Defender for Cloud Appsでのアプリ ガバナンスの概要
アプリ ガバナンス ソリューションでは、環境内のアプリの動作を深く理解して、悪意を評価するためにより多くのレビューを必要とする許容範囲レベルに収まるアクティビティを特定し、対処する必要があります。 Defender for Cloud Appsに重ね合わせると、アプリ ガバナンスによって、環境内の危険なアプリの動作に対する詳細なガバナンスが提供されます。
この記事では、Microsoft Defender for Cloud Appsでアプリ ガバナンス機能の使用を開始する方法について説明します。
前提条件
まだアプリ ガバナンスにサインアップ していない場合は、テナントに追加する手順を完了します。 アプリ ガバナンスにサインアップしたら、製品の表示と使用を最大 10 時間待つ必要があります。
詳細については、「Microsoft Defender for Cloud Appsのアプリ ガバナンスを有効にする」を参照してください。
アプリ ガバナンス データを表示するには、サインイン アカウントにサポートされている アプリ ガバナンス管理者ロール が必要です。
アプリ ガバナンス アラートに完全な機能を使用するには、それぞれのポータルに少なくとも 1 回アクセスして、Defender for Cloud AppsとMicrosoft Defender XDRの両方をプロビジョニングする必要があります。
手順 1: 可視性と分析情報を取得する
まず、次の手順を使用して、アプリに関する可視性と分析情報を取得します。
サインイン: ブラウザーで、Microsoft Defender XDR > Cloud Apps >App governance ページに移動します。
コンプライアンス体制を決定する: [アプリ ガバナンス] > [概要 ] タブのデータを使用して、テナント内のアプリとインシデントのコンプライアンス体制を評価します。 テナント内の特権を超えるアプリの数、アクティブなインシデントの数、データ アクセスの合計Graph APIなどの詳細を表示します。
ヒント
また、 セキュリティ スコア でアプリ ガバナンス関連の推奨事項を表示して、姿勢を全体的に管理することもできます。
アプリを表示する: アプリ ガバナンス タブのデータを、データ使用量が多いアプリや同意数が多いアプリで並べ替えたり、高い特権を持つアプリ、未使用のアクセス許可を持つアプリ、未確認の発行元でフィルター処理したりできます。
これらの並べ替えとフィルター処理のオプションを使用して、関連するアプリメタデータや使用状況データなど、OAuth アプリに関するより深い分析情報を得ることができます。
アプリの詳細情報を取得する: [ アプリ ガバナンス ] タブで、グリッドでアプリを選択してアプリの詳細ページを表示します。 特定のアプリの 優先度アカウント データの使用状況を調査し、データがアクセスされているユーザー、使用されているアクセス許可、使用されていないアクセス許可を正確にトレースします。
詳細については、「 可視性と分析情報の概要」を参照してください。
手順 2: アプリ ポリシーを実装する
アプリ ガバナンスでは、機械学習ベースの検出アルゴリズムを使用して環境内の異常なアプリの動作を検出し、表示、調査、解決できるアラートを生成します。
この組み込みの検出機能以外に、一連の既定のポリシー テンプレートを使用するか、独自のアプリ ポリシーを作成して他のアラートを生成します。
アプリとユーザーのパターンと動作に関するポリシーは、非準拠アプリや悪意のあるアプリを使用しないようにユーザーを保護し、リスクの高いアプリのアクセスをテナント データに制限することができます。
アプリ ガバナンスでは、次の種類のポリシーがサポートされています。
| ポリシーの種類 | 説明 |
|---|---|
| 定義済みのポリシー | アプリ ガバナンスには、環境に合わせて調整された一連の定義済みのポリシーが備わっています。 定義済みのポリシーを使用すると、ポリシーを設定する前にアプリの監視を開始できます。 定義済みのポリシーを使用して、アプリの異常が早い段階で通知されるようにします。 |
| ユーザー定義ポリシー | 管理者は、定義済みのポリシーに加えて、使用可能な条件を使用してカスタム ポリシーを作成したり、使用可能な推奨ポリシーから選択したりすることもできます。 |
現在のアプリ ガバナンス ポリシーの一覧を表示するには、[Microsoft Defender XDR > クラウド アプリ] > [アプリ ガバナンス] > [ポリシー] タブに移動します。
注:
組み込みの脅威検出ポリシーは、[アプリ ガバナンス] ページには表示されません。 詳細については、「 脅威検出アラートを調査する」を参照してください。
アプリ ポリシーを実装するには:
定義済みのポリシーを使用する: アプリ ガバナンスには、異常なアプリの動作を検出するための一連の既定のポリシーが含まれています。 これらのポリシーは既定でアクティブ化されますが、必要に応じて非アクティブ化できます。
アプリ ポリシーを作成する: アプリ ガバナンスでは、20 を超えるポリシー条件とテンプレートを使用できます。 アプリ ガバナンス ポリシーは、次の場合に役立ちます。
アプリ ガバナンスがアプリの動作を警告し、自動または手動で修復するための条件を指定します。
組織にアプリ コンプライアンス ポリシーを実装します。
アプリ ポリシーの管理: organizationが使用している最新のアプリに対応し、新しいアプリベースの攻撃に対応し、アプリコンプライアンスのニーズに継続的に変更を加えるには、アプリ ポリシーを次のように管理することが必要になる場合があります。
新しいアプリを対象とした新しいポリシーを作成する
既存のポリシーの状態を変更する (アクティブ、非アクティブ、監査モード)
既存のポリシーの条件を変更する
アラートの自動修復に関する既存のポリシーのアクションを変更する
詳細については、「 アプリ ポリシーについて」を参照してください。
手順 3: アプリの脅威を検出して修復する
アプリ ガバナンスを使用して、作成したアクティブなアプリ ポリシーによって生成される悪意のあるアプリ アクティビティとポリシー ベースのアラートについて、組み込みのアプリ ガバナンス検出方法によって生成された脅威アラートを監視します。
これらのアラートは、アプリ アクティビティの異常、および非準拠アプリ、悪意のあるアプリ、または危険なアプリが使用されている場合に発生する可能性があります。 アラートのパターンを使用して、新しいアプリ ポリシーを作成したり、既存のポリシーの設定を変更して、より制限的なアクションを実行したりすることもできます。
また、アラートを修復したり、調査後に手動で修復したり、アクティブなアプリ ポリシーのアクション設定を使用して自動的に修復したりすることもできます。
脅威を検出して修復するには、次のいずれかの手順を実行します。
アプリの脅威の検出と修復の概要: アプリ ガバナンスは、組み込みの機械学習駆動型アプリ ガバナンス検出方法によって生成される脅威アラートを収集します。 脅威アラートは、悪意のあるアプリ アクティビティと、作成したアクティブなアプリ ポリシーによって生成されるポリシー ベースのアラートに基づいています。
通常とは異なるデータ使用量でアプリを監視して対応する: アプリ ガバナンスは、不要で悪意のある可能性のあるアプリ アクティビティを特定するのに役立つデータ使用状況情報を提供します。
異常検出アラートを調査します。 アプリ ガバナンスは、悪意のあるアクティビティに対するセキュリティ検出とアラートを提供します。 このガイドの目的は、調査と修復のタスクを支援するために、各アラートについての一般的で実用的な情報を提供することです。
アプリの脅威を修復する:Microsoft Defender XDRのアプリ ガバナンス アラートによって識別される有害なアプリとアプリ アクティビティを修復します。
詳細については、「 アプリの脅威の検出と修復について」を参照してください。