Introduzione alla governance delle app in Defender for Cloud Apps
Le soluzioni di governance delle app richiedono una conoscenza approfondita del comportamento delle app all'interno di un ambiente per identificare e gestire le attività che rientrano in un livello di tolleranza che richiede una maggiore revisione per valutare le finalità dannose. In caso di sovrapposizione su Defender for Cloud Apps, la governance delle app offre una governance approfondita rispetto al comportamento rischioso delle app nell'ambiente.
Questo articolo descrive come iniziare a usare le funzionalità di governance delle app in Microsoft Defender for Cloud Apps.
Prerequisiti
Se non è già stato fatto, iscriversi per la governance delle app e completare i passaggi per aggiungerlo al tenant. Dopo aver effettuato l'iscrizione alla governance delle app, è necessario attendere fino a 10 ore per visualizzare e usare il prodotto.
Per altre informazioni, vedere Attivare la governance delle app per Microsoft Defender for Cloud Apps.
L'account di accesso deve avere un ruolo di amministratore di governance delle app supportato per visualizzare i dati di governance delle app.
Per usare la funzionalità completa per gli avvisi di governance delle app, è necessario aver effettuato il provisioning sia Defender for Cloud Apps che Microsoft Defender XDR accedendo almeno una volta ai rispettivi portali.
Passaggio 1: Ottenere visibilità e informazioni dettagliate
Per iniziare, seguire questa procedura per ottenere visibilità e informazioni dettagliate sulle app:
Accedi: nel browser passare alla pagina di governance Microsoft Defender XDR > App > cloud.
Determinare il comportamento di conformità: usare i dati nella scheda Panoramica della governance > delle app per valutare il comportamento di conformità delle app e degli eventi imprevisti nel tenant. Visualizzare dettagli come il numero di app con privilegi eccessivo nel tenant, il numero di eventi imprevisti attivi, il totale API Graph l'accesso ai dati e altro ancora.
Consiglio
È anche possibile visualizzare le raccomandazioni relative alla governance delle app in Punteggio di sicurezza per semplificare la gestione olistica del comportamento.
Visualizzare le app: ordinare i dati nelle schede Governance delle app in base alle app con utilizzo elevato dei dati o al numero di consensi forniti oppure filtrare in base a app con privilegi elevati, app con autorizzazioni inutilizzate o server di pubblicazione non verificato e altro ancora.
Usare queste opzioni di ordinamento e filtro per ottenere informazioni più approfondite sulle app OAuth, inclusi i metadati e i dati di utilizzo delle app pertinenti.
Ottenere informazioni dettagliate sull'app: nelle schede Governance app selezionare un'app nella griglia per visualizzare una pagina dei dettagli dell'app. Analizzare l'utilizzo dei dati dell'account con priorità per un'app specifica, tracciare esattamente i dati a cui si accede, quali autorizzazioni vengono usate e quali autorizzazioni non vengono usate.
Per altre informazioni, vedere Introduzione alla visibilità e alle informazioni dettagliate.
Passaggio 2: Implementare i criteri delle app
La governance delle app usa algoritmi di rilevamento basati su Machine Learning per rilevare il comportamento anomalo dell'app nell'ambiente e quindi genera avvisi che è possibile visualizzare, analizzare e risolvere.
Oltre a questa funzionalità di rilevamento predefinita, usare un set di modelli di criteri predefiniti o creare criteri di app personalizzati per generare altri avvisi.
I criteri per i modelli e i comportamenti di app e utenti possono proteggere gli utenti dall'uso di app non conformi o dannose e limitare l'accesso delle app rischiose ai dati del tenant.
La governance delle app supporta i tipi di criteri seguenti:
| Tipo di criterio | Descrizione |
|---|---|
| Criteri predefiniti | La governance delle app è dotata di un set di criteri predefiniti personalizzati per l'ambiente. I criteri predefiniti consentono di iniziare a monitorare le app anche prima di configurare i criteri. Usare criteri predefiniti per assicurarsi di ricevere una notifica di eventuali anomalie dell'app all'inizio. |
| Criteri definiti dall'utente | Oltre ai criteri predefiniti, gli amministratori possono anche usare le condizioni disponibili per creare criteri personalizzati o scegliere tra i criteri consigliati disponibili. |
Per visualizzare l'elenco dei criteri di governance delle app correnti, passare alla scheda Microsoft Defender XDR > Cloud apps App governance Policies (Criteri di governance > delle app > cloud).
Nota
I criteri di rilevamento delle minacce predefiniti non sono elencati nella pagina Governance delle app . Per altre informazioni, vedere Analizzare gli avvisi di rilevamento delle minacce.
Per implementare i criteri delle app:
Usare criteri predefiniti: la governance delle app contiene un set di criteri predefiniti per rilevare comportamenti anomali delle app. Questi criteri vengono attivati per impostazione predefinita, ma è possibile disattivarli se si sceglie di attivarli.
Creare criteri per le app: La governance delle app offre più di 20 condizioni e modelli di criteri da usare. I criteri di governance delle app consentono di:
Specificare le condizioni in base alle quali la governance delle app può avvisare l'utente del comportamento dell'app per la correzione automatica o manuale.
Implementare i criteri di conformità delle app per l'organizzazione.
Gestire i criteri delle app: per tenere il passo con le app più recenti che l'organizzazione sta usando, rispondere a nuovi attacchi basati su app e per le modifiche in corso alle esigenze di conformità delle app, potrebbe essere necessario gestire i criteri dell'app come indicato di seguito:
Crea nuovi criteri destinati alle nuove app
Modifica lo stato di un criterio esistente (attivo, inattivo, modalità di controllo)
Modifica le condizioni di un criterio esistente
Modificare le azioni di un criterio esistente per la correzione automatica degli avvisi
Per altre informazioni, vedere Informazioni sui criteri dell'app.
Passaggio 3: Rilevare e correggere le minacce alle app
Usare la governance delle app per monitorare gli avvisi di minaccia generati dai metodi predefiniti di rilevamento della governance delle app per le attività dannose delle app e gli avvisi basati su criteri generati dai criteri delle app attivi creati dall'utente.
Questi avvisi possono indicare anomalie nell'attività delle app e quando vengono usate app non conformi, dannose o rischiose. È anche possibile usare modelli negli avvisi per creare nuovi criteri delle app o modificare le impostazioni dei criteri esistenti per azioni più restrittive.
È anche possibile correggere gli avvisi, manualmente dopo l'analisi o automaticamente tramite le impostazioni delle azioni nei criteri delle app attive.
Eseguire una delle operazioni seguenti per rilevare e correggere le minacce:
Introduzione al rilevamento e alla correzione delle minacce delle app: La governance delle app raccoglie gli avvisi sulle minacce generati dai metodi predefiniti di rilevamento della governance delle app basati su Machine Learning. Gli avvisi delle minacce si basano su attività di app dannose e avvisi basati su criteri generati dai criteri delle app attivi creati dall'utente.
Monitorare e rispondere alle app con un utilizzo dei dati insolito: La governance delle app fornisce informazioni sull'utilizzo dei dati che consentono di identificare le attività indesiderate e potenzialmente dannose delle app.
Analizzare gli avvisi di rilevamento anomalie: La governance delle app fornisce avvisi e rilevamenti di sicurezza per le attività dannose. Lo scopo di questa guida è fornire informazioni generali e pratiche su ciascun avviso, in modo da facilitare le attività di indagine e correzione.
Correggere le minacce alle app: È possibile correggere le attività dannose di app e app identificate dagli avvisi di governance delle app in Microsoft Defender XDR.
Per altre informazioni, vedere Informazioni sul rilevamento e la correzione delle minacce delle app.