Condividi tramite

Creare criteri di individuazione cloud

  • Articolo

È possibile creare criteri di individuazione delle app per avvisare l'utente quando vengono rilevate nuove app. Defender for Cloud Apps cerca anche anomalie in tutti i log nell'individuazione cloud.

Creazione di criteri di individuazione delle app

I criteri di individuazione consentono di impostare avvisi che notificano quando vengono rilevate nuove app all'interno dell'organizzazione.

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Selezionare quindi la scheda Shadow IT.Then select the Shadow IT tab.

  2. Selezionare Crea criterio e quindi Criteri di individuazione app.

    Creare criteri di individuazione cloud.

  3. Assegnare un nome e una descrizione ai criteri. Se si desidera, è possibile basarlo su un modello. Per altre informazioni sui modelli di criteri, vedere Controllare le app cloud con i criteri.

  4. Impostare la gravità dei criteri.

  5. Per impostare quali app individuate attivano questo criterio, aggiungere filtri.

  6. È possibile impostare una soglia per la sensibilità dei criteri. Abilita Attiva una corrispondenza di criteri se tutti i seguenti si verificano nello stesso giorno. È possibile impostare i criteri che l'app deve superare quotidianamente per soddisfare il criterio. Selezionare uno dei criteri seguenti:

    • Traffico giornaliero
    • Dati scaricati
    • Numero di indirizzi IP
    • Numero di transazioni
    • Numero di utenti
    • Dati caricati

  7. Impostare un limite di avvisi giornalieri in Avvisi. Selezionare se l'avviso viene inviato come messaggio di posta elettronica. Specificare quindi gli indirizzi di posta elettronica in base alle esigenze.

    • Se si seleziona Salva impostazioni avviso come impostazione predefinita per l'organizzazione, i criteri futuri possono usare l'impostazione.
    • Se si dispone di un'impostazione predefinita, è possibile selezionare Usa le impostazioni predefinite dell'organizzazione.

  8. Selezionare Azioni di governance da applicare quando un'app corrisponde a questo criterio. I criteri possono essere contrassegnati come approvati, non approvati, monitorati o personalizzati.

  9. Selezionare Crea.

Nota

  • I criteri di individuazione appena creati (o i criteri con report continui aggiornati) attivano un avviso una volta in 90 giorni per app per report continuo, indipendentemente dal fatto che siano presenti avvisi esistenti per la stessa app. Ad esempio, se si creano criteri per l'individuazione di nuove app comuni, potrebbero essere attivati avvisi aggiuntivi per le app che sono già state individuate e segnalate.
  • I dati dei report snapshot non attivano avvisi nei criteri di individuazione delle app.

Ad esempio, se si è interessati all'individuazione di app di hosting rischiose presenti nell'ambiente cloud, impostare i criteri come indicato di seguito:

Impostare i filtri dei criteri per individuare tutti i servizi presenti nella categoria dei servizi di hosting e con un punteggio di rischio pari a 1, a indicare che sono altamente rischiosi.

Impostare le soglie che devono attivare un avviso per una determinata app individuata nella parte inferiore. Ad esempio, avvisa solo se più di 100 utenti nell'ambiente hanno usato l'app e se hanno scaricato una certa quantità di dati dal servizio. Inoltre, è possibile impostare il limite di avvisi giornalieri che si desidera ricevere.

Esempio di criteri di individuazione delle app.

Rilevamento anomalie dell'individuazione cloud

Defender for Cloud Apps cerca anomalie in tutti i log nell'individuazione cloud. Ad esempio, quando un utente, che non ha mai usato Dropbox prima, carica improvvisamente 600 GB in esso, o quando ci sono molte più transazioni del solito in una particolare app. I criteri di rilevamento anomalie sono abilitati per impostazione predefinita. Non è necessario configurare un nuovo criterio per il funzionamento. Tuttavia, è possibile ottimizzare i tipi di anomalie di cui si vuole ricevere un avviso nei criteri predefiniti.

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Selezionare quindi la scheda Shadow IT.Then select the Shadow IT tab.

  2. Selezionare Crea criterio e selezionare Criteri di rilevamento anomalie di Cloud Discovery.

    menu dei criteri di rilevamento anomalie dell'individuazione cloud.

  3. Assegnare un nome e una descrizione ai criteri. Se si vuole, è possibile basarlo su un modello. Per altre informazioni sui modelli di criteri, vedere Controllare le app cloud con i criteri.

  4. Per impostare quali app individuate attivano questo criterio, selezionare Aggiungi filtri.

    I filtri vengono scelti dagli elenchi a discesa. Per aggiungere filtri, selezionare Aggiungi un filtro. Per rimuovere un filtro, selezionare "X".

  5. In Applica per scegliere se questo criterio applica Tutti i report continui o Report continui specifici. Selezionare se i criteri si applicano a utenti, indirizzi IP o entrambi.

  6. Selezionare le date durante le quali si è verificata l'attività anomala per attivare l'avviso in Genera avvisi solo per le attività sospette che si verificano dopo la data.

  7. Impostare un limite di avvisi giornalieri in Avvisi. Selezionare se l'avviso viene inviato come messaggio di posta elettronica. Specificare quindi gli indirizzi di posta elettronica in base alle esigenze.

    • Se si seleziona Salva impostazioni avviso come impostazione predefinita per l'organizzazione, i criteri futuri possono usare l'impostazione.
    • Se si dispone di un'impostazione predefinita, è possibile selezionare Usa le impostazioni predefinite dell'organizzazione.

  8. Selezionare Crea.

    nuovi criteri di anomalia di individuazione.

Webinar di individuazione app e configurazione dell'agente di raccolta log

Passaggi successivi

Criteri attività utente

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.