Gestire e rispondere agli avvisi in Microsoft Defender per le applicazioni Cloud

  • 3 minuti

Gli avvisi sono i punti di ingresso per le organizzazioni per comprendere in modo più approfondito gli ambienti cloud. In base alle informazioni raccolte dagli avvisi, le organizzazioni potrebbero voler creare nuovi criteri in base a ciò che trovano. Si supponga, ad esempio, di scoprire che un amministratore ha effettuato l'accesso dalla Groenlandia, anche se nessuno nell'organizzazione ha mai effettuato l'accesso dalla Groenlandia in precedenza. È possibile creare un criterio che sospende automaticamente un account quando viene usato da un utente per accedere da tale posizione.

Monitorare gli avvisi

È consigliabile esaminare tutti gli avvisi e usarli come strumenti per modificare i criteri. Se gli eventi innocui vengono considerati violazioni dei criteri esistenti, perfezionare i criteri in modo da ricevere meno avvisi non necessari.

  1. Nel portale di Microsoft Defender selezionare Eventi imprevisti & avvisi nel riquadro di spostamento a sinistra per espandere il gruppo e quindi selezionare Avvisi.
  2. Nella pagina Avvisi selezionare Aggiungi filtro sulla barra dei menu.
  3. Nel menu Aggiungi filtro visualizzato selezionare i filtri specifici dell'indagine corrente e quindi selezionare Aggiungi. Selezionare i filtri che forniscono visibilità completa su qualsiasi attività sospetta o violazione dei criteri stabiliti. Ad esempio, è possibile:

    1. Selezionare l'opzione Origini servizio/rilevamento e quindi selezionare Aggiungi.

    2. Nella pagina Avvisi selezionare l'opzione Service/detection sources: Any filter (Origini servizio/rilevamento: qualsiasi filtro) sulla barra dei menu.

    3. Nel menu Origini di rilevamento/servizio visualizzato selezionare Microsoft Defender for Cloud Apps servizio e quindi selezionare Applica per visualizzare eventuali avvisi correlati alle app cloud dell'organizzazione.

      Screenshot della pagina Avvisi Microsoft Defender che mostra il menu Aggiungi filtro.

      Screenshot della pagina Avvisi Microsoft Defender che mostra il menu filtro Origini di rilevamento del servizio.

Gli avvisi visualizzati consentono di proteggere il comportamento di sicurezza definito per l'ambiente cloud. Per ogni avviso, è necessario analizzare e determinare la natura della violazione e la risposta richiesta.

  • È possibile filtrare gli avvisi in base al tipo di avviso o alla gravità per elaborare prima quelli più importanti.
  • Selezionare un avviso specifico. A seconda del tipo di avviso, vengono visualizzate varie azioni che è possibile eseguire prima di risolvere gli avvisi.
  • È possibile filtrare in base a un'app. Le app elencate sono quelle per cui Microsoft Defender per le app cloud ha rilevato attività.
  • Esistono tre tipi di violazioni che è necessario gestire durante l'analisi degli avvisi:
    • Gravi violazioni. Richiedere una risposta immediata. Alcuni esempi:
      • Per un avviso di attività sospetta, si vuole sospendere l'account fino a quando l'utente non modifica la password.
      • Per una perdita di dati, si vogliono limitare le autorizzazioni o mettere in quarantena il file.
      • Se Cloud Discover rileva una nuova app, si vuole bloccare l'accesso al servizio nel proxy o nel firewall.
    • Violazioni dubbie. Richiedere ulteriori indagini. Alcuni esempi:
      • È possibile contattare l'utente o il responsabile dell'utente per informazioni sulla natura dell'attività.
      • Lasciare aperta l'attività finché non si hanno altre informazioni.
    • Violazioni autorizzate o comportamenti anomali. Può derivare da un uso legittimo.
      • È possibile ignorare l'avviso.

Quando si ignora un avviso, è utile inviare feedback sul motivo per cui si sta ignorando l'avviso. Il team di Microsoft Defender per App Cloud usa questo feedback come indicazione dell'accuratezza dell'avviso. Usa anche queste informazioni per ottimizzare i modelli di Machine Learning per gli avvisi futuri. Se si seleziona la casella It's OK to contact me about this alert ,in select cases Microsoft might contact you for additional information.if you select the It's OK to contact me about this alert box, in select cases Microsoft might contact you for additional information.

È possibile seguire queste linee guida per decidere come classificare l'avviso:

  • Se un'attività legittima ha attivato l'avviso e non si tratta di un problema di sicurezza, potrebbe trattarsi di uno di questi tipi:
    • Positivo non dannoso. L'avviso è accurato, ma l'attività è legittima. È possibile ignorare l'avviso e impostare il motivo per Gravità effettiva è inferiore o Non interessante.
    • Falso positivo. L'avviso non è accurato. Ignorare l'avviso e impostare il motivo per l’Avviso non è accurato.
  • Se un'attività ha attivato l'avviso ed è un problema di sicurezza, l'avviso è:
    • Vero positivo. Se l'avviso è correlato a un evento rischioso effettivo a cui un insider o un outsider ha eseguito il commit in modo dannoso o involontario, è consigliabile impostare l'evento su Risolvi dopo che l'organizzazione ha completato tutte le azioni appropriate per correggere l'evento.
  • Se il rumore è eccessivo per determinare la legittimità e l'accuratezza di un avviso, ignorarlo e impostare il motivo per Troppi avvisi simili.

Tipi di avviso

Nella tabella seguente viene fornito un elenco dei tipi di avvisi e vengono consigliati i modi in cui un'organizzazione può risolverli.

Tipo di avviso Descrizione Risoluzione consigliata
Violazione dei criteri di attività Questo tipo di avviso è il risultato di un criterio creato. Per usare questo tipo di avviso in blocco, Microsoft consiglia alle organizzazioni di lavorare nel Centro criteri per mitigarle.

Ottimizzare i criteri per escludere entità fastidiose aggiungendo altri filtri e controlli più granulari.

Questo avviso è un avviso garantito se il criterio è accurato. Di conseguenza, si tratta di una violazione che si vuole arrestare immediatamente. È consigliabile aggiungere la correzione automatica nei criteri.
Violazione dei criteri di file Questo tipo di avviso è il risultato di un criterio creato. Per usare questo tipo di avviso in blocco, Microsoft consiglia alle organizzazioni di lavorare nel Centro criteri per mitigarle.

Ottimizzare i criteri per escludere entità fastidiose aggiungendo altri filtri e controlli più granulari.

Questo avviso è un avviso garantito se il criterio è accurato. Di conseguenza, si tratta di una violazione che si vuole arrestare immediatamente. È consigliabile aggiungere la correzione automatica nei criteri.
Account compromesso Microsoft Defender for Cloud Apps attiva questo avviso quando identifica un account compromesso Un account compromesso indica che esiste un'alta probabilità che qualcuno abbia usato l'account in modo non autorizzato. Microsoft consiglia alle organizzazioni di sospendere gli account compromessi fino a quando non possono raggiungere gli utenti e verificare di essere quelle che hanno modificato le password.
Account inattivo Microsoft Defender for Cloud Apps attiva questo avviso quando nessuno ha usato un account in una delle app cloud connesse dell'organizzazione negli ultimi 60 giorni. Contattare l'utente e il responsabile dell'utente per determinare se l'account è ancora attivo. In caso contrario, sospendere l'utente e terminare la licenza per l'app.
Nuovo utente amministratore Avvisa l'utente delle modifiche apportate agli account con privilegi per le app connesse. Verificare che un utente richieda le nuove autorizzazioni di amministratore. In caso contrario, è consigliabile revocare i privilegi di amministratore per ridurre l'esposizione.
Nuovo percorso di amministrazione Avvisa l'utente delle modifiche apportate agli account con privilegi per le app connesse. Verificare che l'accesso da questa posizione anomala sia legittimo. In alternativa, è consigliabile revocare le autorizzazioni di amministratore o sospendere l'account per ridurre l'esposizione.
Nuova posizione Avviso informativo sull'accesso a un'app connessa da una nuova posizione. Microsoft Defender for Cloud Apps attiva questo avviso solo una volta per paese/area geografica. Analizzare l'attività dell'utente specifico.
Nuovo servizio individuato Questo avviso è un avviso relativo a Shadow IT. Cloud Discovery ha rilevato una nuova app. Per le app approvate:

1. Valutare il rischio del servizio in base al catalogo app.

2. Eseguire il drill-down nell'attività per comprendere i modelli di utilizzo e la diffusione.

3. Decidere se approvare o annullare l'approvazione dell'app.

Per le app non approvate:

1. È possibile bloccare l'uso nel proxy o nel firewall.

2. Se hai un'app non approvata e un'app approvata nella stessa categoria, puoi esportare un elenco di utenti dell'app non approvata. Quindi, contattarli per eseguirne la migrazione all'app approvata.
Attività sospetta Questo avviso indica che Microsoft Defender for Cloud Apps rileva attività anomale non allineate alle attività previste o agli utenti dell'organizzazione. Esaminare il comportamento e confermarlo con l'utente.

Questo tipo di avviso è un ottimo punto di partenza per iniziare a conoscere l'ambiente e creare nuovi criteri con questi avvisi. Si supponga, ad esempio, che qualcuno carichi improvvisamente una grande quantità di dati in una delle app connesse. È possibile impostare una regola per gestire questo tipo di comportamento anomalo.
Uso dell'account personale Questo avviso indica che un nuovo account personale ha accesso alle risorse nelle app connesse. Rimuovere le collaborazioni dell'utente nell'account esterno.