Opret Microsoft Defender for Cloud Apps aktivitetspolitikker

Aktivitetspolitikker giver dig mulighed for at gennemtvinge en lang række automatiserede processer ved hjælp af appudbyderens API'er. Disse politikker giver dig mulighed for at overvåge bestemte aktiviteter, der udføres af forskellige brugere, eller følge uventet høje satser for en bestemt type aktivitet.

Når du har angivet en politik for aktivitetsregistrering, begynder den at generere beskeder – beskeder genereres kun for aktiviteter, der forekommer, når du har oprettet politikken.

Bemærk!

• Politikker, der udløser mere end 200.000 matches pr. dag eller 100.000 matches pr. 3 timer, kan deaktiveres automatisk. Du kan prøve at finjuster politikker ved at tilføje yderligere filtre, eller hvis du bruger politikker til rapporteringsformål, kan du overveje at gemme dem som forespørgsler i stedet.
• Det kan tage op til 15 minutter at konfigurere en ny politik til installation.

Brugerdefinerede beskeder

Aktivitetspolitikker gør det muligt at sende brugerdefinerede beskeder eller udføre handlinger, når der registreres brugeraktivitet. Du vil f.eks. gerne vide det hver gang:

• En bruger forsøger at logge på og mislykkes 70 gange på ét minut
• En bruger downloader 7.000 filer
• En bruger er logget på fra et ukendt land/område

Du kan angive aktivitetsbeskeder, der skal sendes til dig selv eller brugeren, når disse hændelser opstår. Du kan endda suspendere brugeren, indtil du er færdig med at undersøge, hvad der skete.

Hvis du vil oprette en ny aktivitetspolitik, skal du følge denne fremgangsmåde:

1. I Microsoft Defender-portalen under Cloud Apps skal du gå til Politikker –>Politikadministration. Vælg derefter fanen Trusselsregistreringer .

2. Klik på Opret politik , og vælg Aktivitetspolitik.

   

3. Giv din politik et navn og en beskrivelse, hvis du vil, kan du basere den på en skabelon. Du kan få flere oplysninger om politikskabeloner under Kontrollér cloudapps med politikker.

4. Hvis du vil angive, hvilke handlinger eller andre målepunkter der skal udløse denne politik, skal du arbejde med aktivitetsfiltrene.

   Hvis du vil sikre dig, at du kun medtager resultater, hvor det angivne filterfelt har en værdi, anbefaler vi, at du tilføjer det samme felt igen ved hjælp af er angivet test. Når filtrering efter Placering f.eks. ikke er lig med en angivet liste over lande/områder, skal du også tilføje et filter for Placeringer angivet. Du kan også få vist et eksempel på filterresultaterne ved at vælge Rediger og få vist resultater. Det kan f.eks. være:

   

   Når et filter er angivet til ikke er det samme, og attributten ikke findes på hændelsen, filtreres hændelsen ikke fra. Filtrering på Enhedsmærke er f.eks. ikke lig med Microsoft Entra hybridtilsluttede ikke filtrerer hændelser, der ikke indeholder enhedskoden, selvom enheden er Microsoft Entra tilsluttet.

   Hvis der er tale om en gæstebruger, kan der være tilfælde, hvor filteret Bruger fra gruppe ikke genkender kontoen efter sit domæne. Hvis du vil sikre dig, at alle gæstebrugere er inkluderet, skal du bruge eksterne brugere som gruppen, hvis den opfylder dine behov for politikken.

5. Under Opret filtre for politikken skal du vælge, hvornår en politikovertrædelse udløses. Vælg at udløse, når en enkelt aktivitet stemmer overens med filtrene, eller kun når der registreres et angivet antal gentagne aktiviteter .

   • Hvis du vælger Gentaget aktivitet, kan du angive I en enkelt app. Denne indstilling udløser kun et politikmatch, når de gentagne aktiviteter finder sted i den samme app. Fem downloads på 30 minutter fra Box udløser f.eks. et politikmatch.

6. Konfigurer de handlinger , der skal udføres, når der findes et match.

Se disse eksempler:

• Flere mislykkede logons

  Du kan angive en politik, så du modtager en besked, når der opstår et stort antal mislykkede logons inden for en kort tidsperiode. Hvis du vil konfigurere denne type politik, skal du vælge det relevante aktivitetsfilter på siden Ny aktivitetspolitik .

  Konfigurer de parametre, som beskeden udløses for, under feltet Aktivitetsfiltre .

  

• Høj downloadrate

  Du kan angive din politik, så du modtager en besked, når der har været en uventet eller ukaraktistisk downloadaktivitet. Hvis du vil konfigurere denne type politik, skal du vælge de parametre, der skal udløse beskeden, under Hastighedsparametre .

  

Reference til aktivitetspolitik

Dette afsnit indeholder oplysninger om politikker, forklaringer til hver politiktype og de felter, der kan konfigureres for hver politik.

En aktivitetspolitik er en API-baseret politik, der giver dig mulighed for at overvåge organisationens aktiviteter i cloudmiljøet. Politikken tager højde for mere end 20 filtre for filmetadata, herunder enhedstype og placering. På baggrund af politikresultaterne kan der genereres meddelelser, og brugerne kan blive suspenderet fra cloudappen. Hver politik består af følgende dele:

• Aktivitetsfiltre – gør det muligt for dig at oprette detaljerede betingelser baseret på metadata.

• Parametre for aktivitetsmatch – giver dig mulighed for at angive en grænse for det antal gange, en aktivitet gentages for at blive betragtet som at matche politikken. Angiv det antal gentagne aktiviteter, der kræves for at matche politikken. Du kan f.eks. angive en politik for at advare, når en bruger har 10 mislykkede logonforsøg inden for en 2-minutters tidsramme. Parametre for aktivitetsmatch udløser som standard et match for hver enkelt aktivitet, der opfylder alle aktivitetsfiltrene.

  • Ved hjælp af Gentaget aktivitet kan du angive antallet af gentagne aktiviteter, varigheden af den tidsramme, hvor aktiviteterne tælles. Du kan også angive, at alle aktiviteter skal udføres af den samme bruger og i den samme cloudapp.

• Handlinger – politikken indeholder et sæt styringshandlinger, der kan anvendes automatisk, når der registreres overtrædelser.

Næste trin

Databeskyttelsespolitikker

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.