Jaa

Pilvilöydön poikkeamien tunnistuskäytäntö

  • Artikkeli

Pilvilöydön poikkeamien tunnistuskäytännön avulla voit määrittää ja määrittää jatkuvan seurannan epätavallisista pilvisovellusten käytön lisääntymisestä. Kunkin pilvisovelluksen osalta otetaan huomioon ladattujen tietojen, ladattujen tietojen, tapahtumien ja käyttäjien lisääntyminen. Jokaista lisäystä verrataan sovelluksen normaaliin käyttömalliin aiemmasta käytöstä opittuun tapaan. Äärimmäiset lisäävät laukaisevia suojaushälytyksiä.

Tässä artikkelissa kuvataan, miten voit luoda ja määrittää pilven resurssienetsinnän poikkeamien tunnistuskäytännön Microsoft Defender for Cloud Apps.

Tärkeää

Elokuusta 2024 alkaen pilvietsintäpoikkeamien tuki Microsoft Defender for Cloud Apps on poistettu käytöstä. Näin ollen tässä artikkelissa esitelty vanha menettely on tarkoitettu vain tiedoksi. Jos haluat saada poikkeamien tunnistamisen vastaavia suojausilmoituksia, suorita luo sovelluksen etsintäkäytännön vaiheet.

Sovelluksen etsintäkäytännön luominen

Vaikka pilvitietojen etsinnän poikkeamien tunnistamisen tuki on poistettu käytöstä, voit saada samanlaisia suojausilmoituksia luomalla sovelluksen etsintäkäytännön:

  1. Laajenna Microsoft Defender-portaalin vasemmassa valikossa pilvisovellusten>käytännöt -osio ja valitse Käytäntöjen hallinta.

  2. Valitse Käytännöt-sivullaVarjosta IT-välilehti .

  3. Laajenna avattava Luo käytäntö -valikko ja valitse Sovelluksen etsintäkäytäntö -vaihtoehto.

  4. Valitse Käynnistä käytäntövastaavuus, jos kaikki seuraavat tapahtuvat samana päivänä - asetus:

    Näyttökuva, jossa näytetään, miten voit valita Käynnistä käytäntövastaavuus, jos kaikki seuraavat tapahtuu samana päivänä -asetuksen sovelluksen etsintäkäytännölle.

  5. Määritä liittyvät suodattimet ja asetukset kohdassa Poikkeamien tunnistuskäytännön luominen kuvatulla tavalla.

(Aiempi) Poikkeamien tunnistuskäytännön luominen

Määrität jokaiselle poikkeamien tunnistuskäytännölle suodattimet, joiden avulla voit valikoivasti valvoa sovelluksen käyttöä. Suodattimet ovat käytettävissä sovellukselle, valituille tietonäkymille ja valitulle alkamispäivälle. Voit myös määrittää luottamuksellisuusasetuksen ja määrittää, kuinka monta ilmoitusta käytäntö käynnistää.

Luo pilvietsintäpoikkeamien tunnistuskäytäntö noudattamalla ohjeita:

  1. Laajenna Microsoft Defender-portaalin vasemmassa valikossa pilvisovellusten>käytännöt -osio ja valitse Käytäntöjen hallinta.

  2. Valitse Käytännöt-sivullaVarjosta IT-välilehti .

  3. Laajenna avattava Luo käytäntö -valikko ja valitse Cloud Discoveryn poikkeamien tunnistuskäytäntövaihtoehto :

    Näyttökuva, jossa näytetään, miten voit luoda uuden pilvilöydöshavainnon poikkeamien tunnistuskäytännön.

    Luo pilvietsintä -poikkeamien tunnistamisen käytäntösivu avautuu, jossa voit määrittää käytännön parametrit luotavaksi.

  4. Luo pilvietsintä -poikkeamien tunnistamisen käytäntösivullaKäytäntömalli-vaihtoehto tarjoaa luettelon malleista, joita voit käyttää käytännön pohjana. Asetuksen oletusarvona on Ei mallia.

    Jos haluat perustaa käytännön malliin, laajenna avattava valikko ja valitse malli:

    • Havaittujen käyttäjien poikkeava toiminta: Hälytyksiä, kun löytynnyskäyttäjillä ja sovelluksilla havaitaan poikkeavia toimintoja. Tämän mallin avulla voit tarkistaa suuria määriä ladattuja tietoja verrattuna muihin käyttäjiin tai suuria käyttäjätapahtumia verrattuna käyttäjän historiaan.

    • Löydettyjen IP-osoitteiden poikkeava toiminta: Hälytyksiä, kun löytynnissä IP-osoitteissa ja sovelluksissa havaitaan poikkeavia toimintoja. Tämän mallin avulla voit tarkistaa suuria määriä ladattuja tietoja verrattuna muihin IP-osoitteisiin tai suuria sovellustapahtumia IP-osoitteen historiaan verrattuna.

    Seuraavassa kuvassa näytetään, miten voit valita uuden käytännön pohjana käytettävän mallin Microsoft Defender portaalissa:

    Näyttökuva, jossa näytetään, miten voit valita uuden käytännön pohjana käytettävän mallin.

  5. Kirjoita uuden käytännön käytännön nimi ja kuvaus .

  6. Luo suodatin sovelluksille, joita haluat valvoa, käyttämällä Valitse suodatin - vaihtoehtoa.

    • Laajenna avattava valikko ja suodata kaikki vastaavat sovellukset sovellustunnisteen, sovellusten ja toimialueen, luokan, erilaisten riskitekijöiden tai riskipisteiden mukaan.

    • Jos haluat luoda lisää suodattimia, valitse Lisää suodatin.

    Seuraavassa kuvassa näytetään, miten voit valita suodattimen käytännölle, jota käytetään kaikkiin vastaaviin sovelluksiin Microsoft Defender-portaalissa:

    Näyttökuva, jossa näytetään, miten voit valita suodattimen käytännölle, jota käytetään kaikissa vastaavissa sovelluksissa.

  7. Määritä sovelluksen käyttösuodattimet Käytä kohteeseen -osassa:

    1. Ensimmäisen avattavan valikon avulla voit valita, miten jatkuvan käytön raportteja seurataan:

      • Kaikki jatkuvat raportit (oletus): Vertaa kutakin käytön lisäystä normaaliin käyttömalliin, kuten kaikki tietonäkymät ovat oppineet.

      • Tietyt jatkuvat raportit: Vertaa kutakin käytön lisäystä normaaliin käyttömalliin. Malli opitaan samasta tietonäkymästä, jossa lisäys havaittiin.

    2. Toisen avattavan valikon avulla voit määrittää valvotut kytkennät jokaista pilvisovellusten käyttöä varten:

      • Käyttäjät: Ohita sovelluksen käytön ja IP-osoitteiden kytkentä.

      • IP-osoitteet: Ohita sovelluksen käytön suhde käyttäjiin.

      • Käyttäjät, IP-osoitteet (oletus): Valvo käyttäjien sovelluksen käytön ja IP-osoitteiden käyttöä. Tämä vaihtoehto voi tuottaa päällekkäisiä ilmoituksia, kun käyttäjien ja IP-osoitteiden välillä on tiukka vastaavuus.

    Seuraavassa kuvassa näytetään, miten voit määrittää sovelluksen käyttösuodattimet ja aloituspäivän käyttöilmoitusten ottamiseksi käyttöön Microsoft Defender portaalissa:

    Näyttökuva, jossa näytetään, miten voit määrittää sovelluksen käyttösuodattimet ja aloituspäivämäärän käyttöilmoitusten lisäämiselle.

  8. Anna Korota hälytyksiä vain asetuksen jälkeen tapahtuvista epäilyttävistä toiminnoista -kohtaan päivämäärä, jolloin sovelluksen käyttöilmoituksia aletaan ottaa käyttöön.

    Sovelluksen käytön kasvu ennen määritettyä alkamispäivää ohitetaan. Käyttöaktiviteetin tiedot ennen alkamispäivää on kuitenkin opittu normaalin käyttömallin muodostamiseksi.

  9. Määritä Ilmoitukset-osiossa ilmoituksen luottamuksellisuus ja ilmoitukset. Käytännön käynnistämien ilmoitusten määrää voi hallita useilla eri tavoilla:

    • Käytä Valitse poikkeamien tunnistamisen luottamuksellisuus -liukusäädintä käynnistääksesi hälytyksiä ylimmille X-poikkeaville aktiviteeteille tuhatta käyttäjää kohti viikossa. Ilmoitukset käynnistyvät aktiviteeteille, joilla on suurin riski.

    • Valitse Luo hälytys kullekin vastaavalle tapahtumalle käytännön vakavuus -asetuksella ja määritä muut parametrit ilmoituksille:

      • Lähetä ilmoitus sähköpostiviestinä: Anna ilmoitusviestien sähköpostiosoitteet. Enintään 500 viestiä voidaan lähettää sähköpostiosoitetta kohti päivässä. Määrä nollautuu keskiyöllä UTC-aikavyöhykkeellä.

      • Päivittäinen ilmoitusrajoitus käytäntöä kohden: Käytä avattavaa valikkoa ja valitse haluamasi rajoitus. Tämä asetus rajoittaa yksittäisenä päivänä annettujen ilmoitusten määrän määritettyyn arvoon.

      • Ilmoitusten lähettäminen Power Automateen: Valitse pelikirja toimintojen suorittamiseksi, kun ilmoitus käynnistyy. Voit myös avata uuden pelikirjan valitsemalla Luo pelikirja Power Automatessa.

    • Jos haluat määrittää organisaatiosi oletusasetukset käyttämään päivittäisiä ilmoituksia ja sähköpostiasetuksia, valitse Tallenna oletusasetuksina.

    • Jos haluat käyttää organisaatiosi päivittäisiä ilmoituksia ja sähköpostiasetuksia, valitse Palauta oletusasetukset.

    Seuraavassa kuvassa näytetään, miten voit määrittää käytännölle hälytyksiä, kuten luottamuksellisuus-, sähköposti-ilmoitukset ja päivittäisen rajoituksen Microsoft Defender portaalissa:

    Näyttökuva, jossa näytetään, miten voit määrittää ilmoituksia, mukaan lukien luottamuksellisuus, sähköposti ja päivittäinen raja.

  10. Vahvista määritysvaihtoehdot ja valitse Luo.

Aiemmin luodun käytännön käsitteleminen

Kun luot käytännön, se on oletusarvoisesti käytössä. Voit poistaa käytännön käytöstä ja suorittaa muita toimintoja, kuten Muokkaa ja Poista.

  1. Etsi Käytännöt-sivulla päivitettävä käytäntö käytäntöluettelosta.

  2. Vieritä käytäntöluettelossa käytäntörivin oikealle puolelle ja valitse Enemmän vaihtoehtoja (...).

  3. Valitse ponnahdusvalikosta käytäntöön suoritettava toiminto.

Seuraavat vaiheet

Tutustu parhaisiin käytäntöihin organisaatiosi suojaamiseksi

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.