное приложение под приложение, поступающее от известного и доверенного издателя.
Согласие вредоносного приложения OAuth Сканирует приложения OAuth, подключенные к вашей среде, и активирует оповещение при авторизации потенциально вредоносного приложения. Вредоносные приложения OAuth могут использоваться в рамках фишинговой кампании при попытке компрометации пользователей. В этом обнаружении используются исследования безопасности Майкрософт и опыт аналитики угроз для выявления вредоносных приложений.
Подозрительные действия по загрузке файлов приложений OAuth. См. статью Политики обнаружения аномалий

Примечание.

  • Политики обнаружения аномалий доступны только для приложений OAuth, авторизованных в Microsoft Entra ID.
  • Серьезность политик обнаружения аномалий приложения OAuth не может быть изменена.

Дальнейшие действия