Freigeben über

Erstellen von Microsoft Defender for Cloud Apps-Aktivitätsrichtlinien

  • Artikel

Mit Aktivitätsrichtlinien können Sie eine Vielzahl von automatisierten Prozessen mithilfe der APIs des App-Anbieters erzwingen. Diese Richtlinien ermöglichen es Ihnen, bestimmte Aktivitäten zu überwachen, die von verschiedenen Benutzern ausgeführt werden, oder unerwartet hohe Raten einer bestimmten Art von Aktivität zu verfolgen.

Nachdem Sie eine Aktivitätserkennungsrichtlinie festgelegt haben, wird damit begonnen, Warnungen zu generieren. Warnungen werden nur für Aktivitäten generiert, die nach dem Erstellen der Richtlinie auftreten.

Hinweis

  • Richtlinien, die mehr als 200.000 Übereinstimmungen pro Tag oder 100.000 Übereinstimmungen pro 3 Stunden auslösen, werden möglicherweise automatisch deaktiviert. Sie können versuchen, Richtlinien zu verfeinern, indem Sie zusätzliche Filter hinzufügen oder, wenn Sie Richtlinien für Berichterstellungszwecke verwenden, sie stattdessen als Abfragen speichern .
  • Das Einrichten einer neuen Richtlinie bis zur Bereitstellung kann bis zu 15 Minuten dauern.

Benutzerdefinierte Warnungen

Mit Aktivitätsrichtlinien können benutzerdefinierte Warnungen gesendet oder Aktionen ausgeführt werden, wenn Benutzeraktivitäten erkannt werden. Sie möchten z. B. jedes Mal Folgendes wissen:

  • Ein Benutzer versucht, sich anzumelden, und schlägt 70 Mal in einer Minute fehl.
  • Ein Benutzer lädt 7.000 Dateien herunter
  • Ein Benutzer ist aus einem unbekannten Land/einer unbekannten Region angemeldet.

Sie können Festlegen, dass Aktivitätswarnungen an sich selbst oder an den Benutzer gesendet werden, wenn diese Ereignisse auftreten. Sie können den Benutzer sogar anhalten, bis Sie die Untersuchung abgeschlossen haben, was passiert ist.

Gehen Sie wie folgt vor, um eine neue Aktivitätsrichtlinie zu erstellen:

  1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Wählen Sie dann die Registerkarte Bedrohungserkennungen aus.

  2. Klicken Sie auf Richtlinie erstellen , und wählen Sie Aktivitätsrichtlinie aus.

    Erstellen Sie eine Richtlinie für die Bedrohungserkennung.

  3. Geben Sie Ihrer Richtlinie einen Namen und eine Beschreibung. Wenn Sie möchten, können Sie sie auf einer Vorlage basieren. Weitere Informationen zu Richtlinienvorlagen finden Sie unter Steuern von Cloud-Apps mit Richtlinien.

  4. Um festzulegen, welche Aktionen oder anderen Metriken diese Richtlinie auslösen, arbeiten Sie mit den Aktivitätsfiltern.

    Um sicherzustellen, dass Sie nur Ergebnisse einschließen, bei denen das angegebene Filterfeld einen Wert aufweist, empfiehlt es sich, dasselbe Feld mithilfe des Is Set-Tests erneut hinzuzufügen. Wenn das Filtern nach Standort z. B. nicht mit einer angegebenen Liste von Ländern/Regionen identisch ist, fügen Sie auch einen Filter für Standortist festgelegt hinzu. Sie können auch eine Vorschau der Filterergebnisse anzeigen, indem Sie Bearbeiten und Ergebnisse anzeigen auswählen. Zum Beispiel:

    Screenshot der Filtereinstellungen, in dem das Feld

    Wenn ein Filter auf ungleich festgelegt ist und das Attribut für das Ereignis nicht vorhanden ist, wird das Ereignis nicht herausgefiltert. Die Filterung nach Gerätetag entspricht beispielsweise nicht Microsoft Entra hybrid eingebundenen Ereignisse, die kein Gerätetag enthalten, auch wenn das Gerät Microsoft Entra eingebunden ist.

    Im Fall eines Gastbenutzers kann es vorkommen, dass der Filter Benutzer aus Gruppe das Konto nicht anhand seiner Domäne erkennt. Um sicherzustellen, dass alle Gastbenutzer enthalten sind, verwenden Sie die Externen Benutzer als Gruppe, wenn sie Ihren Anforderungen für die Richtlinie entspricht.

  5. Wählen Sie unter Filter für die Richtlinie erstellen aus, wann ein Richtlinienverstoß ausgelöst wird. Wählen Sie aus, ob ausgelöst werden soll, wenn eine einzelne Aktivität mit den Filtern übereinstimmt, oder nur, wenn eine angegebene Anzahl wiederholter Aktivitäten erkannt wird.

    • Wenn Sie Wiederholte Aktivität auswählen, können Sie In einer einzelnen App festlegen. Diese Einstellung löst nur dann eine Richtlinienversprechung aus, wenn die wiederholten Aktivitäten in derselben App auftreten. Beispielsweise lösen fünf Downloads in 30 Minuten von Box eine Richtlinienmatches aus.

  6. Konfigurieren Sie die Aktionen , die ausgeführt werden sollen, wenn eine Übereinstimmung gefunden wird.

Sehen Sie sich diese Beispiele an:

  • Mehrere fehlgeschlagene Anmeldungen

    Sie können die Richtlinie so festlegen, dass Sie eine Warnung erhalten, wenn innerhalb eines kurzen Zeitraums eine große Anzahl von fehlgeschlagenen Anmeldungen auftritt. Um diese Art von Richtlinie zu konfigurieren, wählen Sie auf der Seite Neue Aktivitätsrichtlinie den entsprechenden Aktivitätsfilter aus.

    Konfigurieren Sie unter dem Feld Aktivitätsfilter die Parameter, für die die Warnung ausgelöst wird.

    Richtlinienbeispiel für mehrere fehlgeschlagene Anmeldeversuche.

  • Hohe Downloadrate

    Sie können Ihre Richtlinie so festlegen, dass Sie eine Warnung erhalten, wenn eine unerwartete oder nicht charakteristische Downloadaktivität aufgetreten ist. Um diese Art von Richtlinie zu konfigurieren, wählen Sie unter Ratenparameter die Parameter aus, um die Warnung auszulösen.

    Beispiel für eine hohe Downloadrate.

Aktivitätsrichtlinienreferenz

Dieser Abschnitt enthält Referenzdetails zu Richtlinien, Erläuterungen für jeden Richtlinientyp und die Felder, die für jede Richtlinie konfiguriert werden können.

Eine Aktivitätsrichtlinie ist eine API-basierte Richtlinie, mit der Sie die Aktivitäten Ihrer organization in der Cloud überwachen können. Die Richtlinie berücksichtigt mehr als 20 Dateimetadatenfilter, einschließlich Gerätetyp und Standort. Basierend auf den Richtlinienergebnissen können Benachrichtigungen generiert und Benutzer von der Cloud-App angehalten werden. Jede Richtlinie besteht aus den folgenden Teilen:

  • Aktivitätsfilter: Ermöglichen Es Ihnen, präzise Bedingungen basierend auf Metadaten zu erstellen.

  • Parameter für aktivitätsbezogene Übereinstimmungen: Ermöglichen Es Ihnen, einen Schwellenwert für die Häufigkeit festzulegen, mit der eine Aktivität wiederholt wird, damit sie mit der Richtlinie übereinstimmt. Geben Sie die Anzahl der wiederholten Aktivitäten an, die für die Übereinstimmung mit der Richtlinie erforderlich sind. Legen Sie beispielsweise eine Richtlinie so fest, dass sie benachrichtigt wird, wenn ein Benutzer in einem Zeitraum von 2 Minuten 10 erfolglose Anmeldeversuche hat. Standardmäßig lösen Aktivitäts-Übereinstimmungsparameter eine Übereinstimmung für jede einzelne Aktivität aus, die alle Aktivitätsfilter erfüllt.

    • Mit wiederholter Aktivität können Sie die Anzahl wiederholter Aktivitäten und die Dauer des Zeitrahmens festlegen, in dem die Aktivitäten gezählt werden. Sie können auch angeben, dass alle Aktivitäten vom gleichen Benutzer und in derselben Cloud-App ausgeführt werden sollen.

  • Aktionen: Die Richtlinie stellt eine Reihe von Governanceaktionen bereit, die automatisch angewendet werden können, wenn Verstöße erkannt werden.

Nächste Schritte

Datenschutzrichtlinien

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.