Zásady detekce anomálií Cloud Discovery

Zásady detekce anomálií Cloud Discovery umožňují nastavit a konfigurovat průběžné monitorování neobvyklého nárůstu využití cloudových aplikací. Pro každou cloudovou aplikaci se uvažuje o nárůstu stažených dat, nahraných dat, transakcí a uživatelů. Každé zvýšení se porovnává se vzorem normálního využití aplikace, jak se naučili z předchozího použití. Nejextrémnější zvýšení aktivuje výstrahy zabezpečení.

Tento článek popisuje, jak vytvořit a nakonfigurovat zásady detekce anomálií cloud discovery v Microsoft Defender for Cloud Apps.

Důležité

Od srpna 2024 je podpora anomálií cloud discovery pro Microsoft Defender for Cloud Apps vyřazena. Proto je starší postup uvedený v tomto článku poskytován pouze pro informační účely. Pokud chcete dostávat výstrahy zabezpečení podobné detekci anomálií, proveďte kroky v tématu Vytvoření zásady zjišťování aplikací.

Vytvoření zásad zjišťování aplikací

I když je podpora detekce anomálií cloud discovery vyřazená, můžete dostávat podobné výstrahy zabezpečení vytvořením zásad zjišťování aplikací:

1. Na portálu Microsoft Defender rozbalte v levé nabídce oddílZásadyCloud Apps> a vyberte Správa zásad.

2. Na stránce Zásady vyberte kartu Stínové IT .

3. Rozbalte rozevírací nabídku Vytvořit zásadu a vyberte možnost Zásady zjišťování aplikací .

4. Pokud ve stejný den dojde ke všem následujícím událostem, vyberte možnost Aktivovat shodu zásad :

   

5. Nakonfigurujte přidružené filtry a nastavení, jak je popsáno v tématu Vytvoření zásady detekce anomálií.

(Starší verze) Vytvoření zásad detekce anomálií

Pro každou zásadu detekce anomálií nastavíte filtry, které umožňují selektivně monitorovat využití aplikací. Filtry jsou k dispozici pro aplikaci, vybraná zobrazení dat a vybrané počáteční datum. Můžete také nastavit citlivost a určit, kolik výstrah se má zásada aktivovat.

Postupujte podle pokynů k vytvoření zásad detekce anomálií cloud discovery:

1. Na portálu Microsoft Defender rozbalte v levé nabídce oddílZásadyCloud Apps> a vyberte Správa zásad.

2. Na stránce Zásady vyberte kartu Stínové IT .

3. Rozbalte rozevírací nabídku Vytvořit zásadu a vyberte možnost zásad detekce anomálií Cloud Discovery :

   

   Otevře se stránka Vytvořit zásadu detekce anomálií Cloud Discovery , kde nakonfigurujete parametry pro zásady, které se mají vytvořit.

4. Na stránce Create Cloud Discovery anomaly detection (Vytvořit zásadu detekce anomálií Cloud Discovery ) možnost Policy template (Šablona zásad ) poskytuje seznam šablon, které můžete použít jako základ zásad. Ve výchozím nastavení je tato možnost nastavená na Žádná šablona.

   Pokud chcete zásadu založit na šabloně, rozbalte rozevírací nabídku a vyberte šablonu:

   • Neobvyklé chování u zjištěných uživatelů: Upozorní na zjištění neobvyklého chování u zjištěných uživatelů a aplikací. Tuto šablonu můžete použít ke kontrole velkých objemů nahraných dat v porovnání s jinými uživateli nebo velkých uživatelských transakcí v porovnání s historií uživatele.

   • Neobvyklé chování zjištěných IP adres: Upozorní na zjištění neobvyklého chování ve zjištěných IP adresách a aplikacích. Pomocí této šablony můžete zkontrolovat velké objemy nahraných dat v porovnání s jinými IP adresami nebo velké transakce aplikací v porovnání s historií IP adresy.

   Následující obrázek ukazuje, jak vybrat šablonu, která se má použít jako základ pro nové zásady na portálu Microsoft Defender:

   

5. Zadejte Název zásady a Popis nové zásady.

6. Pomocí možnosti Vybrat filtr vytvořte filtr pro aplikace, které chcete monitorovat.

   • Rozbalte rozevírací nabídku a zvolte filtrování všech odpovídajících aplikací podle značky aplikace, aplikací a domény, kategorie, různých rizikových faktorů nebo skóre rizika.

   • Pokud chcete vytvořit další filtry, vyberte Přidat filtr.

   Následující obrázek ukazuje, jak vybrat filtr, který se má použít pro všechny odpovídající aplikace na portálu Microsoft Defender:

   

7. V části Použít na nakonfigurujte filtry využití aplikací:

   1. V první rozevírací nabídce zvolte, jak monitorovat sestavy o průběžném využití:

      • Všechny průběžné sestavy (výchozí): Porovnejte každé zvýšení využití se vzorem normálního využití, jak jsme se naučili ze všech zobrazení dat.

      • Konkrétní průběžné sestavy: Porovnejte každé zvýšení využití se vzorem normálního využití. Vzor se učí ze stejného zobrazení dat, kde bylo zjištěno zvýšení.

   2. V druhé rozevírací nabídce zadejte monitorovaná přidružení pro každé použití cloudových aplikací:

      • Uživatelé: Ignorujte přidružení použití aplikace k IP adresě.

      • IP adresy: Ignorujte přidružení využití aplikace k uživatelům.

      • Uživatelé, IP adresy (výchozí): Monitoruje přidružení využití aplikace uživateli a IP adresami. Tato možnost může vytvářet duplicitní výstrahy v případě úzké korespondence mezi uživateli a IP adresami.

   Následující obrázek ukazuje, jak nakonfigurovat filtry využití aplikací a počáteční datum pro vyvolání upozornění na využití na portálu Microsoft Defender:

   

8. U možnosti Zvyšovat výstrahy pouze pro podezřelé aktivity, ke kterým dochází po , zadejte datum, kdy se má začít zvyšovat upozornění na využití aplikace.

   Jakékoli zvýšení využití aplikace před zadaným počátečním datem se ignoruje. Data o aktivitách využití před počátečním datem se však naučí stanovit normální vzor využití.

9. V části Výstrahy nakonfigurujte citlivost upozornění a oznámení. Existuje několik způsobů, jak řídit počet upozornění aktivovaných zásadou:

   • Pomocí posuvníku Vybrat citlivost detekce anomálií aktivujte upozornění na X neobvyklých aktivit na 1 000 uživatelů týdně. Aktivují se výstrahy pro aktivity s nejvyšším rizikem.

   • Vyberte možnost Vytvořit upozornění pro každou odpovídající událost se závažností zásady a nastavte pro výstrahu další parametry:

     • Odeslat upozornění jako e-mail: Zadejte e-mailové adresy pro zprávy upozornění. Na e-mailovou adresu za den je možné odeslat maximálně 500 zpráv. Počet se resetuje o půlnoci v časovém pásmu UTC.

     • Denní limit upozornění na zásadu: Použijte rozevírací nabídku a vyberte požadovaný limit. Tato možnost omezí počet výstrah vyvolaných za jeden den na zadanou hodnotu.

     • Odesílání upozornění do Power Automate: Zvolte playbook, který se má spouštět akce, když se aktivuje upozornění. Nový playbook můžete otevřít také výběrem možnosti Vytvořit playbook ve službě Power Automate.

   • Pokud chcete nastavit výchozí nastavení organizace tak, aby používalo hodnoty denního limitu upozornění a nastavení e-mailu, vyberte Uložit jako výchozí nastavení.

   • Pokud chcete použít výchozí nastavení vaší organizace pro denní limit upozornění a nastavení e-mailu, vyberte Obnovit výchozí nastavení.

   Následující obrázek ukazuje, jak nakonfigurovat upozornění pro zásadu, včetně citlivosti, e-mailových oznámení a denního limitu na portálu Microsoft Defender:

   

10. Potvrďte své volby konfigurace a vyberte Vytvořit.

Práce s existujícími zásadami

Když vytvoříte zásadu, je ve výchozím nastavení povolená. Zásadu můžete zakázat a provádět další akce, jako jsou úpravy a odstranění.

1. Na stránce Zásady vyhledejte zásady, které chcete aktualizovat, v seznamu zásad.

2. V seznamu zásad se posuňte doprava na řádek zásad a vyberte Další možnosti (...).

3. V místní nabídce vyberte akci, kterou chcete se zásadou provést.

Další krok

Prozkoumání osvědčených postupů pro ochranu organizace

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.