Policy for avviksregistrering i skyen

En policy for avviksregistrering i skyen gjør det mulig å konfigurere kontinuerlig overvåking av uvanlige økninger i bruk av skyprogrammer. Økninger i nedlastede data, opplastede data, transaksjoner og brukere vurderes for hvert skyprogram. Hver økning sammenlignes med det normale bruksmønsteret i programmet som lært av tidligere bruk. De mest ekstreme økningene utløser sikkerhetsvarsler.

Denne artikkelen beskriver hvordan du oppretter og konfigurerer en policy for avviksregistrering i skyen i Microsoft Defender for Cloud Apps.

Viktig

Fra og med august 2024 er avviksstøtte for skyoppdagelse for Microsoft Defender for Cloud Apps fjernet. Som sådan er den eldre prosedyren som presenteres i denne artikkelen, bare tilgjengelig for informasjonsformål. Hvis du vil motta sikkerhetsvarsler som ligner på avviksregistrering, fullfører du trinnene i Policy for oppretting av appoppdagelse.

Opprett policy for appoppdagelse

Selv om støtte for avviksregistrering i skyen er fjernet, kan du motta lignende sikkerhetsvarsler ved å opprette en policy for appoppdagelse:

1. Utviddelen Policyer for skyapper> på menyen til venstre i Microsoft Defender Portal, og velg Policybehandling.

2. Velg Skygge IT-fanen på Policyer-siden.

3. Utvid rullegardinmenyen Opprett policy , og velg alternativet For appoppdagelsespolicy .

4. Velg alternativet Utløs en policy hvis alt følgende skjer på samme dag :

   

5. Konfigurer de tilknyttede filtrene og innstillingene, som beskrevet i Opprett en policy for avviksregistrering.

(Eldre) Opprett policy for avviksregistrering

For hver policy for avviksregistrering angir du filtre som lar deg selektivt overvåke programbruk. Filtre er tilgjengelige for programmet, valgte datavisninger og en valgt startdato. Du kan også angi følsomheten og angi hvor mange varsler policyen skal utløse.

Følg trinnene for å opprette en policy for avviksregistrering i skyen:

1. Utviddelen Policyer for skyapper> på menyen til venstre i Microsoft Defender Portal, og velg Policybehandling.

2. Velg Skygge IT-fanen på Policyer-siden.

3. Utvid rullegardinmenyen Opprett policy , og velg alternativet For avviksregistreringspolicy for Cloud Discovery :

   

   Siden Opprett policy for avviksregistrering i skyen åpnes, der du konfigurerer parametere for policyen som skal opprettes.

4. På siden Opprett policy for avviksregistrering i skyen inneholder policymalalternativet en liste over maler som du kan velge blant, som grunnlag for policyen. Som standard er alternativet satt til Ingen mal.

   Hvis du vil basere policyen på en mal, utvider du rullegardinmenyen og velger en mal:

   • Avvikende virkemåte hos oppdagede brukere: Varsler når uregelmessig virkemåte oppdages i oppdagede brukere og apper. Du kan bruke denne malen til å se etter store mengder opplastede data sammenlignet med andre brukere, eller store brukertransaksjoner sammenlignet med brukerens logg.

   • Avvikende virkemåte for oppdagede IP-adresser: Varsler når uregelmessig virkemåte oppdages i oppdagede IP-adresser og apper. Du kan bruke denne malen til å se etter store mengder opplastede data sammenlignet med andre IP-adresser, eller store apptransaksjoner sammenlignet med IP-adressens logg.

   Bildet nedenfor viser hvordan du velger en mal som skal brukes som grunnlag for den nye policyen i Microsoft Defender-portalen:

   

5. Skriv inn et policynavn og en beskrivelse for den nye policyen.

6. Opprett et filter for appene du vil overvåke, ved hjelp av alternativet Velg et filter .

   • Utvid rullegardinmenyen, og velg å filtrere alle samsvarende apper etter appkode, apper og domene, kategori, ulike risikofaktorer eller risikopoengsum.

   • Hvis du vil opprette flere filtre, velger du Legg til et filter.

   Bildet nedenfor viser hvordan du velger et filter for policyen som skal gjelde for alle samsvarende programmer i Microsoft Defender-portalen:

   

7. Konfigurer bruksfiltre for programmet i Bruk på-delen :

   1. Bruk den første rullegardinmenyen til å velge hvordan du vil overvåke rapporter om kontinuerlig bruk:

      • Alle kontinuerlige rapporter (standard): Sammenlign hver bruksøkning med det normale bruksmønsteret som lært fra alle datavisninger.

      • Spesifikke kontinuerlige rapporter: Sammenlign hver bruksøkning med det normale bruksmønsteret. Mønsteret er lært fra den samme datavisningen der økningen ble observert.

   2. Bruk den andre rullegardinmenyen til å angi overvåkede tilknytninger for hver skyprogrambruk:

      • Brukere: Ignorer tilknytningen av programbruk med IP-adresser.

      • IP-adresser: Ignorer tilknytningen av programbruk med brukere.

      • Brukere, IP-adresser (standard): Overvåk tilknytting av programbruk av brukere og IP-adresser. Dette alternativet kan produsere dupliserte varsler når det finnes en tett korrespondanse mellom brukere og IP-adresser.

   Bildet nedenfor viser hvordan du konfigurerer bruksfiltre for programmer og startdatoen for heving av bruksvarsler i Microsoft Defender-portalen:

   

8. Angi datoen for å starte heving av varsler om bruk av programmer for å heve varsler bare for mistenkelige aktiviteter som oppstår etter alternativet.

   Enhver økning i programbruken før den angitte startdatoen ignoreres. Bruksaktivitetsdata fra før startdatoen læres imidlertid å etablere det normale bruksmønsteret.

9. Konfigurer varslingsfølsomheten og varslene i Varsler-delen. Det finnes flere måter å kontrollere antall varsler som utløses av policyen:

   • Bruk glidebryteren for valg av avviksregistreringsfølsomhet til å utløse varsler for de øverste X-avviksaktivitetene per 1000 brukere per uke. Varsler utløser for aktivitetene med høyest risiko.

   • Velg alternativet Opprett et varsel for hver samsvarende hendelse med alvorsgradalternativet for policyen , og angi andre parametere for varselet:

     • Send varsel som e-post: Skriv inn e-postadressene for varselmeldinger. Maksimalt 500 meldinger kan sendes per e-postadresse per dag. Antallet tilbakestilles ved midnatt i UTC-tidssonen.

     • Daglig varslingsgrense per policy: Bruk rullegardinmenyen, og velg ønsket grense. Dette alternativet begrenser antall varsler opphøyd på én enkelt dag til den angitte verdien.

     • Send varsler til Power Automate: Velg en strategiplan for å kjøre handlinger når et varsel utløses. Du kan også åpne en ny strategiplan ved å velge Opprett en strategiplan i Power Automate.

   • Hvis du vil angi organisasjonens standardinnstillinger til å bruke verdiene for daglig varslingsgrense og e-postinnstillinger, velger du Lagre som standardinnstillinger.

   • Hvis du vil bruke organisasjonens standardinnstillinger for daglig varslingsgrense og e-postinnstillinger, velger du Gjenopprett standardinnstillinger.

   Bildet nedenfor viser hvordan du konfigurerer varsler for policyen, inkludert følsomhet, e-postvarsler og en daglig grense i Microsoft Defender-portalen:

   

10. Bekreft konfigurasjonsvalgene, og velg Opprett.

Arbeide med en eksisterende policy

Når du oppretter en policy, aktiveres den som standard. Du kan deaktivere en policy og utføre andre handlinger som Rediger og Slett.

1. Finn policyen som skal oppdateres i listen over policyer, på Policyer-siden .

2. Rull til høyre på policyraden i listen over policyer, og velg Flere alternativer (...).

3. Velg handlingen som skal utføres på policyen, på hurtigmenyen.

Neste trinn:

Utforsk anbefalte fremgangsmåter for å beskytte organisasjonen

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.