Jaa

Microsoft Defender for Cloud Apps toimintokäytäntöjen luominen

  • Artikkeli

Toimintokäytäntöjen avulla voit ottaa käyttöön useita automatisoituja prosesseja sovellustoimittajan ohjelmointirajapintojen avulla. Näiden käytäntöjen avulla voit valvoa eri käyttäjien suorittamia tiettyjä toimintoja tai seurata odottamattoman korkeita tietyntyyppisten toimintojen toimintoja.

Kun olet määrittänyt toimintojen tunnistuskäytännön, se alkaa luoda ilmoituksia – hälytyksiä luodaan vain toiminnoille, jotka tapahtuvat käytännön luomisen jälkeen.

Huomautus

  • Käytännöt, jotka käynnistävät yli 200 000 vastaavuuskertaa päivässä tai 100 000 osumaa 3 tuntia kohden, voidaan poistaa käytöstä automaattisesti. Voit kokeilla käytäntöjen hienosäätämistä lisäämällä lisäsuodattimia. Jos käytät käytäntöjä raportointitarkoituksiin, voit sen sijaan tallentaa ne kyselyinä .
  • Uuden käytännön käyttöönotosta voi kestää jopa 15 minuuttia.

Mukautetut ilmoitukset

Toimintakäytännöt sallivat mukautettujen ilmoitusten lähettämisen tai toiminnot, jotka suoritetaan, kun käyttäjän toimia havaitaan. Haluat esimerkiksi tietää aina:

  • Käyttäjä yrittää kirjautua sisään ja epäonnistuu 70 kertaa minuutin aikana
  • Käyttäjä lataa 7 000 tiedostoa
  • Käyttäjä on kirjautunut sisään tuntemattomasta maasta tai alueelta

Voit määrittää toimintahälytyksiä, jotka lähetetään itsellesi tai käyttäjälle, kun nämä tapahtumat tapahtuvat. Voit jopa keskeyttää käyttäjän, kunnes olet lopettanut tapahtuneen tutkimisen.

Voit luoda uuden toimintokäytännön seuraavasti:

  1. Siirry Microsoft Defender-portaalin Pilvisovellukset-kohdassa kohtaan Käytännöt –>Käytäntöjen hallinta. Valitse sitten Uhkien tunnistuksia -välilehti.

  2. Valitse Luo käytäntö ja valitse Toimintakäytäntö.

    Luo uhkien havaitsemiskäytäntö.

  3. Anna käytännöllesi nimi ja kuvaus, jos haluat, että voit perustaa sen malliin, lisätietoja käytäntömalleista on artikkelissa Pilvisovellusten hallinta käytännöillä.

  4. Voit määrittää, mitkä toiminnot tai muut mittarit käynnistävät tämän käytännön, käyttämällä toimintosuodattimia.

    Jos haluat varmistaa, että sisällytät tulokset vain, jos määritetyllä suodatinkentällä on arvo, suosittelemme lisäämään saman kentän uudelleen käyttämällä Is set -testiä. Jos esimerkiksi suodattaminen sijainnin mukaan ei vastaa määritettyä maiden tai alueiden luetteloa, lisää myös Sijainti-suodatin. Voit myös esikatsella suodattimen tuloksia valitsemalla Muokkaa ja esikatsele tuloksia. Esimerkki:

    Suodatinasetusten näyttökuva, joka näyttää sijaintikentän olevan määritetty.

    Kun suodattimen arvoksi on määritetty eri suuri kuin eikä määritettä ole tapahtumassa, tapahtumaa ei suodateta pois. Esimerkiksi laitetunnisteen suodattaminen ei ole sama kuin Microsoft Entra yhdistelmäliitos ei suodata pois tapahtumia, jotka eivät sisällä Laite-tunnistetta, vaikka laite olisi Microsoft Entra liitetty.

    Vieraskäyttäjän tapauksessa saattaa olla tapauksia, joissa Käyttäjä ryhmästä -suodatin ei tunnista tiliä toimialueen perusteella. Jos haluat varmistaa, että kaikki vieraskäyttäjät ovat mukana, käytä ryhmänä ulkoisia käyttäjiä , jos se täyttää käytännön tarpeet.

  5. Valitse Luo suodattimia käytännölle -kohdassa, milloin käytäntörikkomus käynnistyy. Valitse käynnistin, kun yksittäinen toiminto vastaa suodattimia tai vain, kun havaitaan tietty määrä toistuvia toimintoja .

    • Jos valitset Toistuva aktiviteetti, voit määrittää vaihtoehdon Yhdessä sovelluksessa. Tämä asetus käynnistää vastaavuuskäytännön vain, kun toistuvat toiminnot tapahtuvat samassa sovelluksessa. Esimerkiksi viisi latausta 30 minuutin sisällä Ruudusta käynnistää käytännön vastaavuus.

  6. Määritä toiminnot , jotka suoritetaan, kun vastaavuus löydetään.

Tutustu seuraaviin esimerkkeihin:

  • Useat epäonnistuneet kirjautumiset

    Voit määrittää käytännön siten, että saat ilmoituksen, kun lyhyen ajanjakson aikana tapahtuu suuri määrä epäonnistuneita kirjautumisia. Jos haluat määrittää tällaisen käytännön, valitse haluamasi toimintosuodatin Uusi toimintakäytäntö -sivulla.

    Määritä Toimintosuodattimet-kentän alla parametrit, joille ilmoitus käynnistetään.

    Esimerkki useiden epäonnistuneiden kirjautumisyritysten käytännöstä.

  • Suuri latausnopeus

    Voit määrittää käytäntösi niin, että saat ilmoituksen, kun latausaktiviteetissa on tapahtunut odottamaton tai epätyypillinen taso. Jos haluat määrittää tällaisen käytännön, valitse Rate-parametrit -kohdasta parametrit ilmoituksen käynnistämiseksi.

    esimerkki korkeasta latausnopeudesta.

Toimintokäytännön viite

Tässä osiossa on viitetietoja käytännöistä, kunkin käytäntötyypin selityksistä ja kentistä, jotka voidaan määrittää kullekin käytännölle.

Toimintakäytäntö on ohjelmointirajapintapohjainen käytäntö, jonka avulla voit valvoa organisaatiosi toimintaa pilvipalvelussa. Käytännössä otetaan huomioon yli 20 tiedoston metatietosuodatinta, mukaan lukien laitteen tyyppi ja sijainti. Käytäntötulosten perusteella ilmoituksia voidaan luoda ja käyttäjät voidaan keskeyttää pilvisovelluksesta. Kukin käytäntö koostuu seuraavista osista:

  • Toimintosuodattimet – Voit luoda eriytettyjä ehtoja metatietojen perusteella.

  • Toimintojen vastaavuusparametrit – Voit määrittää raja-arvon sille, kuinka monta kertaa toiminto toistetaan, jotta se vastaa käytäntöä. Määritä käytäntöä vastaavien toistuvien toimintojen määrä. Voit esimerkiksi määrittää käytännön hälytykseen, kun käyttäjällä on 10 epäonnistunutta kirjautumisyritystä 2 minuutin ajanjaksolla. Toimintavastaavuusparametrit nostavat oletusarvoisesti vastaavuutta jokaiselle aktiviteetille, joka täyttää kaikki toimintosuodattimet.

    • Toistuvan toiminnan avulla voit määrittää toistuvien toimintojen määrän ja toimintojen laskenta-ajan. Voit myös määrittää, että kaikki toiminnot suorittaa sama käyttäjä ja samassa pilvisovelluksessa.

  • Toiminnot – Käytäntö tarjoaa joukon hallintotoimia, joita voidaan käyttää automaattisesti, kun rikkomuksia havaitaan.

Seuraavat vaiheet

Tietosuojakäytännöt

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.