Configurare i criteri file in Microsoft Defender per le app cloud
- 8 minuti
I criteri consentono di definire il comportamento degli utenti nel cloud. I criteri consentono di rilevare comportamenti a rischio, violazioni o punti dati e attività sospette nel proprio ambiente cloud. Se necessario, è possibile integrare flussi di lavoro di correzione per ottenere mitigazione dei rischi completa. Esistono più tipi di criteri correlati ai diversi tipi di informazioni che un'organizzazione può raccogliere sull'ambiente cloud. I criteri includono anche i tipi di azioni correttive che un'organizzazione può eseguire.
Si supponga, ad esempio, che si voglia mettere in quarantena una minaccia di violazione dei dati. Il tipo di criteri per questo scenario è diverso dal tipo di criteri che impedisce agli utenti di usare un'app cloud rischiosa.
Microsoft Defender for Cloud Apps può monitorare qualsiasi tipo di file in base a più di 20 filtri di metadati, ad esempio livello di accesso, tipo di file e così via. Il motore Microsoft Defender for Cloud Apps combina i tre aspetti seguenti in ogni criterio:
Analisi del contenuto basata su modelli preimpostati o espressioni personalizzate.
Filtri di contesto, tra cui:
- Ruoli utente
- Metadati del file
- Livello di condivisione
- Integrazione del gruppo aziendale
- Contesto di collaborazione
- Altri attributi personalizzabili
Azioni automatizzate per la governance e la correzione.
Nota
Il primo criterio attivato garantisce l'unica azione di governance applicata dal sistema. Ad esempio, se un criterio di file ha già applicato un'etichetta di riservatezza a un file, un secondo criterio di file non può applicarvi un'altra etichetta di riservatezza. Per altre informazioni, vedere Schede.
Quando un'organizzazione abilita un criterio, il criterio:
- Analizza l'ambiente cloud dell'organizzazione.
- Identifica i file che corrispondono ai filtri di contenuto e contesto configurati dall'organizzazione.
- Applica le azioni automatizzate richieste.
I criteri di file rilevano e correggono eventuali violazioni per le informazioni inattivi o quando gli utenti creano nuovo contenuto. Gli amministratori possono monitorare i criteri usando avvisi in tempo reale o report generati dalla console.
Tipi di criteri
Nella pagina Criteri del portale Microsoft Defender for Cloud Apps vengono visualizzati i vari criteri e modelli. È possibile distinguerli per tipo per identificare facilmente i criteri disponibili. I criteri vengono visualizzati insieme nella scheda Tutti i criteri o nelle rispettive schede di categoria. I criteri disponibili dipendono dall'origine dati e dagli elementi abilitati in Microsoft Defender for Cloud Apps per l'organizzazione. Ad esempio, se sono stati caricati i log di Cloud Discovery, il sistema visualizza i criteri correlati a Cloud Discovery.
La tabella seguente descrive i tipi di criteri che le organizzazioni possono creare.
| Tipo di criterio | Categoria | Usare |
|---|---|---|
| Criteri attività | Rilevamento di minacce | I criteri attività consentono alle organizzazioni di applicare un'ampia gamma di processi automatizzati usando le API dei provider di app. Questi criteri consentono di monitorare attività specifiche eseguite da vari utenti o di seguire frequenze inaspettatamente elevate di un determinato tipo di attività. Altre informazioni. |
| Criteri di rilevamento anomalie | Rilevamento di minacce | I criteri di rilevamento anomalie consentono a un'organizzazione di cercare attività insolite nel cloud. Il rilevamento si basa sui fattori di rischio impostati. Questi fattori di rischio avvisano quando si verifica un evento diverso dalla baseline dell'organizzazione o dall'attività regolare dell'utente. Altre informazioni. |
| Criteri per le applicazioni OAuth | Rilevamento di minacce | I criteri dell'app OAuth consentono a un'organizzazione di analizzare le autorizzazioni richieste da ogni app OAuth e quindi approvarle o revocarle automaticamente. Questi criteri predefiniti sono dotati di Defender for Cloud Apps. Altre informazioni. |
| Criteri di rilevamento malware | Rilevamento di minacce | I criteri di rilevamento malware consentono a un'organizzazione di identificare i file dannosi nell'archiviazione cloud e quindi di approvarli o revocarli automaticamente. Questo criterio predefinito include Defender for Cloud Apps. Altre informazioni. |
| Criteri file | Protezione delle informazioni | I criteri file consentono a un'organizzazione di analizzare le app cloud per: - file o tipi di file specificati, ad esempio condivisi e condivisi con domini esterni. - dati, ad esempio informazioni proprietarie, dati personali, informazioni sulla carta di credito e altri tipi di dati. I criteri file possono quindi applicare azioni di governance ai file (le azioni di governance sono specifiche dell'app cloud). Altre informazioni. |
| Criteri di accesso | Accesso condizionale | I criteri di accesso forniscono a un'organizzazione il monitoraggio e il controllo in tempo reale sugli accessi degli utenti alle app cloud. Altre informazioni. |
| Criteri della sessione | Accesso condizionale | I criteri della sessione consentono il monitoraggio e il controllo in tempo reale dell'attività dell'utente nelle app cloud. Altre informazioni. |
| Criteri di individuazione delle app | Ombreggiatura IT | I criteri di individuazione delle app consentono a un'organizzazione di impostare avvisi che inviano una notifica quando Cloud Discovery rileva nuove app. Altre informazioni. |
| Criterio di rilevamento anomalie di Cloud Discovery | Ombreggiatura IT | I criteri di rilevamento anomalie Cloud Discovery esaminano i log usati da un'organizzazione per individuare le app cloud e cercare occorrenze insolite. Ad esempio, quando un utente che non ha mai usato Dropbox prima carica improvvisamente 600 GB in Dropbox o quando sono presenti molte più transazioni del solito in una determinata app. Altre informazioni. |
Identificazione del rischio
Defender for Cloud Apps aiuta le organizzazioni a mitigare i diversi rischi nel cloud. È possibile configurare qualsiasi criterio e avviso da associare a uno dei rischi nella tabella seguente.
| Fattore di rischio | Cosa si deve considerare? | Descrizione |
|---|---|---|
| Controllo di accesso | Chi accede a cosa da dove? | Monitora continuamente il comportamento e rileva le attività anomale, inclusi gli attacchi interni ed esterni ad alto rischio. È quindi possibile applicare un criterio per avvisare, bloccare o richiedere la verifica dell'identità per qualsiasi app o azione specifica all'interno di un'app. Abilita i criteri di controllo degli accessi locali e per dispositivi mobili in base a utenti, dispositivi e aree geografiche con blocco grossolano e visualizzazione granulare, modifica e blocco. Rileva eventi di accesso sospetti, inclusi errori di autenticazione a più fattori, errori di accesso all'account disabilitati ed eventi di rappresentazione. |
| Conformità | I requisiti di conformità sono stati violati? | Cataloga e identifica i dati sensibili o regolamentati archiviati nei servizi di sincronizzazione file, ad esempio le autorizzazioni di condivisione per ogni file. In questo modo si garantisce la conformità con normative come PCI, SOX e HIPAA. |
| Controllo di configurazione | Vengono apportate modifiche non autorizzate alla configurazione? | Monitorare le modifiche di configurazione, inclusa la manipolazione della configurazione remota. |
| Cloud Discovery | Le nuove app vengono usate nell'organizzazione? | Gli utenti hanno usato app IT Shadow che non si conoscono? Valuta il rischio complessivo per ogni app cloud in base alle certificazioni e alle procedure consigliate di settore e normative. Consente di monitorare il numero di utenti, le attività, il volume di traffico e le ore di utilizzo tipiche per ogni applicazione cloud. |
| DLP | I file proprietari sono condivisi pubblicamente? | È necessario mettere in quarantena i file? L'integrazione DLP locale offre l'integrazione e la correzione a ciclo chiuso con le soluzioni DLP locali esistenti. |
| Account con privilegi | È necessario monitorare gli account amministratore? | Monitoraggio e creazione di report delle attività in tempo reale di utenti e amministratori con privilegi. |
| Controllo della condivisione | In che modo i dati sono condivisi nell'ambiente cloud? | Esaminare il contenuto dei file e del contenuto nel cloud e applicare criteri di condivisione interni ed esterni. Monitorare la collaborazione e applicare criteri di condivisione, ad esempio impedire agli utenti di condividere file all'esterno dell'organizzazione. |
| Rilevamento di minacce | Sono presenti attività sospette che minacciano l'ambiente cloud? | Ricevere notifiche in tempo reale per qualsiasi violazione dei criteri o soglia di attività tramite SMS o posta elettronica. Applicando algoritmi di Machine Learning, Defender per le app cloud consente di rilevare il comportamento che potrebbe indicare che un utente sta usando i dati in modo errato. |
Esempi di criteri di file diversi
Gli esempi seguenti descrivono vari criteri di file che le organizzazioni possono creare:
- File condivisi pubblicamente. Ricevere un avviso su qualsiasi file condiviso pubblicamente nel cloud selezionando tutti i file con un livello di condivisione impostato su Pubblico.
- Nome file condiviso pubblicamente contiene il nome dell'organizzazione. Ricevere un avviso su qualsiasi file contenente il nome dell'organizzazione condiviso pubblicamente da un utente.
- Condivisione con domini esterni. Ricevere un avviso relativo a qualsiasi file condiviso con account di proprietà di domini esterni specifici. Ad esempio, i file condivisi con il dominio di un concorrente. Selezionare il dominio esterno con cui si vuole limitare la condivisione.
- Mettere in quarantena i file condivisi non modificati durante l'ultimo periodo. Ricevere un avviso sui file condivisi che nessuno ha modificato di recente, per mettere in quarantena i file o scegliere di attivare un'azione automatizzata. Escludere tutti i file privati che gli utenti non hanno modificato durante un intervallo di date specificato. In Google Workspace è possibile scegliere di mettere in quarantena questi file usando la casella di controllo "File di quarantena" nella pagina di creazione dei criteri.
- Condivisione con utenti non autorizzati. Ricevere un avviso sui file condivisi con un gruppo di utenti non autorizzati nell'organizzazione. Selezionare gli utenti per cui la condivisione non è autorizzata.
- Estensione di file sensibile. Ricevere un avviso sui file esposti con estensioni specifiche. Selezionare l'estensione specifica (ad esempio, crt per i certificati) o il nome file ed escludere i file con livello di condivisione privato.
Creare un nuovo criterio
Completare i passaggi seguenti per creare un nuovo criterio:
- Nel portale di Microsoft Defender per le app cloud selezionare Controllo nel riquadro di spostamento e quindi selezionare Criteri.
- Per impostazione predefinita, nella pagina Criteri viene visualizzata la scheda Tutti i criteri. Selezionare la scheda Protezione delle informazioni.
- Nella scheda Protezione delle informazioni selezionare +Crea criterio sulla barra dei menu. Nel menu a discesa visualizzato, selezionare Criteri file.
- Nella pagina Crea criteri file, è necessario configurare le informazioni seguenti per il criterio:
- Modello di criteri. Usare questo campo se si desidera basare i criteri su un modello. Selezionare questo campo per visualizzare l'elenco di modelli predefiniti e quindi selezionare il modello appropriato. Se si desidera creare un criterio personalizzato, selezionare Nessun modello. Per altre informazioni sui modelli di criteri, vedere Controllare le app cloud con i criteri.
- Nome criterio. Assegnare un nome al criterio.
- Gravità del criterio. Se si imposta Defender for Cloud Apps per inviare notifiche sulle corrispondenze dei criteri per un livello di gravità dei criteri specifico, questo livello determina se le corrispondenze dei criteri attivano una notifica.
- Categoria. Collegare il criterio al tipo di rischio più appropriato. Questo campo è solo informativo. Il sistema potrebbe preselezionare il rischio in base alla categoria per cui si è scelto di creare i criteri. Per impostazione predefinita, il sistema imposta la categoria Criteri file su DLP, anche se è possibile selezionare un valore diverso, se necessario.
- Descrizione. Inserire una descrizione opzionale per il criterio.
-
File corrispondenti a tutti i seguenti (filtri). Creare un filtro per i file su cui agisce questo criterio per impostare le app individuate che attivano questo criterio. Limitare i filtri dei criteri fino a raggiungere un set accurato di file su cui si vuole intervenire. Essere il più restrittivi possibile per evitare falsi positivi. Ad esempio, se si desidera rimuovere le autorizzazioni pubbliche, ricordarsi di aggiungere il filtro Pubblico. In alternativa, se si vuole rimuovere un utente esterno, usare il filtro "Esterno". Quando si usa un filtro di criteri, la clausola Contains cerca solo le parole complete che è necessario separare con virgole, punti, spazi o caratteri di sottolineatura. Ad esempio:
- Se si cercano le parole "malware" o "virus":
- Trova virus_malware_file.exe.
- Non trova malwarefile.exe.
- Se si cerca malware.exe:
- Trova TUTTI i file con malware o exe nel nome file.
- Se si cerca "malware.exe" (tra virgolette):
- Trova solo i file che contengono esattamente "malware.exe" (incluse le virgolette). Uguale cerca solo la stringa completa. Ad esempio, se si cerca malware.exe, viene trovato malware.exe ma non malware.exe.txt.
- Se si cercano le parole "malware" o "virus":
- Applica a. Per questo filtro, selezionare tutti i file, tutti i file escluse le cartelle selezionateo cartelle selezionate. È possibile applicare i criteri dei file su tutti i file nell'app o in cartelle specifiche. Il sistema reindirizza l'utente all'accesso all'app cloud e quindi aggiunge le cartelle pertinenti.
- Selezionare i gruppi di utenti. Selezionare tutti i proprietari di file, proprietari di file di gruppi di utenti selezionati, o tutti i proprietari di file esclusi i gruppi selezionati. Selezionare quindi i gruppi di utenti pertinenti per determinare quali utenti e gruppi includere nei criteri.
-
Metodo di ispezione. È possibile selezionare il DLP predefinito o il metodo Data Classification Services.
Data classification services è il metodo consigliato. Dopo aver abilitato l'ispezione del contenuto, è possibile:
- Scegliere di usare espressioni preimpostate o di cercare altre espressioni personalizzate.
- Specificare un'espressione regolare per escludere un file dai risultati. Questa opzione è molto utile se si ha uno standard di parola chiave di classificazione interno che si vuole escludere dai criteri.
- Impostare il numero minimo di violazioni del contenuto che si desidera associare prima che il sistema consideri il file una violazione. Ad esempio, è possibile scegliere 10 se si desidera che il sistema avvisi i file con almeno 10 numeri di carta di credito trovati all'interno del relativo contenuto.
- Annullare il mascheramento degli ultimi quattro caratteri di una corrispondenza. Quando il sistema corrisponde al contenuto rispetto all'espressione selezionata, sostituisce il testo violato con caratteri "X". Per impostazione predefinita, il sistema maschera le violazioni e le mostra nel contesto. Quando si esegue questa operazione, vengono visualizzati 100 caratteri prima e dopo la violazione. Sostituisce i numeri nel contesto dell'espressione con caratteri "#" e non li archivia mai all'interno di Defender for Cloud Apps. È possibile selezionare l'opzione per annullare il mascheramento degli ultimi quattro caratteri di una violazione per annullare il mascheramento degli ultimi quattro caratteri della violazione stessa. È necessario impostare i tipi di dati cercati dall'espressione regolare: contenuto, metadati e/o nome file. Per impostazione predefinita, esegue la ricerca nel contenuto e nei metadati.
- Azioni di governance. Selezionare l'azione che si vuole Defender for Cloud Apps eseguire quando il sistema rileva una corrispondenza.
- Dopo aver creato i criteri, è possibile visualizzarli nella scheda Criteri file . È sempre possibile modificare un criterio, calibrarne i filtri o modificare le azioni automatizzate.
Quando si crea un nuovo criterio, il sistema lo abilita automaticamente. Di conseguenza, avvia immediatamente l'analisi dei file cloud. Prestare maggiore attenzione quando si impostano le azioni di governance. L'impostazione non corretta delle azioni può causare la perdita irreversibile delle autorizzazioni di accesso ai file.
Microsoft consiglia di usare più campi di ricerca per limitare i filtri. In questo modo, l'elenco dei file viene limitato a quelli esatti su cui si vuole intervenire. Più sono limitati i filtri, meglio è. Per indicazioni, è possibile usare il pulsante Modifica e anteprima dei risultati nella sezione Filtri.
Le corrispondenze dei criteri di file sono file che i sospetti del sistema potrebbero violare i criteri. Per visualizzare questi file:
- Nel portale di Microsoft Defender per le app cloud selezionare Controllo nel riquadro di spostamento e quindi selezionare Criteri.
- Nella sezione Filtri, nella parte superiore della pagina Criteri, selezionare il filtro Tipo per visualizzare l'elenco dei tipi di criteri. Selezionare il tipo appropriato.
- Per altre informazioni sulle corrispondenze per un criterio specifico, selezionare il criterio.
- Il sistema visualizza i file "Matching now" per i criteri. Selezionare la scheda Cronologia per visualizzare gli ultimi sei mesi di file corrispondenti ai criteri.
Verifica delle conoscenze
Scegliere la risposta migliore per ognuna delle domande seguenti.