承認されていないアプリにファイルをアップロードした場合に検知する方法

2022.05.20

個人アカウントで利用しているアプリ等で〇〇MB以上のアップロードがあった場合に検知して管理者へ知らせる方法です。
ここでは会社支給のPCで個人アカウントのSlackにファイルをアップロードします。その通信を検知して管理者にメールが届くという想定でMicrosoft Defender for Cloud Appsで設定をする手順をお伝えします。
前提条件としてここでは下記設定は終わっているものとします。
・Defender for Endpointへのオンボード
・Defender for cloudAppsとDefender for Endpointとの統合

1.Microsoft Defender for Cloud Appsの管理ポータルを開いて「制御」を展開し、「テンプレート」をクリックします。

2.「次のすべてに一致するアプリ」の「フィルターの選択」を展開して「アプリタグ」を選択します。

3.「アプリタグの選択」を展開して「承認されていない」を選択します。

4.「フィルター」からどの項目の制限をかけるか選択できます。
ここでは「アップロードされたデータ」を選択して、「2MB」でアラートが鳴るように設定します。

5.「アラートをメールで送信」にチェックを入れて、メールアドレスを入力します。
「作成」をクリックしてください。

6.「検出」を展開して「検出されたアプリ」をクリックします。

7.検出されたアプリの中から制限をかけたいものの禁止マークをクリックすることで、「承認されていない」としてタグ付けされます。ここではSlackの禁止マークをクリックします。

8.Slackに移って、2MB以上の動画をアップロードします。

9.数分経つと「アップロードボリュームの大きい新しいアプリ」のアラートが表示されます。

10.「Slack」をクリックすると詳細が表示されます。

11.このようなメールも送信されます。
「インシデントレポート」をクリックします。

12.先ほどのアラートの詳細画面が表示されます。