Изучение рисков и подозрительных действий в облачных приложениях

После выполнения Microsoft Defender for Cloud Apps в облачной среде вам потребуется этап обучения и изучения. Узнайте, как использовать средства Microsoft Defender for Cloud Apps, чтобы получить более глубокое представление о том, что происходит в облачной среде. В зависимости от конкретной среды и того, как она используется, можно определить требования для защиты организации от рисков. В этой статье описывается, как провести исследование, чтобы лучше понять облачную среду.

Пометка приложений как санкционированных или несанкционированных

Важный шаг к пониманию облака — пометить приложения как санкционированные или несанкционированные. После того как вы санкционировали приложение, вы можете фильтровать приложения, которые не санкционированы, и начать миграцию в санкционированные приложения одной категории приложений.

  • На портале Microsoft Defender в разделе Облачные приложения перейдите в каталог облачных приложений или Обнаружение облачных приложений — >обнаруженные приложения.

  • В списке приложений в строке, в которой приложение, которое вы хотите пометить как санкционированное, выберите три точки в конце строки снимок экрана: значок меню с тремя точками в конце строки приложения, используемой для тега приложения как санкционированного. и выберите "Санкционировано".

    Снимок экрана: параметр контекстного меню, чтобы пометить облачное приложение как санкционированное в Microsoft Defender for Cloud Apps.

Использование средств исследования

Чтобы исследовать действия, файлы, идентификационные данные и подключенные приложения в облачной среде, выполните следующие действия.

  1. На портале Microsoft Defender в разделе Облачные приложения перейдите в журнал действий и отфильтруйте по определенному приложению. Проверьте следующие элементы:

    • Кто обращается к вашей облачной среде?

    • Из каких диапазонов IP-адресов?

    • Что такое действия администратора?

    • Из каких расположений подключаются администраторы?

    • Какие-либо устаревшие устройства подключаются к облачной среде?

    • Выполняются ли неудачные попытки входа с ожидаемых IP-адресов?

  2. На портале Microsoft Defender в разделе Облачные приложения перейдите в раздел Файлы и проверьте следующие элементы:

    • Сколько файлов доступно для общего доступа, чтобы любой пользователь мог получить к ним доступ без ссылки?

    • С какими партнерами вы предоставляете общий доступ к файлам (исходящий общий доступ)?

    • Имеют ли какие-либо файлы конфиденциальные имена?

    • Предоставлен ли доступ к каким-либо файлам для чьей-либо личной учётной записи?

  3. На портале Microsoft Defender перейдите в раздел Идентификации и проверьте следующие элементы:

    • Были ли какие-либо учетные записи неактивными в определенной службе в течение длительного времени? Может быть, вы можете отозвать лицензию для этого пользователя на эту службу.

    • Хотите узнать, у каких пользователей есть определенная роль?

    • Был ли кто-то уволен, но у них по-прежнему есть доступ к приложению и он может использовать этот доступ для кражи информации?

    • Вы хотите отозвать разрешение пользователя на доступ к определенному приложению или потребовать, чтобы конкретный пользователь использовал многофакторную проверку подлинности?

    • Вы можете детализировать учетную запись пользователя, выбрав три точки в конце строки учетной записи пользователя и выбрав действие для выполнения. Выполните действие, например Приостановить пользователя или Удалить совместную работу пользователя. Если пользователь был импортирован из Microsoft Entra идентификатора, вы также можете выбрать Microsoft Entra параметры учетной записи, чтобы получить простой доступ к расширенным функциям управления пользователями. Примеры функций управления включают управление группами, MFA, сведения о входе пользователя и возможность блокировать вход.

  4. На портале Microsoft Defender выберите "Параметры" и выберите "Облачные приложения". В разделе Подключенные приложения выберите Соединители приложений, а затем выберите приложение. Открывается панель управления приложения, где отображаются сведения и аналитика. Для проверка можно использовать вкладки в верхней части:

    • Какие устройства используют пользователи для подключения к приложению?

    • Какие типы файлов сохраняются в облаке?

    • Какие действия происходят в приложении прямо сейчас?

    • Подключены ли к вашей среде сторонние приложения?

    • Знакомы ли вы с этими приложениями?

    • Авторизованы ли они на уровень доступа, который им разрешен?

    • Сколько пользователей их развернуло? Насколько распространены эти приложения в целом?

    Снимок экрана: панель мониторинга подключенного приложения в Microsoft Defender for Cloud Apps с аналитическими сведениями об устройстве, файле и активности.

  5. На портале Microsoft Defender в разделе Облачные приложения перейдите в раздел Cloud Discovery. Выберите вкладку Панель мониторинга и проверьте следующие элементы:

    • Какие облачные приложения используются, в какой степени и какими пользователями?

    • Для каких целей они используются?

    • Сколько данных отправляется в эти облачные приложения?

    • В каких категориях у вас есть санкционированные облачные приложения, и все же пользователи используют альтернативные решения?

    • Что касается альтернативных решений, вы хотите снять статус одобренных с каких-либо облачных приложений в вашей организации?

    • Существуют ли облачные приложения, которые используются, но не соответствуют политике вашей организации?

Пример исследования рискованного доступа к IP-адресу

Предположим, что у вас нет доступа к облачной среде по рискованным IP-адресам. В качестве примера, скажем, Tor. Но вы создаете политику для IP-адресов риска только для того, чтобы убедиться в том, что:

  1. На портале Microsoft Defender в разделе Облачные приложения перейдите в раздел Политики ->Шаблоны политик.

  2. Выберите политику Действия для параметра Тип.

  3. В конце строки Вход из опасного IP-адреса выберите знак "плюс" (+), чтобы создать новую политику.

  4. Измените название политики, чтобы вы могли легко её распознать.

  5. В разделе Действия, соответствующие всем приведенным ниже, выберите + , чтобы добавить фильтр. Прокрутите вниз до IP-тега и выберите Tor.

    Снимок экрана: политика действий, настроенная для обнаружения входов из рискованных IP-адресов, таких как Tor в Microsoft Defender for Cloud Apps.

Теперь, когда у вас есть политика рискованного IP-адреса, вы обнаружите, что у вас есть оповещение о том, что политика была нарушена.

  1. На портале Microsoft Defender перейдите в раздел Инциденты & оповещения -> Оповещения и просмотрите оповещение о нарушении политики.

  2. Если вы видите, что предупреждение указывает на реальное нарушение, следует локализовать риск или устранить нарушение.

    Чтобы сдержать риск, можно отправить пользователю уведомление, чтобы спросить, было ли нарушение преднамеренным и было ли о нем известно пользователю.

    Вы также можете детализировать оповещение и приостановить пользователя, пока не сможете выяснить, что необходимо сделать.

  3. Если событие разрешено и вряд ли повторится, можно закрыть оповещение.

    Если событие допустимо и вы ожидаете, что оно повторится, вы можете обновить политику так, чтобы попытки входа из этого одобренного источника в будущем не считались нарушениями.

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.