Politik for registrering af uregelmæssigheder i skyen
En politik for registrering af uregelmæssigheder i skyen giver dig mulighed for at konfigurere løbende overvågning af usædvanlige stigninger i brugen af cloudprogrammer. Stigninger i downloadede data, uploadede data, transaktioner og brugere tages i betragtning for hvert cloudprogram. Hver stigning sammenlignes med det normale brugsmønster for programmet som lært fra tidligere brug. De mest ekstreme stigninger udløser sikkerhedsbeskeder.
I denne artikel beskrives det, hvordan du opretter og konfigurerer en politik for registrering af uregelmæssigheder i skyen i Microsoft Defender for Cloud Apps.
Vigtigt!
Fra og med august 2024 udgår understøttelse af uregelmæssigheder i cloudregistrering for Microsoft Defender for Cloud Apps. Derfor er den ældre procedure, der præsenteres i denne artikel, kun beregnet til orientering. Hvis du vil modtage sikkerhedsbeskeder, der svarer til registrering af uregelmæssigheder, skal du fuldføre trinnene i Politikken Opret appregistrering.
Opret en politik for appregistrering
Selvom understøttelse af registrering af uregelmæssigheder i skyen er ophørt, kan du modtage lignende sikkerhedsbeskeder ved at oprette en politik for appregistrering:
På Microsoft Defender-portalen skal du udvide afsnittetCloud Apps-politikker> i menuen til venstre og vælge Politikadministration.
På siden Politikker skal du vælge fanen Skygge it .
Udvid rullemenuen Opret politik , og vælg indstillingen Politik for appregistrering .
Vælg indstillingen Udløs et politikmatch, hvis alle følgende sker på samme dag :
Konfigurer de tilknyttede filtre og indstillinger, som beskrevet i Opret en politik for registrering af uregelmæssigheder.
(Ældre) Opret politik for registrering af uregelmæssigheder
For hver politik for registrering af uregelmæssigheder kan du angive filtre, der gør det muligt for dig selektivt at overvåge applikationsforbrug. Der er tilgængelige filtre for programmet, valgte datavisninger og en valgt startdato. Du kan også angive følsomheden og angive, hvor mange beskeder politikken skal udløse.
Følg trinnene for at oprette en politik for registrering af uregelmæssigheder i skyen:
På Microsoft Defender-portalen skal du udvide afsnittetCloud Apps-politikker> i menuen til venstre og vælge Politikadministration.
På siden Politikker skal du vælge fanen Skygge it .
Udvid rullemenuen Opret politik , og vælg politikindstillingen Registrering af uregelmæssigheder i cloudregistrering :
Politiksiden Opret registrering af uregelmæssigheder i cloudregistrering åbnes, hvor du kan konfigurere parametre for den politik, der skal oprettes.
På siden Opret registrering af uregelmæssigheder i cloudregistrering indeholder politikindstillingen Politikskabelon en liste over skabeloner, som du kan vælge imellem og bruge som basis for politikken. Indstillingen er som standard angivet til Ingen skabelon.
Hvis du vil basere politikken på en skabelon, skal du udvide rullemenuen og vælge en skabelon:
Unormal funktionsmåde hos registrerede brugere: Beskeder, når der registreres uregelmæssigheder i registrerede brugere og apps. Du kan bruge denne skabelon til at kontrollere, om der er store mængder overførte data sammenlignet med andre brugere eller store brugertransaktioner sammenlignet med brugerens historik.
Unormal funktionsmåde for registrerede IP-adresser: Beskeder, når der registreres unormal adfærd i registrerede IP-adresser og apps. Du kan bruge denne skabelon til at kontrollere, om der er store mængder uploadede data sammenlignet med andre IP-adresser eller store apptransaktioner sammenlignet med IP-adressens historik.
På følgende billede kan du se, hvordan du vælger en skabelon, der skal bruges som basis for den nye politik på Microsoft Defender portalen:
Angiv et politiknavn og en beskrivelse for den nye politik.
Opret et filter for de apps, du vil overvåge, ved hjælp af indstillingen Vælg et filter .
Udvid rullemenuen, og vælg at filtrere alle matchende apps efter appkode, apps og domæne, kategori, forskellige risikofaktorer eller risikoscore.
Hvis du vil oprette flere filtre, skal du vælge Tilføj et filter.
På følgende billede kan du se, hvordan du vælger et filter for den politik, der skal anvendes på alle tilsvarende programmer på Microsoft Defender portalen:
Konfigurer filtre for programanvendelse i afsnittet Anvend på :
Brug den første rullemenu til at vælge, hvordan du vil overvåge rapporter om kontinuerlig brug:
Alle fortløbende rapporter (standard): Sammenlign hver forbrugsforøgelse med det normale forbrugsmønster, som lært fra alle datavisninger.
Specifikke fortløbende rapporter: Sammenlign hver forbrugsforøgelse med det normale forbrugsmønster. Mønsteret er lært fra den samme datavisning, hvor stigningen blev observeret.
Brug den anden rullemenu til at angive overvågede tilknytninger for hver brug af cloudprogrammer:
Brugere: Ignorer tilknytningen af programbrug med IP-adresser.
IP-adresser: Ignorer tilknytningen af programbrug med brugere.
Brugere, IP-adresser (standard): Overvåg brugerens og IP-adressernes tilknyttede anvendelse af programmet. Denne indstilling kan oprette duplikerede beskeder, når der er en tæt korrespondance mellem brugere og IP-adresser.
På følgende billede kan du se, hvordan du konfigurerer filtre for programanvendelse og startdatoen for indsamling af forbrugsbeskeder på Microsoft Defender portalen:
For indstillingen Hæv kun beskeder for mistænkelige aktiviteter, der finder sted efter , skal du angive den dato, hvor du skal begynde at hæve beskeder om anvendelse af programmet.
Enhver stigning i programforbruget før den angivne startdato ignoreres. Forbrugsaktivitetsdata fra før startdatoen er dog blevet lært for at etablere det normale forbrugsmønster.
Konfigurer følsomheden og meddelelserne for vigtige beskeder i afsnittet Beskeder . Der er flere måder at styre antallet af beskeder, der udløses af politikken:
Brug skyderen Vælg registrering af uregelmæssigheder til at udløse beskeder for de øverste X uregelmæssige aktiviteter pr. 1.000 brugere pr. uge. Udløseren Beskeder for de aktiviteter, der har den højeste risiko.
Vælg indstillingen Opret en besked for hver matchende hændelse med politikkens alvorsgrad , og angiv andre parametre for beskeden:
Send besked som mail: Angiv mailadresserne for beskeder. Der kan maksimalt sendes 500 meddelelser pr. mailadresse pr. dag. Antallet nulstilles ved midnat i UTC-tidszonen.
Daglig grænse for beskeder pr. politik: Brug rullemenuen, og vælg den ønskede grænse. Denne indstilling begrænser antallet af beskeder, der er udløst på en enkelt dag, til den angivne værdi.
Send beskeder til Power Automate: Vælg en playbook til at køre handlinger, når en besked udløses. Du kan også åbne en ny playbook ved at vælge Opret en playbook i Power Automate.
Hvis du vil angive din organisations standardindstillinger for at bruge dine værdier for grænse for daglige beskeder og mailindstillinger, skal du vælge Gem som standardindstillinger.
Hvis du vil bruge din organisations standardindstillinger for grænse for daglige beskeder og mailindstillinger, skal du vælge Gendan standardindstillinger.
På følgende billede kan du se, hvordan du konfigurerer beskeder for politikken, herunder følsomhed, mailmeddelelser og en daglig grænse på Microsoft Defender portalen:
Bekræft dine konfigurationsvalg, og vælg Opret.
Arbejd med en eksisterende politik
Når du opretter en politik, aktiveres den som standard. Du kan deaktivere en politik og udføre andre handlinger, f.eks . Rediger og Slet.
Find den politik, der skal opdateres, på listen over politikker på siden Politikker .
Rul til højre på politikrækken på listen over politikker, og vælg Flere indstillinger (...).
Vælg den handling, der skal udføres på politikken, i pop op-menuen.
Næste trin
Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.