可保護雲端環境的日常活動

 

適用於: Microsoft Cloud App Security

在您啟動並執行 Cloud App Security、設定資料流、批准您想要讓人使用的應用程式及設定原則監視雲端環境之後,就可以使用 Cloud App Security 來控制和保護您的雲端並管理風險。

本主題說明您每日應該執行的工作。

當您開啟 Cloud App Security 入口網站時,系統會提供您未解決的警示、活動違規、內容違規的概觀;繪製使用者活動來源地理位置的活動圖;以及雲端環境中連線應用程式的使用量趨勢。

建議您每日檢查儀表板,查看觸發的新警示並處理它們。 這也是監督雲端環境健全狀況的好位置,從較高的層次了解整個雲端環境。

dashboard

警示是更深入了解雲端環境的切入點。 您可能想要根據您的發現建立新原則。 例如,您可能會看到系統管理員從格陵蘭登入,並決定日後要建立一項原則,當某管理員帳戶用來從格陵蘭登入時,即自動暫停該帳戶。

檢閱所有的警示並將它們當作修改原則的工具,是個不錯的主意。 如果無害事件視為對現有原則的違規,您應該精簡原則,以便收到較少的不必要警示。

  • 按一下 [Open alerts (未解決的警示)]**** 下的 [檢視所有警示]****。

    這讓您完整掌握已建立原則的任何可疑活動或違規情形,協助您保護為雲端環境定義的安全性狀態。

    alerts

  • 您必須調查每個警示,並判斷違規的性質和所需之回應。

    您可以按一下 [警示類型]**** 或 [嚴重性]**** 來篩選警示,以便先處理最重要的警示。

    按一下特定的警示。 視警示類型而定,您在解決警示之前,會收到各種可以採取的動作。

    有三種類型的違規,您必須在調查警示時處理︰

    • 需要立即回應的嚴重違規

      範例:

      針對可疑的活動警示,在使用者變更其密碼前,您可能要暫停帳戶。

      針對資料外洩,您可能要限制權限或隔離檔案。

      如果探索到新的未批准服務,您可能要在 Proxy 或防火牆封鎖服務的存取權。

    • 需要進一步調查的可疑違規

      您可以連絡使用者或使用者的管理員以了解活動性質。

      保持活動開啟,直到有更多的資訊為止。

    • 合法使用導致的授權違規或異常行為

      關閉警示。

  • 當您完成此程序時,請將警示標示為已解決。

下表提供會觸發的警示類型清單,及建議的解決方法。

警示類型描述建議的解決方法
活動原則違規這類警示是您建立的原則結果。- 若要大量使用這類警示,建議您直接從原則中心使用以減少警示。
- 新增更多篩選條件和更細微的控制來微調原則,以排除雜訊太多的實體。
- 如果原則非常精確且應該有警示,它又是您想要立即停止的違規,請考慮在原則中加入自動修復以移至自動化回應。
檔案原則違規這類警示是您建立的原則結果。- 若要大量使用這類警示,建議您直接從原則中心使用以減少警示。
- 新增更多篩選條件和更細微的控制來微調原則,以排除雜訊太多的實體。
- 如果原則非常精確且應該有警示,它又是您想要立即停止的違規,請考慮在原則中加入自動修復以移至自動化回應。
遭盜用的帳戶當 Cloud App Security 識別到帳戶遭盜用 (帳戶有極高的可能性未經授權使用) 時,即會觸發這類警示。建議您暫停帳戶,直到您能連絡到使用者,並確認他們變更密碼。
非使用中帳戶當帳戶不再用於其中一種連線的雲端應用程式時,即會觸發此警示。請連絡使用者及使用者的管理員,以判斷帳戶是否仍在使用中。 如果不是,請暫停使用者並終止應用程式授權。
新增管理使用者當特殊權限帳戶出現連接的應用程式異動時,即會觸發此警示。請確認使用者確實需要新的管理權限,如果不是,建議您撤銷管理員權限以降低風險。
新增管理員位置當特殊權限帳戶出現連接的應用程式異動時,即會觸發此警示。請確認這個異常位置的登入是否合法,如果不是,建議您撤銷管理權限或暫止帳戶以降低風險。
新增位置此類警示是通知您從新的位置存取連接的應用程式,每個國家 (地區) 只觸發一次。調查特定使用者的活動。
新探索到的服務這是有關影子 IT 的警示 - Cloud Discovery 偵測到新的應用程式。
  • 根據應用程式類別評估服務風險。
  • 向下切入至活動以了解使用模式和普遍性。
  • 決定是否要批准該應用程式。

    針對未經批准的應用程式︰

     
    • 您可能想要在 Proxy 或防火牆中封鎖使用。
    • 如果它未經批准,而您在相同類別中有批准的應用程式,您可以向下切入並匯出未經批准的應用程式使用者清單,連絡他們遷移到批准的應用程式。
可疑的活動此警示可讓您知道已偵測到異常活動,它不符合預期的活動或貴組織的使用者。調查行為並向使用者確認。

這類警示是開始深入了解環境和使用這些警示來建立新原則的最佳位置。 例如,如果有人突然上傳大量的資料到您某個連接的應用程式,您可以設定規則來控制該類型的異常行為。
可疑的雲端使用此警示可讓您知道已偵測到異常活動,它不符合預期的活動或貴組織的使用者。調查行為並向使用者確認。

這類警示是開始深入了解環境和使用這些警示來建立新原則的最佳位置。 例如,如果有人突然上傳大量的資料到您某個連接的應用程式,您可以設定規則來控制該類型的異常行為。
使用個人帳戶此警示可讓您知道新的個人帳戶可以存取已連線應用程式的資源。請在外部帳戶中,移除使用者的共同作業。

查看未解決的警示後,請移至原則中心來檢閱未觸發警示的原則違規。

  • 在 Cloud App Security 入口網站中,依序按一下 [控制]**** 和 [原則]****。

  • 按一下特定的原則,查看符合原則但未觸發警示的 [立即違規]**** 清單。

  • 按一下違規,一次一個,判斷該如何處理每個違規。 如需管理動作的詳細資訊,請參閱下文。

    例如,如果原則設定為尋找相容性缺口,而有人將信用卡號碼儲存在 OneDrive 的檔案中,原則中就會有相符項目。

    pci matches

  • 按一下相符項目,查看違反原則的實際檔案。

    pci content matches

    您可以按一下檔案本身以取得檔案的相關資訊。

    您可以按一下 [共同作業者]****,查看誰可以存取這個檔案。

    您可以按一下 [相符項目]****,查看實際的信用卡號碼。

    content matches ccn

調查
如需技術支援,請瀏覽 Cloud App Security 的輔助支援頁面。
Premier 客戶也可以直接從 Premier 支援入口網站選擇 Cloud App Security。

顯示: