Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Решения по управлению приложениями требуют глубокого понимания поведения приложения в среде для выявления и устранения действий, которые попадают в допустимый уровень, требующий дополнительной проверки для оценки вредоносных намерений. При многоуровневом использовании Defender for Cloud Apps система управления приложениями обеспечивает глубокое управление рискованным поведением приложений в вашей среде.
В этой статье описывается, как приступить к работе с функциями управления приложениями в Microsoft Defender for Cloud Apps.
Предварительные условия
Если вы еще этого не сделали, зарегистрируйтесь в App Governance и выполните действия, чтобы добавить эту службу в свой арендатор. После регистрации для управления приложениями вам потребуется подождать до 10 часов, чтобы увидеть и использовать продукт.
Дополнительные сведения см. в статье Включение функции управления приложениями для Microsoft Defender for Cloud Apps.
Ваша учетная запись входа должна иметь поддерживаемую роль администратора управления приложениями для просмотра любых данных управления приложениями.
Чтобы использовать все возможности оповещений об управлении приложениями, необходимо настроить как Defender for Cloud Apps, так и Microsoft Defender, открыв их соответствующие порталы хотя бы по одному разу.
Шаг 1. Получение видимости и аналитических сведений
Начните с следующих действий, чтобы получить видимость и аналитические сведения о ваших приложениях:
Войдите: в браузере перейдите на страницу Microsoft Defender XDR > Cloud Apps >Управление приложениями.
Определение состояния соответствия требованиям. Используйте данные на вкладке Обзор управления приложениями>, чтобы оценить состояние соответствия приложений и инцидентов в клиенте. Просмотрите такие данные, как количество чрезмерно привилегированных приложений в вашем клиенте, количество активных инцидентов, общий объем доступа к данным через API Graph и многое другое.
Совет
Вы также можете просмотреть рекомендации, связанные с управлением приложениями, в разделе Оценка безопасности , чтобы помочь вам целостно управлять состоянием.
Просмотр приложений. Отсортируйте данные на вкладках Управление приложениями по приложениям с высоким уровнем использования данных или количеством предоставленных разрешений, фильтрация по приложениям с высоким уровнем привилегий, неиспользуемым приложениям, приложениям с неиспользуемыми разрешениями, непроверенным издателям и т. д.
Используйте эти параметры сортировки и фильтрации, чтобы получить более подробные сведения о приложениях OAuth, включая соответствующие метаданные приложения и данные об использовании.
Получение подробных сведений о приложении. На вкладках Управление приложениями выберите приложение в сетке, чтобы просмотреть страницу сведений о приложении. Изучите использование данных учетной записи с приоритетом для определенного приложения, отследите точно, к каким данным осуществляется доступ, какие разрешения используются, а какие разрешения не используются.
Дополнительные сведения см. в статье Начало работы с видимостью и аналитикой.
Шаг 2. Реализация политик приложений
Управление приложениями использует алгоритмы обнаружения на основе машинного обучения для обнаружения аномального поведения приложений в вашей среде, а затем создает оповещения, которые можно просматривать, исследовать и устранять.
Помимо этой встроенной возможности обнаружения, используйте набор шаблонов политик по умолчанию или создайте собственные политики приложений для создания других оповещений.
Политики для шаблонов и поведения пользователей и приложений могут защитить пользователей от использования несоответствующих или вредоносных приложений и ограничить доступ рискованных приложений к данным клиента.
Управление приложениями поддерживает следующие типы политик:
| Тип политики | Описание |
|---|---|
| Предопределенные политики | Управление приложениями оснащено набором предопределенных политик, адаптированных к вашей среде. Предопределенные политики позволяют начать мониторинг приложений еще до настройки политик. Используйте предопределенные политики, чтобы получать уведомления о любых аномалиях приложений на ранних этапах. |
| Определяемые пользователем политики | Помимо предопределенных политик, администраторы также могут использовать доступные условия для создания пользовательских политик или выбора из доступных рекомендуемых политик. |
Чтобы просмотреть список текущих политик управления приложениями, перейдите на вкладку Microsoft Defender XDR > Облачные приложения > Политики управления приложениями>.
Примечание.
Встроенные политики обнаружения угроз отсутствуют на странице Управления приложениями . Дополнительные сведения см. в статье Исследование оповещений об обнаружении угроз.
Чтобы реализовать политики приложений, выполните следующие действия:
Работа с предопределенными политиками. Управление приложениями содержит набор готовых политик для обнаружения аномального поведения приложения. Эти политики активируются по умолчанию, но при желании их можно отключить.
Создание политик приложений: Управление приложениями предлагает более 20 условий и шаблонов политик. Политики управления приложениями помогают:
Указывать условия, на основании которых система управления приложениями может оповещать вас о поведении приложений для автоматического или ручного исправления.
Настройте политики соответствия приложений для вашей организации.
Управление политиками приложений. Чтобы идти в ногу с последними приложениями, которые использует ваша организация, реагировать на новые атаки на основе приложений и постоянно изменять требования к соответствию приложений, может потребоваться управлять политиками приложений следующим образом:
Создание новых политик, нацеленных на новые приложения
Изменение состояния существующей политики (активная, неактивная, режим аудита)
Изменение условий существующей политики
Изменить действия существующей политики для автоматического устранения оповещений
Дополнительные сведения см. в статье Сведения о политиках приложений.
Шаг 3. Обнаружение и устранение угроз приложений
Используйте управление приложениями для мониторинга оповещений об угрозах, создаваемых встроенными методами обнаружения управления приложениями для вредоносных действий приложений и оповещений на основе политик, создаваемых активными политиками приложений.
Эти оповещения могут указывать на аномалии в действиях приложений и при использовании несоответствующих, вредоносных или рискованных приложений. Вы также можете использовать шаблоны в оповещениях для создания новых политик приложений или изменения параметров существующих политик для более строгих действий.
Вы также можете исправлять оповещения вручную после исследования или автоматически с помощью параметров действий в активных политиках приложений.
Выполните одно из следующих действий, чтобы обнаружить и устранить угрозы.
Начало работы с обнаружением и исправлением угроз приложений: Управление приложениями собирает оповещения об угрозах, созданные встроенными методами обнаружения управления приложениями на основе машинного обучения. Оповещения об угрозах основаны на вредоносной активности приложений и оповещениях, созданных на основе активных политик приложений, которые вы создаете.
Мониторинг и реагирование на приложения с необычным использованием данных: Управление приложениями предоставляет сведения об использовании данных, которые помогут выявить нежелательные и потенциально вредоносные действия приложений.
Изучение оповещений об обнаружении аномалий: Управление приложениями обеспечивает обнаружение безопасности и оповещения о вредоносных действиях. Цель этого руководства — предоставить общие и практические сведения о каждом оповещении, чтобы помочь вам в задачах по исследованию и исправлению.
Исправление угроз приложений: Вы исправляете вредное действие приложения и приложения, определяемое оповещениями системы управления приложениями на портале Defender.
Дополнительные сведения см. в статье Сведения об обнаружении и исправлении угроз приложений.