次の方法で共有

Microsoft Defender for Cloud Apps アクティビティ ポリシーを作成する

  • [アーティクル]

アクティビティ ポリシーを使用すると、アプリ プロバイダーの API を使用して、さまざまな自動プロセスを適用できます。 これらのポリシーを使用すると、さまざまなユーザーによって実行される特定のアクティビティを監視したり、特定の種類のアクティビティの予期しない高いレートに従ったりすることができます。

アクティビティ検出ポリシーを設定すると、アラートの生成が開始されます。アラートは、ポリシーの作成後に発生するアクティビティでのみ生成されます。

注:

  • 1 日あたり 200,000 件を超える一致をトリガーするポリシー、または 3 時間あたり 100,000 件の一致をトリガーするポリシーは、自動的に無効になる場合があります。 追加のフィルターを追加してポリシーの調整を試みたり、レポート目的でポリシーを使用している場合は、代わりに それらをクエリとして保存 することを検討してください。
  • 新しいポリシーの設定からデプロイまで、最大で 15 分かかる場合があります。

カスタム アラート

アクティビティ ポリシーを使用すると、ユーザー アクティビティが検出されたときにカスタム アラートを送信したり、アクションを実行したりできます。 たとえば、次のように毎回知りたいとします。

  • ユーザーがサインインしようとして、1 分で 70 回失敗する
  • ユーザーが 7,000 個のファイルをダウンロードする
  • ユーザーがなじみのない国/地域からログインしている

これらのイベントが発生したときに、アクティビティ アラートを自分またはユーザーに送信するように設定できます。 何が起こったかを調査し終わるまで、ユーザーを一時停止することもできます。

新しいアクティビティ ポリシーを作成するには、次の手順に従います。

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 次に、[ 脅威の検出 ] タブを選択します。

  2. [ ポリシーの作成 ] をクリックし、[ アクティビティ ポリシー] を選択します。

    脅威検出ポリシーを作成します。

  3. ポリシーテンプレートの詳細については、「ポリシーを使用して クラウド アプリを制御する」を参照してください。テンプレートに基づく場合は、ポリシーに名前と説明を付けます。

  4. このポリシーをトリガーするアクションまたはその他のメトリックを設定するには、 アクティビティ フィルターを使用します。

    指定したフィルター フィールドに値がある結果のみを含めるために、 is set テストを使用して同じフィールドをもう一度追加することをお勧めします。 たとえば、Location によるフィルター処理が国/地域の指定されたリストと等しくない場合は、[場所] のフィルターも設定されます。 [ 結果の編集とプレビュー] を選択して、フィルターの結果をプレビューすることもできます。 以下に例を示します。

    [場所] フィールドが設定されていることを示すフィルター設定のスクリーンショット。

    フィルターが に設定されているのが等しくなく、イベントに属性が存在しない場合、イベントはフィルター処理されません。たとえば、デバイス タグでフィルター処理しても、ハイブリッド参加Microsoft Entraと等しくない場合、デバイスが参加Microsoft Entra場合でも、Device タグを含まないイベントは除外されません。

    ゲスト ユーザーの場合、グループ からユーザー フィルターがドメインによってアカウントを認識しない場合があります。 すべてのゲスト ユーザーが確実に含まれるようにするには、ポリシーのニーズを満たす場合は、 外部ユーザー をグループとして使用します。

  5. [ ポリシーのフィルターの作成] で、ポリシー違反がトリガーされるタイミングを選択します。 単一アクティビティがフィルターと一致する場合、または指定した数の繰り返しアクティビティが検出された場合にのみトリガーするように選択します。

    • [繰り返しアクティビティ] を選択した場合は、[1 つのアプリで] を設定できます。 この設定は、同じアプリで繰り返しアクティビティが発生した場合にのみ、ポリシーの一致をトリガーします。 たとえば、Box から 30 分で 5 回ダウンロードすると、ポリシーの一致がトリガーされます。

  6. 一致が見つかったときに実行するアクションを構成 します

次の例を見てみましょう。

  • 失敗した複数のログイン

    短時間で多数の失敗したログインが発生したときにアラートを受け取るようにポリシーを設定できます。 この種のポリシーを構成するには、[新しいアクティビティ ポリシー] ページで適切な アクティビティ フィルター を選択します。

    [ アクティビティ フィルター ] フィールドの下で、アラートをトリガーするパラメーターを構成します。

    サインイン試行が複数回失敗した場合のポリシーの例。

  • ダウンロード率が高い

    予期しないレベルまたは非特徴的なレベルのダウンロード アクティビティがあった場合にアラートを受け取るようにポリシーを設定できます。 この種のポリシーを構成するには、[ レート パラメーター] で、アラートをトリガーするパラメーターを選択します。

    高いダウンロードレートの例。

アクティビティ ポリシーリファレンス

このセクションでは、ポリシーの詳細、各ポリシーの種類の説明、およびポリシーごとに構成できるフィールドについて説明します。

アクティビティ ポリシーは API ベースのポリシーであり、クラウドでorganizationのアクティビティを監視できます。 ポリシーでは、デバイスの種類と場所を含む 20 を超えるファイル メタデータ フィルターが考慮されます。 ポリシーの結果に基づいて通知を生成し、ユーザーをクラウド アプリから中断できます。 各ポリシーは、次の部分で構成されます。

  • アクティビティ フィルター – メタデータに基づいて詳細な条件を作成できます。

  • アクティビティの一致パラメーター – アクティビティがポリシーと一致すると見なされる回数のしきい値を設定できます。 ポリシーに一致するために必要な繰り返しアクティビティの数を指定します。 たとえば、ユーザーが 2 分間にログイン試行に 10 回失敗した場合に警告するようにポリシーを設定します。 既定では、 アクティビティの一致パラメーター は、すべてのアクティビティ フィルターを満たす 1 つのアクティビティごとに一致を発生させます。

    • 繰り返しアクティビティを使用すると、繰り返されるアクティビティの数、アクティビティがカウントされる期間の期間を設定できます。 また、すべてのアクティビティを同じユーザーと同じクラウド アプリで実行することを指定することもできます。

  • アクション – ポリシーは、違反が検出されたときに自動的に適用できる一連のガバナンス アクションを提供します。

次の手順

データ保護ポリシー

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。