Создание политик приложений OAuth и управление ими

Управление приложениями использует алгоритмы машинного обучения для обнаружения аномального поведения приложения и создания оповещений. Вы также можете создавать политики, позволяющие выполнять следующие действия.

  • Укажите условия, по которым система управления приложениями оповещает о поведении приложения для автоматического или ручного исправления.

  • Применяйте политики соответствия для приложений в вашей организации.

В этой статье показано, как создавать и настраивать политики приложений OAuth в управлении приложениями, подключенными к Microsoft 365, Google Workspace и Salesforce, включая использование шаблонов, создание настраиваемых политик и работу с политиками обнаружения аномалий.


Создание политик приложений OAuth для Microsoft Entra ID

Для приложений, подключенных к Microsoft Entra ID, создайте политики приложений на основе предоставленных шаблонов, которые можно настроить, или создайте собственную настраиваемую политику приложений.

  1. Чтобы создать политику приложений для приложений Microsoft 365, перейдите в раздел Microsoft Defender XDR>Политики>управления>приложениями Microsoft 365.

    Например:

    Снимок экрана: вкладка Microsoft 365.

  2. Выберите параметр Создать политику и выполните одно из следующих действий:

    • Чтобы создать политику приложений на основе шаблона, выберите соответствующую категорию шаблона, а затем шаблон в этой категории.
    • Чтобы создать настраиваемую политику, выберите категорию Пользовательская .

    Например:

    Снимок экрана: интерфейс

Шаблоны политики приложений

Чтобы создать политику приложений на основе шаблона политики приложений, на странице Выбор шаблона политики приложений выберите категорию шаблона приложения, задайте имя шаблона и затем нажмите Далее.

Шаблоны политики приложений группируются в следующие категории: использование, разрешения и сертификация.

Применение

В следующей таблице перечислены шаблоны управления приложениями, поддерживаемые для создания оповещений об использовании приложений.

Имя шаблона Описание
Неиспользуемое приложение Поиск приложений, которые не прошли проверку подлинности в последнее время. Эта политика проверяет следующие условия:
  • Последнее использование: более 90 дней (с возможностью настройки)
Новое приложение с высоким уровнем использования данных Найдите недавно зарегистрированные приложения, которые отправили или скачали большие объемы данных, с помощью API Microsoft Graph и EWS. Эта политика проверяет следующие условия:
  • Возраст регистрации: семь дней или меньше (можно настроить)
  • Использование данных: более 1 ГБ за один день (настраивается)
Увеличение числа пользователей Поиск приложений со значительно увеличенным числом пользователей. Эта политика проверяет следующие условия:
  • Диапазон времени: последние 90 дней
  • Увеличение числа соглашающихся пользователей: по крайней мере 50% (настраивается)

Разрешения

В следующей таблице перечислены шаблоны управления приложениями, поддерживаемые для создания оповещений для разрешений приложений.

Имя шаблона Описание
Приложение с избыточными правами Найдите приложения с неиспользуемыми разрешениями Microsoft API Graph. Этим приложениям были предоставлены разрешения, которые могут быть ненужными для регулярного использования.
Новое приложение с высоким уровнем привилегий Найдите недавно зарегистрированные приложения, которым был предоставлен доступ на запись и другие широкие разрешения к Microsoft Graph и другим распространённым собственным API Microsoft. Эта политика проверяет следующие условия:
  • Возраст регистрации: семь дней или меньше (можно настроить)
Новое приложение с разрешениями, не относящимися к API Graph Найдите только что зарегистрированные приложения с разрешениями для API- интерфейсов, отличных от Graph. Эти приложения могут подвергать вас рискам, если API, к которым они обращаются, получают ограниченную поддержку и обновления.

Эта политика проверяет следующие условия:
  • Возраст регистрации: семь дней или меньше (можно настроить)
  • Разрешения, отличные от API Graph: Да

Сертификация

В следующей таблице перечислены шаблоны управления приложениями, поддерживаемые для создания оповещений для сертификации Microsoft 365.

Имя шаблона Описание
Новое несертифицированное приложение Найдите недавно зарегистрированные приложения, которые не имеют аттестации издателя или сертификации Microsoft 365. Эта политика проверяет следующие условия:
  • Возраст регистрации: семь дней или меньше (можно настроить)
  • Сертификация: нет сертификации (настраиваемая)

Настраиваемые политики

Используйте настраиваемую политику приложений, когда необходимое вам действие не покрывается ни одним из встроенных шаблонов.

  1. Чтобы создать новую настраиваемую политику приложений, сначала выберите Создать политику на странице Политики . На странице Выбор шаблона политики приложений выберите категорию Настраиваемая, затем шаблон Настраиваемая политика, а после нажмите Далее.

  2. На странице Имя и описание настройте следующие параметры:

    • Имя политики
    • Описание политики
    • Выберите уровень серьезности политики, который определяет уровень серьезности оповещений, создаваемых этой политикой.
      • Высокий
      • Средний
      • Низкий
  3. На странице Выбор параметров и условий политики в разделе Выбор приложений, к которым применима эта политика выберите:

    • Все приложения
    • Выбор определенных приложений
    • Все приложения, кроме
  4. Если выбраны определенные приложения или все приложения, кроме этой политики, выберите Добавить приложения и выберите нужные приложения в списке. В области Выбор приложений можно выбрать несколько приложений, к которым применяется эта политика, а затем нажать кнопку Добавить. Нажмите кнопку Далее , если вы удовлетворены списком.

  5. Выберите Изменить условия>Добавить условие и выберите условие из списка. Задайте требуемое пороговое значение для выбранного условия. Повторите эти действия, чтобы добавить другие условия.

  6. Нажмите кнопку Сохранить , чтобы сохранить правило, и по завершении добавления правил нажмите кнопку Далее.

    Примечание.

    Некоторые условия политики применимы только к приложениям, которые получают доступ к API Graph разрешениям. При оценке приложений, которые обращаются только к API- интерфейсам, отличным от Graph, управление приложениями пропускает эти условия политики и переходит к проверка только другим условиям политики.

  7. Ниже приведены доступные условия для настраиваемой политики приложений:

    Условие Допустимые значения условия Описание Дополнительная информация
    Возраст регистрации В течение последних X дней Приложения, зарегистрированные для Microsoft Entra ID в течение указанного периода с текущей даты
    Сертификация Сертификация отсутствует, подтверждено издателем, сертифицировано для Microsoft 365 Приложения, сертифицированные Microsoft 365, имеющие отчет об аттестации издателя или ни то, ни другое Обзор платформы сертификации Microsoft 365
    Проверка издателя Да или нет Приложения с проверенными издателями Проверка издателя
    Разрешения приложений (только Graph) Выберите одно или несколько разрешений API из списка Приложения с определенными разрешениями API Graph, которые были предоставлены напрямую Справочник по разрешениям Microsoft Graph
    Делегированные разрешения (только Graph) Выберите одно или несколько разрешений API из списка Приложения с определенными разрешениями API Graph, предоставленными пользователем Справочник по разрешениям Microsoft Graph
    С высоким уровнем привилегий Да или нет Приложения с широкими разрешениями к Microsoft Graph и другим стандартным API Microsoft или с высокопривилегированными ролями Microsoft Entra Внутреннее обозначение, основанное на той же логике, которая используется в Defender for Cloud Apps.
    С избыточными привилегиями (только для Graph) Да или нет Приложения с неиспользуемыми разрешениями API Graph Приложения, которым предоставлено больше разрешений, чем ими используется.
    Разрешения интерфейсов API, не относящихся к Graph Да или нет Приложения с разрешениями для API- интерфейсов, отличных от Graph. Эти приложения могут подвергать вас рискам, если API, к которым они обращаются, получают ограниченную поддержку и обновления.
    Использование данных Больше X ГБ данных, скачанных и отправленных в день Приложения, которые считывают и записывают больше указанного объема данных с помощью API Microsoft Graph и EWS
    Тенденция использования данных Увеличение использования данных на X % по сравнению с предыдущим днем Приложения, данные которых считываются и записываются с помощью API Microsoft Graph и EWS, увеличились на указанный процент по сравнению с предыдущим днем
    Доступ к API (только Graph API) Больше X вызовов API в день Приложения, которые выполнили указанное количество API Graph звонков в день
    Тенденция доступа к API (только Graph) Увеличение числа вызовов API на X % по сравнению с предыдущим днем Приложения, количество API Graph звонков которых увеличилось на указанный процент по сравнению с предыдущим днем
    Число пользователей, которые предоставили согласие (Больше или меньше) X пользователей, давших согласие Приложения, на которые было дано согласие большим или меньшим числом пользователей, чем указано
    Увеличение числа пользователей, которые предоставили согласие X % увеличения числа пользователей за последние 90 дней Приложения, число пользователей, давших согласие, у которых за последние 90 дней увеличилось более чем на указанный процент
    Предоставлено согласие учетной записи приоритета Да или нет Приложения, которым было предоставлено согласие приоритетными пользователями Пользователь с приоритетной учетной записью.
    Имена пользователей, которые предоставили согласие Выбор пользователей из списка Приложения, которым было дано согласие определенными пользователями
    Роли пользователей, ющих согласие Выбор ролей из списка Приложения, которым предоставлено согласие пользователей с определенными ролями Разрешен выбор нескольких вариантов.

    В этом списке должна отображаться любая роль Microsoft Entra с назначенным участником.
    Доступ к меткам конфиденциальности Выберите одну или несколько меток конфиденциальности в списке Приложения, которые обращались к данным с определенными метками конфиденциальности за последние 30 дней.
    Доступ к службам (только Graph) Exchange и (или) OneDrive и (или) SharePoint и (или) Teams Приложения, имеющие доступ к OneDrive, SharePoint или Exchange Online с помощью API Microsoft Graph и EWS Разрешен выбор нескольких вариантов.
    Частота ошибок (только Graph) Число ошибок больше X% за последние семь дней Приложения, число ошибок API Graph которых за последние семь дней превышает указанный процент.
    Последнее использование В течение последних X дней Приложения, которые не прошли проверку подлинности в течение указанного периода с текущей даты
    Источник приложения Внешний или внутренний Приложения, которые были созданы в клиенте или зарегистрированы во внешнем клиенте

    Чтобы эта политика приложений создавала оповещения, должны быть выполнены все указанные условия.

  8. Завершив задание условий, нажмите кнопку Сохранить, а затем нажмите кнопку Далее.

  9. Если вы хотите, чтобы система управления приложениями отключила приложение при создании оповещения на основе этой политики, на странице Определение действий политики выберите Отключить приложение, а затем нажмите Далее. Соблюдайте осторожность при применении действий, поскольку политика может затронуть пользователей и добросовестное использование приложений.

  10. На странице Определение состояния политики выберите один из перечисленных вариантов.

    • Режим аудита. Политики оцениваются, но настроенные действия не выполняются. Политики в режиме аудита отображаются с состоянием Аудит в списке политик. Для тестирования новой политики используйте режим "Аудит".
    • Активная: политики оцениваются, и выполняются настроенные действия.
    • Неактивно: политики не оцениваются и настраиваемые действия не выполняются.
  11. Внимательно проверьте все параметры настраиваемой политики. Выберите Отправить , когда вы будете удовлетворены. Также можно вернуться и изменить параметры, нажав кнопку Изменить под любым параметром.

Тестирование и мониторинг новой политики приложений

Теперь, когда политика приложения создана, ее следует отслеживать на странице Политики , чтобы убедиться, что во время тестирования регистрируется ожидаемое количество активных оповещений и общее количество оповещений.

Снимок экрана: страница сводки по политикам управления приложениями в Microsoft Defender XDR с выделенной политикой.

Если количество оповещений неожиданно низкое, перед установкой состояния политики приложений отредактируйте ее параметры, чтобы убедиться, что настройка сделана правильно.

Ниже приведен пример процесса создания новой политики, ее тестирования и последующего ее активного выполнения:

  1. Создайте новую политику с начальными значениями для уровня серьезности, приложений, условий и действий и со значением состояния Режим аудита.

  2. Проверьте ожидаемое поведение, например созданные оповещения.

  3. Если поведение не ожидается, измените приложения политики, условия и параметры действий при необходимости и вернитесь к шагу 2.

  4. Если поведение соответствует ожидаемому, измените политику и переведите ее состояние в Активная.

    Например, на следующей блок-схеме показаны необходимые шаги:

    Снимок экрана: шаги, выполняемые в рабочем процессе создания политики приложения.

Создание политики для приложений OAuth, подключенных к Salesforce и Google Workspace

Политики для приложений OAuth активируют оповещения только для политик, авторизованных пользователями в клиенте.

Чтобы создать политику приложений для Salesforce, Google и других приложений, выполните следующие действия:

  1. Перейдите в Microsoft Defender XDR > Управление приложениями > Политики > Другие приложения. Например:

    Снимок экрана: страница создания политики других приложений в службе управления приложениями

  2. Отфильтруйте приложения в соответствии с вашими потребностями. Например, может потребоваться просмотреть все приложения, запрашивающие разрешение наизменение календарей в почтовом ящике.

    Совет

    Используйте фильтр Использование в сообществе, чтобы узнать, насколько распространено предоставление разрешения этому приложению: распространено, нераспространено или редко. Этот фильтр может быть полезен, если у вас есть приложение, которое является редким и запрашивает разрешение с высоким уровнем серьезности или запрашивает разрешение от многих пользователей.

  3. Возможно, вам стоит настроить политику на основе членства в группах пользователей, которые авторизовали приложения. Например, администратор может установить политику, которая отменяет необычные приложения, если они запрашивают высокие разрешения, только если пользователь, авторизовавший разрешения, является членом группы администраторов.

    Например:

    Снимок экрана: новая страница конфигурации политики приложений OAuth с параметрами разрешений на основе групп

Политики обнаружения аномалий для приложений OAuth, подключенных к Salesforce и Google Workspace

Помимо политик приложений Oauth, которые можно создать, Microsoft Defender for Cloud Apps предоставляет встроенные политики обнаружения аномалий, которые профилируют метаданные приложений OAuth для выявления потенциально вредоносных. Defender for Cloud Apps — это служба безопасности Microsoft, которая помогает защитить облачную среду приложений вашей организации, включая приложения OAuth, подключенные к Salesforce и Google Workspace.

Эти политики обнаружения аномалий относятся только к приложениям Salesforce и Google Workspace.

Примечание.

Политики обнаружения аномалий доступны только для приложений OAuth, авторизованных в Microsoft Entra ID. Серьезность политик обнаружения аномалий приложений OAuth изменить нельзя.

В следующей таблице описаны встроенные политики обнаружения аномалий, предоставляемые Defender for Cloud Apps:

Политика Описание
Вводящее в заблуждение название приложения OAuth Сканирует приложения OAuth, подключенные к вашей среде, и активирует оповещение при обнаружении приложения с вводящим в заблуждение именем. Вводящие в заблуждение имена, такие как иностранные буквы, напоминающие латинские буквы, могут указывать на попытку замаскировать вредоносное приложение под известное и доверенное приложение.
Неправильное имя издателя для приложения OAuth Сканирует приложения OAuth, подключенные к вашей среде, и активирует оповещение при обнаружении приложения с вводящим в заблуждение именем издателя. Вводящие в заблуждение имена издателей, такие как иностранные буквы, напоминающие латинские буквы, могут указывать на попытку замаскировать вредоносное приложение под приложение, поступающее от известного и доверенного издателя.
Согласие вредоносного приложения OAuth Сканирует приложения OAuth, подключенные к вашей среде, и активирует оповещение при авторизации потенциально вредоносного приложения. Вредоносные приложения OAuth могут использоваться в рамках фишинговой кампании при попытке компрометации пользователей. В этом обнаружении используются исследования безопасности Майкрософт и опыт аналитики угроз для выявления вредоносных приложений.
Подозрительные действия по загрузке файлов приложений OAuth. Дополнительные сведения см. в разделе Политики обнаружения аномалий.

Управление политиками приложений

Используйте управление приложениями для управления политиками OAuth для Microsoft 365, Google Workspace и Salesforce.

Возможно, вам потребуется управлять политиками приложений следующим образом, чтобы поддерживать актуальность приложений организации, реагировать на новые атаки на основе приложений и вносить текущие изменения в требованиях к соответствию приложениям:

  • Создание новых политик, нацеленных на новые приложения
  • Изменение состояния существующей политики (активной или отключенной)
  • Изменение условий существующей политики
  • Измените действия существующей политики автоустранения оповещений

Изменение конфигурации политики приложения

Чтобы изменить конфигурацию определяемой пользователем политики приложения, выполните следующие действия.

  1. Выберите политику в списке политик, а затем нажмите Изменить на панели политики приложений.

  2. На странице Изменение политики можно внести следующие изменения:

    • Описание. Изменение описания для упрощения понимания назначения политики.
    • Серьезность. Измените уровень серьезности политики приложения на низкий, средний или высокий.
    • Параметры политики. Изменение набора приложений, к которым применяется политика. Вы также можете использовать существующие условия или изменить условия.
    • Действия: Измените действие автоматического исправления для оповещений, создаваемых политикой.
    • Статус: Измените статус политики.

Снимок экрана, на котором показано, как изменить определяемую пользователем политику на портале Defender.

Удаление политики приложения

Чтобы удалить политику приложений, вы можете сделать следующее.

  • Выберите политику в списке политик, а затем щелкните Удалить на панели политики приложений.

Альтернативой удалению политики приложения является изменение ее состояния на отключено. После отключения политика не создает оповещения. Например, вместо удаления политики приложений для приложения с определенным набором условий, которые будут полезны для будущей политики, переименуйте политику приложения, чтобы указать ее полезность, и установите для нее состояние отключено.

Изменение существующей определяемой пользователем политики

  1. На странице Управление приложениями перейдите на вкладку Политики и выберите политику, которую нужно изменить. Справа откроется панель с подробными сведениями о существующей политике.

  2. Выберите Правка.

    Хотя вы не можете изменить имя политики после создания, вы можете изменить описание и серьезность политики при необходимости. После завершения нажмите кнопку "Далее".

  3. Выберите, следует ли продолжать использовать существующие параметры политики или настроить их. Выберите Нет, я настрою политику для внесения изменений, а затем нажмите кнопку Далее.

  4. Укажите, применяется ли эта политика ко всем приложениям, определенным приложениям или ко всем приложениям, кроме приложений, которые вы выбрали.

  5. Выберите Выбрать приложения, чтобы выбрать приложения, к которым следует применить политику, а затем нажмите кнопку Далее.

  6. Выберите, следует ли изменить существующие условия политики.

    • Если вы решили изменить условия, выберите Изменить или изменить существующие условия для политики и выберите, какие условия политики следует применить.
    • В противном случае выберите Использовать существующие условия политики.
  7. После завершения нажмите кнопку "Далее".

  8. Выберите, следует ли отключить приложение, если оно активирует условия политики, и нажмите кнопку Далее.

  9. При необходимости задайте для политики значение Активно или Отключено, а затем нажмите кнопку Далее.

  10. Проверьте выбранные параметры для политики и, если все в порядке, нажмите Отправить.

Следующее действие

Изучите предопределённые оповещения политики приложений