Vytvoření zásad Microsoft Defender for Cloud Apps aktivit
Zásady aktivit umožňují vynucovat širokou škálu automatizovaných procesů pomocí rozhraní API poskytovatele aplikace. Tyto zásady umožňují monitorovat konkrétní aktivity prováděné různými uživateli nebo sledovat neočekávaně vysoké míry jednoho určitého typu aktivity.
Po nastavení zásad detekce aktivit se začnou generovat výstrahy – výstrahy se generují jenom u aktivit, ke kterým dojde po vytvoření zásady.
Poznámka
- Zásady, které aktivují více než 200 000 shod za den nebo 100 000 za 3 hodiny, se můžou zakázat automaticky. Můžete zkusit zpřesnit zásady přidáním dalších filtrů, nebo pokud zásady používáte pro účely vytváření sestav, zvážit jejich uložení jako dotazů .
- Nastavení nové zásady pro nasazení může trvat až 15 minut.
Vlastní upozornění
Zásady aktivit umožňují odesílat vlastní výstrahy nebo provádět akce při zjištění aktivity uživatele. Například chcete vědět pokaždé:
- Uživatel se pokusí přihlásit a během jedné minuty selže 70krát
- Uživatel si stáhne 7 000 souborů
- Uživatel je přihlášený z neznámé země nebo oblasti.
Upozornění na aktivity můžete nastavit tak, aby se při výskytu těchto událostí odesílala sobě nebo uživateli. Uživatele můžete dokonce pozastavit, dokud nedokončíte vyšetřování toho, co se stalo.
Pokud chcete vytvořit nové zásady aktivit, postupujte takto:
Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad. Pak vyberte kartu Detekce hrozeb .
Klikněte na Vytvořit zásadu a vyberte Zásady aktivity.
Zadejte název a popis zásady. Pokud chcete, můžete ji založit na šabloně. Další informace o šablonách zásad najdete v tématu Řízení cloudových aplikací pomocí zásad.
Pokud chcete nastavit, které akce nebo jiné metriky tuto zásadu aktivují, použijte filtry aktivit.
Pokud chcete zajistit, že zahrnete výsledky jenom v případě, že zadané pole filtru má hodnotu, doporučujeme stejné pole znovu přidat pomocí testu is set . Pokud se například filtrování podle umístěnínerovná zadanému seznamu zemí/oblastí, přidejte také filtr pro Umístěníje nastaveno. Náhled výsledků filtru můžete zobrazit také tak, že vyberete Upravit a zobrazit náhled výsledků. Příklady:
Pokud je filtr nastavený na nerovná se a atribut v události neexistuje, událost nebude odfiltrována. Například filtrování podle značky zařízení se nerovná Microsoft Entra hybrid join neodfiltruje události, které neobsahují značku Zařízení, a to ani v případě, že je zařízení Microsoft Entra připojené.
V případě uživatele typu host můžou narazit na případy, kdy filtr uživatel ze skupiny nerozpozná účet podle jeho domény. Pokud chcete mít jistotu, že jsou zahrnuti všichni uživatelé typu host, použijte jako skupinu Externí uživatelé , pokud splňuje vaše požadavky na zásadu.
V části Vytvořit filtry pro zásadu vyberte, kdy se aktivuje porušení zásad. Zvolte, aby se aktivovala, když jedna aktivita odpovídá filtrům, nebo pouze v případě, že je zjištěn zadaný počet opakovaných aktivit .
- Pokud zvolíte Opakovaná aktivita, můžete nastavit možnost V jedné aplikaci. Toto nastavení aktivuje shodu zásad jenom v případě, že ve stejné aplikaci dojde k opakovaným aktivitám. Například pět stažení za 30 minut z Boxu aktivuje shodu zásad.
Nakonfigurujte akce , které se mají provést, když se najde shoda.
Podívejte se na tyto příklady:
Několik neúspěšných přihlášení
Zásady můžete nastavit tak, aby se vám zobrazilo upozornění, když během krátké doby dojde k velkému počtu neúspěšných přihlášení. Pokud chcete nakonfigurovat tento typ zásad, zvolte příslušný filtr aktivit na stránce Nové zásady aktivit .
Pod polem Filtry aktivit nakonfigurujte parametry, pro které se upozornění aktivuje.
Vysoká rychlost stahování
Zásady můžete nastavit tak, aby se vám zobrazilo upozornění na neočekávanou nebo netypickou úroveň aktivity stahování. Pokud chcete nakonfigurovat tento druh zásad, v části Parametry sazby zvolte parametry, které mají výstrahu aktivovat.
Referenční informace k zásadám aktivit
Tato část obsahuje referenční podrobnosti o zásadách, vysvětlení jednotlivých typů zásad a pole, která je možné pro každou zásadu nakonfigurovat.
Zásady aktivit jsou zásady založené na rozhraní API, které umožňují monitorovat aktivity vaší organizace v cloudu. Zásady zohledňují více než 20 filtrů metadat souborů, včetně typu zařízení a umístění. Na základě výsledků zásad je možné generovat oznámení a uživatele z cloudové aplikace pozastavit. Každá zásada se skládá z následujících částí:
Filtry aktivit – umožňují vytvářet podrobné podmínky založené na metadatech.
Parametry shody aktivit – Umožňují nastavit prahovou hodnotu, kolikrát se aktivita opakuje, aby odpovídala zásadám. Zadejte počet opakovaných aktivit potřebných k tomu, aby odpovídaly zásadám. Můžete například nastavit zásadu tak, aby upozorňovala na 10 neúspěšných pokusů o přihlášení za 2 minuty. Ve výchozím nastavení parametry shody aktivity vyvolují shodu pro každou aktivitu, která splňuje všechny filtry aktivit.
- Pomocí možnosti Opakovaná aktivita můžete nastavit počet opakovaných aktivit, tedy dobu trvání časového rámce, ve kterém se aktivity započítávají. Můžete také určit, že všechny aktivity by měl provádět stejný uživatel a ve stejné cloudové aplikaci.
Akce – zásada poskytuje sadu akcí zásad správného řízení, které se dají automaticky použít při zjištění porušení.
Další kroky
Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.