Condividi tramite

Creare criteri per le app nella governance delle app

  • Articolo

Oltre a un set predefinito di funzionalità per rilevare il comportamento anomalo delle app e generare avvisi in base agli algoritmi di Machine Learning, i criteri nella governance delle app consentono di:

  • Specificare le condizioni in base alle quali la governance delle app segnala il comportamento dell'app per la correzione automatica o manuale.

  • Applicare i criteri di conformità delle app per l'organizzazione.

Usare la governance delle app per creare criteri OAuth per le app connesse a Microsoft Entra ID, Google Workspace e Salesforce.


Creare criteri dell'app OAuth per Microsoft Entra ID

Per le app connesse a Microsoft Entra ID, creare criteri delle app da modelli forniti che possono essere personalizzati o creare criteri personalizzati per le app.

  1. Per creare un nuovo criterio per le app di Azure AD, passare a Microsoft Defender XDR > Criteri > di governance > delle app azure AD.

    Ad esempio:

    Screenshot della scheda Azure AD.

  2. Selezionare l'opzione Crea nuovo criterio e quindi eseguire una delle operazioni seguenti:

    • Per creare un nuovo criterio app da un modello, scegliere la categoria di modelli pertinente seguita dal modello in tale categoria.
    • Per creare un criterio personalizzato, selezionare la categoria Personalizzata .

    Ad esempio:

    Screenshot di una pagina Scegliere un modello di criteri.

Modelli di criteri per le app

Per creare un nuovo criterio dell'app basato su un modello di criteri dell'app, nella pagina Scegli modello di criteri dell'app selezionare una categoria di modello di app, selezionare il nome del modello e infine scegliere Avanti.

Le sezioni seguenti descrivono le categorie di modelli di criteri dell'app.

Utilizzo

La tabella seguente elenca i modelli di governance delle app supportati per generare avvisi per l'utilizzo delle app.

Nome modello Descrizione
Nuova app con utilizzo elevato dei dati Trovare le app appena registrate che hanno caricato o scaricato grandi quantità di dati usando API Graph. Questo criterio verifica le condizioni seguenti:

  • Età di registrazione: sette giorni o meno (personalizzabile)
  • Utilizzo dei dati: maggiore di 1 GB in un giorno (personalizzabile)
    		•
    Aumento degli utenti Trovare app con un aumento considerevole del numero di utenti. Questo criterio verifica le condizioni seguenti:

  • Intervallo di tempo: ultimi 90 giorni
  • Aumento degli utenti con consenso: almeno il 50% (personalizzabile)
    		•

    Autorizzazioni

    La tabella seguente elenca i modelli di governance delle app supportati per generare avvisi per le autorizzazioni dell'app.

    Nome modello Descrizione
    App con privilegi eccessivi Trovare le app con autorizzazioni di API Graph inutilizzate. A queste app sono state concesse autorizzazioni che potrebbero non essere necessarie per l'uso regolare.
    Nuova app con privilegi elevati Trovare le app appena registrate a cui è stato concesso l'accesso in scrittura e altre potenti autorizzazioni di API Graph. Questo criterio verifica le condizioni seguenti:

  • Età di registrazione: sette giorni o meno (personalizzabile)
    		•
    Nuova app con autorizzazioni non API Graph Trovare le app appena registrate che dispongono delle autorizzazioni per le API non Graph. Queste app possono esporre a rischi se le API a cui accedono ricevono supporto e aggiornamenti limitati.
    Questo criterio verifica le condizioni seguenti:

  • Età di registrazione: sette giorni o meno (personalizzabile)
  • Autorizzazioni non API Graph: Sì
    		•

    Certificazione

    Nella tabella seguente sono elencati i modelli di governance delle app supportati per generare avvisi per la certificazione Microsoft 365.

    Nome modello Descrizione
    Nuova app non certificata Trovare le app appena registrate che non hanno l'attestazione dell'editore o la certificazione Microsoft 365. Questo criterio verifica le condizioni seguenti:

  • Età di registrazione: sette giorni o meno (personalizzabile)
  • Certificazione: nessuna certificazione (personalizzabile)
    		•

    Criteri personalizzati

    Usare un criterio app personalizzato quando è necessario eseguire un'operazione non ancora eseguita da uno dei modelli incorporati.

    1. Per creare un nuovo criterio app personalizzato, selezionare prima di tutto Crea nuovo criterio nella pagina Criteri . Nella pagina Scegli modello di criteri app selezionare la categoria Personalizzato, il modello Criterio personalizzato e quindi scegliere Avanti.

    2. Nella pagina Nome e descrizione configurare quanto segue:

      • Nome criterio
      • Descrizione criterio
      • Selezionare la gravità dei criteri, che imposta la gravità degli avvisi generati da questo criterio.
        • Alto
        • Medio
        • Basso

    3. Nella pagina Scegli le impostazioni e le condizioni dei criteri, in Scegli per quali app è applicabile questo criterio, selezionare:

      • Tutte le app
      • Scegli le app specifiche
      • Tutte le app tranne

    4. Se si scelgono app specifiche o tutte le app ad eccezione di questo criterio, selezionare Aggiungi app e selezionare le app desiderate dall'elenco. Nel riquadro Scegli app è possibile selezionare più app a cui si applica questo criterio e quindi selezionare Aggiungi. Selezionare Avanti quando si è soddisfatti dell'elenco.

    5. Selezionare Modifica condizioni. Selezionare Aggiungi condizione e scegliere una condizione dall'elenco. Impostare la soglia desiderata per la condizione selezionata. Ripetere l'operazione per aggiungere altre condizioni. Selezionare Salva per salvare la regola e, al termine dell'aggiunta delle regole, selezionare Avanti.

      Nota

      Alcune condizioni dei criteri sono applicabili solo alle app che accedono alle autorizzazioni API Graph. Quando si valutano le app che accedono solo alle API non Graph, la governance delle app ignora queste condizioni dei criteri e continua a controllare solo altre condizioni dei criteri.

    6. Ecco le condizioni disponibili per un criterio app personalizzato:

      Condizione Valori di condizione accettati Descrizione Ulteriori informazioni
      Età di registrazione Negli ultimi X giorni App registrate per Microsoft Entra ID entro un periodo specificato dalla data corrente
      Certificazione Nessuna certificazione, attestata dall'editore, Microsoft 365 Certified App con certificazione Microsoft 365, con un report di attestazione dell'editore o nessuno dei due Certificazione Microsoft 365
      Server di pubblicazione verificato Sì o No App con server di pubblicazione verificati Verifica dell'autore
      Autorizzazioni dell'applicazione (solo Graph) Selezionare una o più autorizzazioni API dall'elenco App con autorizzazioni API Graph specifiche che sono state concesse direttamente Informazioni di riferimento sulle autorizzazioni di Microsoft Graph
      Autorizzazioni delegate (solo Graph) Selezionare una o più autorizzazioni API dall'elenco App con autorizzazioni di API Graph specifiche concesse da un utente Informazioni di riferimento sulle autorizzazioni di Microsoft Graph
      Con privilegi elevati (solo grafico) Sì o No App con autorizzazioni di API Graph relativamente potenti Designazione interna basata sulla stessa logica usata da Defender for Cloud Apps.
      Overprivileged (solo grafico) Sì o No App con autorizzazioni di API Graph inutilizzate App con più autorizzazioni concesse rispetto a quelle utilizzate da tali app.
      Autorizzazioni non API Graph Sì o No App con autorizzazioni per API non Graph. Queste app possono esporre a rischi se le API a cui accedono ricevono supporto e aggiornamenti limitati.
      Utilizzo dei dati (solo grafico) Maggiore di X GB di dati scaricati e caricati al giorno App che hanno letto e scritto più di una quantità specificata di dati usando API Graph
      Tendenza di utilizzo dei dati (solo grafico) X % di aumento dell'utilizzo dei dati rispetto al giorno precedente Le app i cui dati vengono letti e scritti usando API Graph sono aumentate di una percentuale specificata rispetto al giorno precedente
      Accesso API (solo Graph) Maggiore di X chiamate API al giorno App che hanno effettuato un numero specificato di chiamate API Graph in un giorno
      Tendenza di accesso alle API (solo grafico) X % di aumento delle chiamate API rispetto al giorno precedente App il cui numero di chiamate API Graph è aumentato di una percentuale specificata rispetto al giorno precedente
      Numero di utenti che forniscono il consenso (Maggiore o minore di) X utenti con consenso App a cui è stato dato il consenso da un numero maggiore o inferiore di utenti rispetto a quanto specificato
      Aumento del consenso degli utenti X % di aumento degli utenti negli ultimi 90 giorni App il cui numero di utenti che hanno dato il consenso è aumentato di oltre una percentuale specificata negli ultimi 90 giorni
      Consenso dell'account con priorità specificato Sì o No App a cui è stato dato il consenso da parte degli utenti con priorità Un utente con un account prioritario.
      Nomi degli utenti che forniscono il consenso Selezionare gli utenti dall'elenco App a cui è stato dato il consenso da utenti specifici
      Ruoli degli utenti che concedono il consenso Selezionare i ruoli dall'elenco App a cui è stato dato il consenso da utenti con ruoli specifici Selezioni multiple consentite.

      Qualsiasi ruolo Microsoft Entra con membro assegnato deve essere reso disponibile in questo elenco.
      Etichette di riservatezza accessibili Selezionare una o più etichette di riservatezza dall'elenco App che hanno eseguito l'accesso ai dati con etichette di riservatezza specifiche negli ultimi 30 giorni.
      Servizi a cui si accede (solo Graph) Exchange e/o OneDrive e/o SharePoint e/o Teams App che hanno eseguito l'accesso a OneDrive, SharePoint o Exchange Online usando API Graph Selezioni multiple consentite.
      Frequenza degli errori (solo grafico) La frequenza degli errori è maggiore di X% negli ultimi sette giorni Le app i cui API Graph tassi di errore negli ultimi sette giorni sono maggiori di una percentuale specificata

      Per generare un avviso, è necessario soddisfare tutte le condizioni specificate per questo criterio dell'app.

    7. Al termine della specifica delle condizioni, selezionare Salva e quindi avanti.

    8. Nella pagina Definisci azioni criteri selezionare Disabilita app se si desidera che la governance dell'app disabiliti l'app quando viene generato un avviso basato su questo criterio e infine selezionare Avanti. Prestare attenzione quando si applicano azioni perché un criterio può influire sugli utenti e sull'uso legittimo delle app.

    9. Nella pagina Definisci stato criteri selezionare una delle opzioni seguenti:

      • Modalità di controllo: i criteri vengono valutati, ma le azioni configurate non si verificano. I criteri della modalità di controllo vengono visualizzati con lo stato di Controlla nell'elenco dei criteri. È consigliabile usare la modalità di controllo per testare un nuovo criterio.
      • Attivo: i criteri vengono valutati e verranno eseguite azioni configurate.
      • Inattivo: i criteri non vengono valutati e le azioni configurate non vengono eseguite.

    10. Esaminare attentamente tutti i parametri dei criteri personalizzati. Selezionare Invia quando si è soddisfatti. È anche possibile tornare indietro e modificare le impostazioni selezionando Modifica sotto una delle impostazioni.

    Testare e monitorare i nuovi criteri dell'app

    Ora che i criteri dell'app sono stati creati, è consigliabile monitorarli nella pagina Criteri per assicurarsi che registri un numero previsto di avvisi attivi e di avvisi totali durante i test.

    Screenshot della pagina di riepilogo dei criteri di governance delle app in Microsoft Defender XDR, con un criterio evidenziato.

    Se il numero di avvisi è un valore inaspettatamente basso, modificare le impostazioni del criterio dell'app per assicurarsi di averlo configurato correttamente prima di impostarne lo stato.

    Ecco un esempio di processo per creare un nuovo criterio, testarlo e renderlo attivo:

    1. Creare i nuovi criteri con gravità, app, condizioni e azioni impostati sui valori iniziali e lo stato impostato su Modalità di controllo.
    2. Verificare il comportamento previsto, ad esempio gli avvisi generati.
    3. Se il comportamento non è previsto, modificare le app per i criteri, le condizioni e le impostazioni delle azioni in base alle esigenze e tornare al passaggio 2.
    4. Se il comportamento è previsto, modificare il criterio e modificarne lo stato in Attivo.

    Ad esempio, il diagramma di flusso seguente mostra i passaggi necessari:

    Diagramma del flusso di lavoro crea criteri dell'app.

    Creare un nuovo criterio per le app OAuth connesse a Salesforce e Google Workspace

    I criteri per le app OAuth attivano avvisi solo per i criteri autorizzati dagli utenti nel tenant.

    Per creare un nuovo criterio per le app per Salesforce, Google e altre app:

    1. Passare a Microsoft Defender XDR > Criteri di governance > delle > app Altre app. Ad esempio:

      Creazione di altri criteri per le app

    2. Filtrare le app in base alle proprie esigenze. Ad esempio, è possibile visualizzare tutte le app che richiedono l'autorizzazione per modificare i calendari nella cassetta postale.

      Consiglio

      Usare il filtro Uso della community per ottenere informazioni sul fatto che consentire l'autorizzazione per questa app sia comune, non comune o raro. Questo filtro può essere utile se si dispone di un'app rara e richiede l'autorizzazione con un livello di gravità elevato o richiede l'autorizzazione a molti utenti.

    3. È possibile impostare i criteri in base alle appartenenze ai gruppi degli utenti che hanno autorizzato le app. Ad esempio, un amministratore può decidere di impostare un criterio che revoca le app non comuni se richiede autorizzazioni elevate, solo se l'utente che ha autorizzato le autorizzazioni è membro del gruppo Administrators.

    Ad esempio:

    nuovi criteri dell'app OAuth.

    Criteri di rilevamento anomalie per le app OAuth connesse a Salesforce e Google Workspace

    Oltre ai criteri delle app Oauth che è possibile creare, le app Defender per cloud forniscono criteri di rilevamento anomalie predefiniti che profilano i metadati delle app OAuth per identificare quelli potenzialmente dannosi.

    Questa sezione è rilevante solo per le applicazioni Salesforce e Google Workspace.

    Nota

    I criteri di rilevamento anomalie sono disponibili solo per le app OAuth autorizzate nella Microsoft Entra ID. La gravità dei criteri di rilevamento anomalie dell'app OAuth non può essere modificata.

    Nella tabella seguente vengono descritti i criteri di rilevamento anomalie predefiniti forniti da Defender for Cloud Apps:

    Criteri Descrizione
    Nome dell'app OAuth fuorviante Analizza le app OAuth connesse all'ambiente e attiva un avviso quando viene rilevata un'app con un nome fuorviante. Nomi fuorvianti, ad esempio lettere straniere simili a lettere latine, potrebbero indicare un tentativo di mascherare un'app dannosa come app nota e attendibile.
    Nome dell'editore fuorviante per un'app OAuth Analizza le app OAuth connesse all'ambiente e attiva un avviso quando viene rilevata un'app con un nome di autore fuorviante. Nomi di editori fuorvianti, ad esempio lettere straniere simili a lettere latine, potrebbero indicare un tentativo di mascherare un'app dannosa come app proveniente da un editore noto e attendibile.
    Consenso dell'app OAuth dannoso Analizza le app OAuth connesse all'ambiente e attiva un avviso quando viene autorizzata un'app potenzialmente dannosa. Le app OAuth dannose possono essere usate come parte di una campagna di phishing nel tentativo di compromettere gli utenti. Questo rilevamento usa le competenze microsoft di ricerca e intelligence sulle minacce per identificare le app dannose.
    Attività sospette di download di file dell'app OAuth Per altre informazioni, vedere Criteri di rilevamento anomalie.

    Passaggio successivo

    Gestire i criteri dell'app