使用策略控制云应用
可以通过策略来定义你希望用户在云中表现出的行为方式。 你可以借助策略来检测云环境中的风险行为、违规行为或可疑数据点和活动。 如有必要,可集成修正工作流来完全实现风险缓解。 许多策略的类型,都与你要收集的有关云环境的不同信息的类型,以及可能采取的修正操作的类型相关。
例如,如果存在要隔离的数据冲突威胁,则需要采用不同类型的策略,而不是阻止组织使用有风险的云应用。
策略类型
查看 “策略管理 ”页时,可以按类型和图标区分各种策略和模板,以查看哪些策略可用。 可以在所有策略选项卡或其各自的类别选项卡中一起查看策略。 可用策略取决于数据源,以及你在 Defender for Cloud Apps 中为组织启用的内容。 例如,如果上传了云发现日志,则会显示与云发现相关的策略。
可以创建以下类型的策略:
| 策略类型图标 | 策略类型 | 类别 | 用途 |
|---|---|---|---|
|
活动策略 | 威胁检测 | 活动策略允许使用应用提供程序的 API 强制实施各种自动化过程。 这些策略使你能够监视各种用户执行的特定活动,或遵循特定类型的活动的意外高速率。 了解更多 |
|
异常检测策略 | 威胁检测 | 异常情况检测策略使你能够在云中查找异常活动。 检测基于你设置的风险因素,以便在发生与组织基线或用户常规活动不同的情况时发出警报。 了解更多 |
|
OAuth 应用策略 | 威胁检测 | OAuth 应用策略使你能够调查每个 OAuth 应用请求的权限,并自动批准或撤销它。 这些是Defender for Cloud Apps附带的内置策略,无法创建。 了解更多 |
|
恶意软件检测策略 | 威胁检测 | 恶意软件检测策略使你能够识别云存储中的恶意文件,并自动批准或撤销它。 这是Defender for Cloud Apps附带的内置策略,无法创建。 了解更多 |
|
文件策略 | 信息保护 | 文件策略使你能够扫描云应用中的指定文件或文件类型, (共享、与外部域共享) 、数据 (专有信息、个人数据、信用卡信息,以及其他类型的数据) ,并将治理操作应用于文件, (治理操作是特定于云应用的) 。 了解更多 |
|
访问策略 | 条件访问 | 访问策略提供对云应用的用户登录名的实时监视和控制。 了解更多 |
|
|
会话策略 | 条件访问 | 会话策略提供对云应用中的用户活动实时监视和控制功能。 了解更多 |
|
应用发现策略 | 阴影 IT | 应用发现策略使你能够设置警报,以便在组织内检测到新应用时通知你。 了解更多 |
识别风险
Defender for Cloud Apps 可帮助你缓解云中的不同风险。 可以将任何策略和警报配置为与以下风险之一相关联:
存取控制: 谁从何处访问内容?
持续监视行为并检测异常活动,包括高风险内部和外部攻击,并应用策略来对应用内的任何应用或特定操作发出警报、阻止或要求进行身份验证。 启用基于用户、设备和地理位置的本地和移动访问控制策略,并提供粗糙的阻塞和精细视图、编辑和阻止。 检测可疑登录事件,包括多重身份验证失败、禁用的帐户登录失败和模拟事件。
合规: 是否违反了合规性要求?
编录和识别存储在文件同步服务中的每个文件的共享权限,以确保符合 PCI、SOX 和 HIPAA 等法规
配置控制: 是否正在对配置进行未经授权的更改?
监视配置更改,包括远程配置操作。
云发现: 你的组织是否正在使用新应用? 你是否遇到使用你不知道的影子 IT 应用的问题?
根据法规和行业认证以及最佳做法,对每个云应用的总体风险进行评级。 使你能够监视每个云应用程序的用户数、活动数、流量和典型使用小时数。
DLP: 是否公开共享专有文件? 是否需要隔离文件?
本地 DLP 集成提供与现有本地 DLP 解决方案的集成和闭环修正。
特权帐户: 是否需要监视管理员帐户?
对特权用户和管理员进行实时活动监视和报告。
共享控件: 如何在云环境中共享数据?
检查云中文件和内容的内容,并强制实施内部和外部共享策略。 监视协作并强制实施共享策略,例如阻止在组织外部共享文件。
威胁检测: 是否存在威胁云环境的可疑活动?
通过电子邮件接收有关任何策略冲突或活动阈值的实时通知。 通过应用机器学习算法,Defender for Cloud Apps 使你能够检测可能指示用户滥用数据的行为。
如何控制风险
遵循以程,通过策略控制风险:
从模板或查询创建策略。
微调策略以实现预期结果。
添加自动操作以自动响应和修正风险。
创建策略
可以使用Defender for Cloud Apps策略模板作为所有策略的基础,也可以从查询创建策略。
策略模板可帮助你设置正确的筛选器和配置,以检测环境中感兴趣的特定事件。 模板包括所有类型的策略,可以应用于各种服务。
若要从 策略模板创建策略,请执行以下步骤:
在Microsoft Defender门户中的“云应用”下,转到“策略->策略模板”。
选择要使用的模板行最右侧的加号 + () 。 此时会打开一个“创建策略”页,其中包含模板的预定义配置。
根据需要修改自定义策略的模板。 此基于模板的新策略的每个属性和字段都可以根据需要进行修改。
注意
使用策略筛选器时, Contains 仅搜索完整字词 - 用昏迷、点、空格或下划线分隔。 例如,如果搜索 恶意软件 或 病毒,它会找到 virus_malware_file.exe 但找不到 malwarevirusfile.exe。 如果搜索 malware.exe,则会找到文件名中包含恶意软件或 exe 的所有文件,而如果搜索带有引号) 的 “malware.exe” (,则只会找到包含完全“malware.exe”的文件。
Equals 仅搜索完整的字符串,例如,如果搜索 malware.exe 它找到 malware.exe 而不 malware.exe.txt。创建新的基于模板的策略后,策略模板表中的“ 链接策略 ”列中会显示一个指向新策略的链接,该列位于创建策略的模板旁边的模板旁边。 可以从每个模板创建任意数量的策略,它们都将链接到原始模板。 通过链接,可以跟踪使用同一模板生成的所有策略。
或者,可以在 调查期间创建策略。 如果要调查 活动日志、 文件或 标识,并向下钻取以搜索特定内容,则可以随时根据调查结果创建新策略。
例如,如果你正在查看 活动日志,并看到来自办公室 IP 地址外部的管理员活动,则可能需要创建一个。
若要基于调查结果创建策略,请执行以下步骤:
在Microsoft Defender门户中,转到以下其中一个:
- 云应用 ->活动日志
- Cloud Apps ->Files
- Assets ->Identities
使用页面顶部的筛选器将搜索结果限制为可疑区域。 例如,在“活动日志”页中,选择“ 管理活动 ”,然后选择“ True”。 然后,在 “IP 地址”下选择“ 类别 ”,并将值设置为不包括为已识别域(例如管理员、公司和 VPN IP 地址)创建的 IP 地址类别。
在查询下方, 从搜索中选择“新建策略”。
此时会打开一个“创建策略”页,其中包含在调查中使用的筛选器。
根据需要修改自定义策略的模板。 此基于调查的新策略的每个属性和字段都可以根据需要进行修改。
注意
使用策略筛选器时, Contains 仅搜索完整字词 - 用昏迷、点、空格或下划线分隔。 例如,如果搜索 恶意软件 或 病毒,它会找到 virus_malware_file.exe 但找不到 malwarevirusfile.exe。
Equals 仅搜索完整的字符串,例如,如果搜索 malware.exe 它找到 malware.exe 而不 malware.exe.txt。
添加自动操作以自动响应和修正风险
有关每个应用的可用治理操作的列表,请参阅 治理连接的应用。
还可以设置策略,以在检测到匹配项时通过电子邮件向你发送警报。
若要设置通知首选项,请转到Email通知首选项。
启用和禁用策略
创建策略后,可以启用或禁用它。 禁用可避免在创建策略后删除策略以将其停止。 相反,如果出于某种原因想要停止策略,请将其禁用,直到选择再次启用它。
若要启用策略,请在 “策略 ”页中,选择要启用的策略行末尾的三个点。 选择 “启用”。
若要禁用策略,请在 “策略 ”页中,选择要禁用的策略行末尾的三个点。 选择 “禁用”。
默认情况下,创建新策略后,会启用它。
策略概述报告
Defender for Cloud Apps可导出策略概述报告,其中显示了每个策略的聚合警报指标,以帮助监视、了解和自定义策略,从而更好地保护组织。
若要导出日志,请执行以下步骤:
在 “策略 ”页中,选择“ 导出 ”按钮。
指定所需的时间范围。
选择"导出"。 此过程可能需要一些时间。
下载导出的报表:
报表准备就绪后,转到“Microsoft Defender门户”,转到“报表”,然后转到“云应用->导出的报表”。
在表中,选择相关报表,然后选择“下载”。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。