Создание политик обнаружения в облаке

Вы можете создавать политики обнаружения приложений, чтобы оповещать вас об обнаружении новых приложений. Defender for Cloud Apps также ищет аномалии во всех журналах в Cloud Discovery.

Создание политики обнаружения приложений

Политики обнаружения позволяют настраивать оповещения, которые уведомляют вас об обнаружении новых приложений в организации.

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Затем перейдите на вкладку Теневой ИТ .

  2. Выберите Создать политику , а затем — Политика обнаружения приложений.

    Снимок экрана вкладки Shadow IT, на котором показано меню «Создать политику» с пунктом «Политика обнаружения приложений».

  3. Присвойте политике имя и описание. При необходимости его можно создать на основе шаблона. Дополнительные сведения о шаблонах политик см. в разделе Управление облачными приложениями с помощью политик.

  4. Задайте серьезность политики.

  5. Чтобы указать, какие обнаруженные приложения активируют эту политику, добавьте фильтры.

  6. Можно задать пороговое значение для конфиденциальности политики. Включить активацию сопоставления политики, если все указанные ниже действия выполняются в один день. Вы можете установить условия, которые приложение должно превышать ежедневно для соответствия политике. Выберите одно из следующих условий.

    • Ежедневный трафик
    • Загруженные данные
    • Число IP-адресов
    • Число транзакций
    • Число пользователей
    • Отправленные данные
  7. Задайте ограничение на ежедневное количествооповещений в разделе Оповещения. Выберите, отправляется ли оповещение по электронной почте. Затем при необходимости укажите адреса электронной почты.

    • Если выбрать сохранить параметры оповещений в качестве значения по умолчанию для вашей организации , политики в будущем будут использовать этот параметр.
    • Если у вас есть параметр по умолчанию, можно выбрать Использовать параметры организации по умолчанию.
  8. Выберите Действия управления , чтобы применить, когда приложение соответствует этой политике. Он может помечать политики как санкционированные, несанкционированные, отслеживаемые или настраиваемые.

  9. Нажмите Создать.

Примечание.

  • Вновь созданные политики обнаружения (или политики с обновленными непрерывными отчетами) активируют оповещение один раз в 90 дней для каждого приложения на непрерывный отчет независимо от того, существуют ли оповещения для одного и того же приложения. Например, если вы создаете политику для обнаружения новых популярных приложений, она может активировать дополнительные оповещения для приложений, которые уже были обнаружены и оповещены.
  • Данные из отчетов моментальных снимков не вызывают оповещения в политиках обнаружения приложений.

Например, если вы заинтересованы в обнаружении опасного размещения приложений, обнаруженных в облачной среде, настройте политику следующим образом:

Задайте фильтры политики, чтобы найти все службы, относящиеся к категории служб хостинга, а также имеющие оценку риска 1, что указывает на их высокий уровень риска.

В разделе Активировать совпадение политики, если все указанные ниже события происходят в один и тот же день установите пороговые значения, при которых должно срабатывать оповещение для определенного обнаруженного приложения. Например, оповещайте, только если приложение использовали более 100 пользователей в среде и скачали определенный объем данных из службы. Кроме того, можно задать ограничение на количество ежедневных оповещений, которые вы хотите получать.

Снимок экрана: параметры политики обнаружения приложений, показывающие параметры фильтра и порогового значения для рискованных приложений для размещения приложений.

Обнаружение аномалий при обнаружении облачных ресурсов

Defender for Cloud Apps ищет аномалии во всех журналах в Cloud Discovery. Например, когда пользователь, который никогда ранее не использовал Dropbox, внезапно загружает в него 600 ГБ или когда в определенном приложении выполняется гораздо больше транзакций, чем обычно. Политика обнаружения аномалий включена по умолчанию. Нет необходимости настраивать новую политику, чтобы она работала. Однако вы можете точно настроить типы аномалий, о которых вы хотите получать оповещения в политике по умолчанию.

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Затем перейдите на вкладку Теневой ИТ .

  2. Выберите Создать политику и выберите Политика обнаружения аномалий Cloud Discovery.

    Снимок экрана: меню

  3. Присвойте политике имя и описание. При необходимости его можно создать на основе шаблона. Дополнительные сведения о шаблонах политик см. в статье Управление облачными приложениями с помощью политик.

  4. Чтобы указать, какие обнаруженные приложения активируют эту политику, выберите Добавить фильтры.

    Фильтры выбираются из раскрывающихся списков. Чтобы добавить фильтры, выберите Добавить фильтр. Чтобы удалить фильтр, выберите "X".

  5. В разделе Применить выберите , применяет ли эта политика все непрерывные отчеты или Конкретные непрерывные отчеты. Выберите, применяется ли политика к пользователям, IP-адресам или к обоим.

    Снимок экрана: применение политики файлов к определенным непрерывным отчетам

    Важно!

    При настройке политики обнаружения приложений и выборе применить ко > всем непрерывным отчетам для каждого потока обнаружения создается несколько оповещений, включая глобальный поток, который объединяет данные из всех источников. Чтобы управлять объемом оповещений, выберите Применить к > конкретным непрерывным отчетам и выберите только соответствующие потоки для политики. Дополнительные сведения: Отчеты о непрерывной оценке рисков в приложениях Defender для облака

  6. Выберите даты, в течение которых произошло аномальное действие, чтобы активировать оповещение в разделе Создание оповещений только для подозрительных действий, выполняемых после даты.

  7. Задайте ограничение на ежедневное количествооповещений в разделе Оповещения. Выберите, отправляется ли оповещение по электронной почте. Затем при необходимости укажите адреса электронной почты.

    • Если выбрать сохранить параметры оповещений в качестве значения по умолчанию для вашей организации , политики в будущем будут использовать этот параметр.
    • Если у вас есть параметр по умолчанию, можно выбрать Использовать параметры организации по умолчанию.
  8. Нажмите Создать.

    Снимок экрана: страница новой политики политики обнаружения аномалий с критериями обнаружения аномалий и параметрами оповещений.

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.