共用方式為

常見 Defender for Cloud Apps 威脅防護原則

  • 發行項

Defender for Cloud Apps 可讓您識別高風險的使用和雲端安全性問題、偵測異常的用戶行為,以及防止獲批准的雲端應用程式中的威脅。 瞭解使用者和系統管理員活動,並定義原則,以在偵測到您認為有風險的可疑行為或特定活動時自動發出警示。 從大量的Microsoft威脅情報和安全性研究數據中取得,以協助確保您獲批准的應用程式擁有您所需的所有安全性控制,並協助您維持對它們的控制。

注意事項

在整合 Defender for Cloud Apps 與 適用於身分識別的 Microsoft Defender 時,適用於身分識別的 Defender 的原則也會出現在原則頁面上。 如需適用於身分識別的 Defender 原則清單,請參閱 安全性警示

從不熟悉的位置偵測和控制用戶活動

從組織中其他人從未造訪的不熟悉位置自動偵測使用者存取或活動。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式

步驟

此偵測會自動設定為現成可用,以在有新位置的存取權時發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請 參閱異常偵測原則

透過不可能的位置偵測遭入侵的帳戶 (不可能的移動)

在時間週期內,從 2 個不同位置自動偵測使用者存取或活動,時間比在兩者之間移動所需的時間還短。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式

步驟

  1. 此偵測會自動設定為現成可用,以在無法從不可能的位置存取時發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請 參閱異常偵測原則

  2. 選擇性:您可以 自定義異常偵測原則

    • 根據使用者和群組自定義偵測範圍

    • 選擇要考慮的登入類型

    • 設定警示的敏感度喜好設定

  3. 建立異常偵測原則。

偵測來自「離職」員工的可疑活動

偵測正在休假且不應該在任何組織資源上作用中的使用者何時存取貴組織的雲端資源。

必要條件

步驟

  1. 在 [使用者群組] 畫面上,選取 [建立使用者群組],然後匯入相關的 Microsoft Entra 群組。

  2. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下,移至 [原則 ->原則管理]。 建立新的 活動原則

  3. 將篩選 [使用者群組] 設定為等於您在 Microsoft Entra ID 中為未離職使用者建立的使用者群組名稱。

  4. 選擇性:設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作會因服務而異。 您可以選擇 [暫停使用者]

  5. 建立檔案原則。

使用過期的瀏覽器 OS 時偵測並通知

偵測使用者何時使用用戶端版本過期的瀏覽器,這可能會對您的組織造成合規性或安全性風險。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式

步驟

  1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下,移至 [原則 ->原則管理]。 建立新的 活動原則

  2. 將篩選 [使用者代理程式] 標籤 設定為等於 [過期的瀏覽器 ] 和 [ 過期的作業系統]

  3. 設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作會因服務而異。 在 [ 所有應用程式] 底下,選取 [通知使用者],讓您的使用者可以處理警示並更新必要的元件。

  4. 建立活動原則。

在有風險的IP位址上偵測到 管理員活動時偵測併發出警示

偵測從 執行的系統管理員活動,以及被視為有風險 IP 位址的 IP 位址,並通知系統管理員進一步調查或設定系統管理員帳戶的治理動作。

必要條件

  • 您必須至少有一個使用 應用程式連接器連線的應用程式

  • 從 [設定] 齒輪中,選取 [IP 位址範圍] ,然後選取 [+] 以新增內部子網及其輸出公用 IP 位址的 IP 位址範圍。 將 [類別] 設定為 [ 內部]

步驟

  1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下,移至 [原則 ->原則管理]。 建立新的 活動原則

  2. [動作] 設定為 [單一] 活動

  3. 將篩選 IP 位址 設定為 [類別 ] 等於 [具風險]

  4. 將篩選系統 管理活動 設定為 True

  5. 設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作會因服務而異。 在 [ 所有應用程式] 底下,選取 [通知使用者],讓您的使用者可以處理警示並更新必要的元件 ,以將使用者的管理員副本

  6. 建立活動原則。

依服務帳戶從外部IP位址偵測活動

偵測源自非內部IP位址的服務帳戶活動。 這可能表示可疑的行為或遭入侵的帳戶。

必要條件

  • 您必須至少有一個使用 應用程式連接器連線的應用程式

  • 從 [設定] 齒輪中,選取 [IP 位址範圍] ,然後選取 [+] 以新增內部子網及其輸出公用 IP 位址的 IP 位址範圍。 將 [類別] 設定為 [ 內部]

  • 將環境中服務帳戶的命名慣例標準化,例如,將所有帳戶名稱設定為以 「svc」 開頭。

步驟

  1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下,移至 [原則 ->原則管理]。 建立新的 活動原則

  2. 將篩選條件 [ 使用者 ] 設定為 [名稱] ,然後以 開 ,然後輸入您的命名慣例,例如 svc。

  3. 將篩選 IP 位址 設定為 [類別 ] 不等於 [其他 ] 和 [公司]

  4. 設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作會因服務而異。

  5. 建立原則。

偵測大量下載 (數據外流)

偵測特定使用者何時在短時間內存取或下載大量檔案。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式

步驟

  1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下,移至 [原則 ->原則管理]。 建立新的 活動原則

  2. 將篩選 IP 位址設定為 [卷標不等於Microsoft Azure。 這會排除非互動式裝置型活動。

  3. 將篩選 [活動類型 ] 設定為 等於 ,然後選取所有相關的下載活動。

  4. 設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作會因服務而異。

  5. 建立原則。

偵測潛在的勒索軟體活動

自動偵測潛在的勒索軟體活動。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式

步驟

  1. 當偵測到潛在的勒索軟體風險時,此偵測會自動設定為現成可用來警示您。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請 參閱異常偵測原則

  2. 您可以設定偵測 的範圍 ,並自定義觸發警示時要採取的治理動作。 如需 Defender for Cloud Apps 如何識別勒索軟體的詳細資訊,請參閱保護您的組織免於勒索軟體

注意事項

這適用於 Microsoft 365、Google Workspace、Box 和 Dropbox。

偵測雲端中的惡意代碼

使用 Defender for Cloud Apps 與Microsoft的威脅情報引擎整合,偵測雲端環境中包含惡意代碼的檔案。

必要條件

步驟

  • 此偵測會自動設定為現成可用,以在有可能包含惡意代碼的檔案時向您發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請 參閱異常偵測原則

偵測惡意管理員接管

偵測可能表示惡意意圖的重複系統管理活動。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式

步驟

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,移至 [原則 ->原則管理]。 建立新的 活動原則

  2. [動作] 設定為 [ 重複] 活動 ,並自定義 [最小重複活動 ],並設定 時間範圍 以符合貴組織的原則。

  3. 將篩選 [ 使用者 ] 設定為 [ 從] 群組 等於 ,然後選取所有相關的系統管理群組作為 [僅動作專案]

  4. 將篩選 [活動類型 ] 設定為等於與密碼更新、變更和重設相關的所有活動。

  5. 設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作會因服務而異。

  6. 建立原則。

偵測可疑的收件匣操作規則

如果在使用者的收件匣上設定了可疑的收件匣規則,則可能表示用戶帳戶遭到入侵,而且信箱正用來在組織中散佈垃圾郵件和惡意代碼。

必要條件

  • 使用 Microsoft Exchange 作為電子郵件。

步驟

  • 此偵測會自動設定為現成可用,以在有可疑的收件匣規則集時向您發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請 參閱異常偵測原則

偵測外洩的認證

當網路攻擊者入侵合法使用者的有效密碼時,他們通常會共用這些認證。 這通常是透過在深色網路上公開張貼認證或貼上網站,或是在黑市上交易或銷售認證來完成。

Defender for Cloud Apps 利用Microsoft的威脅情報,將這類認證與組織內使用的認證進行比對。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式

步驟

此偵測會自動設定為現成可用,以在偵測到可能的認證洩漏時向您發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請 參閱異常偵測原則

偵測異常檔案下載

偵測使用者在單一會話中執行多個檔案下載活動,相對於學習到的基準。 這可能表示嘗試入侵。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式

步驟

  1. 此偵測會自動立即設定,以在發生異常下載時向您發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請 參閱異常偵測原則

  2. 您可以設定偵測的範圍,並自定義觸發警示時要採取的動作。

偵測用戶的異常檔案共用

偵測使用者在單一會話中針對學習到的基準執行多個檔案共享活動,這可能表示已嘗試入侵。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式

步驟

  1. 此偵測會自動設定為現成可用,以在使用者執行多個檔案共享時發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請 參閱異常偵測原則

  2. 您可以設定偵測的範圍,並自定義觸發警示時要採取的動作。

偵測來自不常發生國家/地區的異常活動

從不是最近或從未被使用者或組織中的任何用戶造訪的位置偵測活動。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式

步驟

  1. 此偵測會自動設定為現成可用,以在異常活動從不常發生的國家/地區發生時發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請 參閱異常偵測原則

  2. 您可以設定偵測的範圍,並自定義觸發警示時要採取的動作。

注意事項

偵測異常位置需要 7 天的初始學習期間。 在學習期間,Defender for Cloud Apps 不會產生新位置的警示。

偵測已終止使用者所執行的活動

偵測不再是貴組織員工的使用者在獲批准的應用程式中執行活動的時間。 這可能表示仍有公司資源存取權的已終止員工有惡意活動。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式

步驟

  1. 此偵測會自動立即設定,以在終止的員工執行活動時向您發出警示。 您不需要採取任何動作來設定此原則。 如需詳細資訊,請 參閱異常偵測原則

  2. 您可以設定偵測的範圍,並自定義觸發警示時要採取的動作。

後續步驟

保護組織的最佳做法

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證