Delen via

Anomaliedetectiebeleid voor clouddetectie

  • Artikel

Met een beleid voor anomaliedetectie in de cloud kunt u continue bewaking van ongebruikelijke toenamen in het gebruik van cloudtoepassingen instellen en configureren. Voor elke cloudtoepassing wordt rekening gehouden met de toename van gedownloade gegevens, geüploade gegevens, transacties en gebruikers. Elke toename wordt vergeleken met het normale gebruikspatroon van de toepassing, zoals is geleerd van het gebruik in het verleden. De meest extreme toenamen activeren beveiligingswaarschuwingen.

In dit artikel wordt beschreven hoe u een anomaliedetectiebeleid voor clouddetectie maakt en configureert in Microsoft Defender for Cloud Apps.

Belangrijk

Vanaf augustus 2024 wordt de ondersteuning voor anomalie voor clouddetectie voor Microsoft Defender for Cloud Apps buiten gebruik gesteld. Als zodanig is de verouderde procedure in dit artikel alleen bedoeld voor informatieve doeleinden. Als u beveiligingswaarschuwingen wilt ontvangen die vergelijkbaar zijn met anomaliedetectie, voert u de stappen in App-detectiebeleid maken uit.

Beleid voor app-detectie maken

Hoewel de ondersteuning voor anomaliedetectie in de cloud buiten gebruik is gesteld, kunt u vergelijkbare beveiligingswaarschuwingen ontvangen door een app-detectiebeleid te maken:

  1. Vouw in de Microsoft Defender Portal de sectie CloudApps-beleid> in het linkermenu uit en selecteer Beleidsbeheer.

  2. Selecteer op de pagina Beleid het tabblad Schaduw-IT .

  3. Vouw de vervolgkeuzelijst Beleid maken uit en selecteer de optie App-detectiebeleid .

  4. Selecteer de optie Een beleidsovereenkomst activeren als al het volgende zich op dezelfde dag voordoet :

    Schermopname die laat zien hoe u de optie 'Een beleidsovereenkomst activeren als al het volgende op dezelfde dag plaatsvindt' selecteert voor een app-detectiebeleid.

  5. Configureer de bijbehorende filters en instellingen, zoals beschreven in Een anomaliedetectiebeleid maken.

(Verouderd) Anomaliedetectiebeleid maken

Voor elk anomaliedetectiebeleid stelt u filters in waarmee u het gebruik van toepassingen selectief kunt bewaken. Filters zijn beschikbaar voor de toepassing, geselecteerde gegevensweergaven en een geselecteerde begindatum. U kunt ook de gevoeligheid instellen en opgeven hoeveel waarschuwingen het beleid moet activeren.

Volg de stappen om een anomaliedetectiebeleid voor clouddetectie te maken:

  1. Vouw in de Microsoft Defender Portal de sectie CloudApps-beleid> in het linkermenu uit en selecteer Beleidsbeheer.

  2. Selecteer op de pagina Beleid het tabblad Schaduw-IT .

  3. Vouw de vervolgkeuzelijst Beleid maken uit en selecteer de optie Cloud Discovery-beleid voor anomaliedetectie :

    Schermopname die laat zien hoe u de optie selecteert om een nieuw beleid voor detectie van anomalie in de cloud te maken.

    De pagina Anomaliedetectiebeleid voor Cloud Discovery maken wordt geopend, waar u parameters configureert voor het beleid dat moet worden gemaakt.

  4. Op de pagina Anomaliedetectiebeleid voor Cloud Discovery maken biedt de optie Beleidssjabloon een lijst met sjablonen waaruit u kunt kiezen om te gebruiken als basis voor het beleid. De optie is standaard ingesteld op Geen sjabloon.

    Als u het beleid wilt baseren op een sjabloon, vouwt u de vervolgkeuzelijst uit en selecteert u een sjabloon:

    • Afwijkend gedrag in gedetecteerde gebruikers: waarschuwt wanneer afwijkend gedrag wordt gedetecteerd in gedetecteerde gebruikers en apps. U kunt deze sjabloon gebruiken om te controleren op grote hoeveelheden geüploade gegevens in vergelijking met andere gebruikers, of grote gebruikerstransacties in vergelijking met de geschiedenis van de gebruiker.

    • Afwijkend gedrag van gedetecteerde IP-adressen: waarschuwingen wanneer afwijkend gedrag wordt gedetecteerd in gedetecteerde IP-adressen en apps. U kunt deze sjabloon gebruiken om te controleren op grote hoeveelheden geüploade gegevens in vergelijking met andere IP-adressen of grote app-transacties in vergelijking met de geschiedenis van het IP-adres.

    In de volgende afbeelding ziet u hoe u een sjabloon selecteert om te gebruiken als basis voor het nieuwe beleid in de Microsoft Defender-portal:

    Schermopname die laat zien hoe u een sjabloon selecteert die u wilt gebruiken als basis voor het nieuwe beleid.

  5. Voer een beleidsnaam en beschrijving in voor het nieuwe beleid.

  6. Maak een filter voor de apps die u wilt bewaken met behulp van de optie Een filter selecteren .

    • Vouw de vervolgkeuzelijst uit en kies ervoor om alle overeenkomende apps te filteren op App-tag, Apps en domein, Categorie, verschillende risicofactoren of Risicoscore.

    • Als u meer filters wilt maken, selecteert u Een filter toevoegen.

    In de volgende afbeelding ziet u hoe u een filter selecteert voor het beleid dat moet worden toegepast op alle overeenkomende toepassingen in de Microsoft Defender-portal:

    Schermopname van het selecteren van een filter voor het beleid dat moet worden toegepast op alle overeenkomende toepassingen.

  7. Gebruiksfilters voor toepassingen configureren in de sectie Toepassen op :

    1. Gebruik het eerste vervolgkeuzemenu om te kiezen hoe u rapporten van continu gebruik wilt bewaken:

      • Alle doorlopende rapporten (standaard): vergelijk elke toename van het gebruik met het normale gebruikspatroon, zoals is geleerd van alle gegevensweergaven.

      • Specifieke continue rapporten: vergelijk elke toename van het gebruik met het normale gebruikspatroon. Het patroon wordt geleerd van dezelfde gegevensweergave waarin de toename is waargenomen.

    2. Gebruik het tweede vervolgkeuzemenu om bewaakte koppelingen op te geven voor elk gebruik van cloudtoepassingen:

      • Gebruikers: negeer de koppeling van toepassingsgebruik met IP-adressen.

      • IP-adressen: negeer de koppeling van toepassingsgebruik met gebruikers.

      • Gebruikers, IP-adressen (standaard): Bewaak de koppelen van het toepassingsgebruik door gebruikers en IP-adressen. Met deze optie kunnen dubbele waarschuwingen worden geproduceerd wanneer er een nauwe overeenkomst bestaat tussen gebruikers en IP-adressen.

    In de volgende afbeelding ziet u hoe u filters voor toepassingsgebruik configureert en de begindatum voor het verhogen van gebruikswaarschuwingen in de Microsoft Defender-portal:

    Schermopname van het configureren van filters voor toepassingsgebruik en de begindatum voor het verhogen van gebruikswaarschuwingen.

  8. Voor de optie Alleen waarschuwingen genereren voor verdachte activiteiten die plaatsvinden na , voert u de datum in waarop u waarschuwingen voor toepassingsgebruik gaat genereren.

    Elke toename van het gebruik van toepassingen vóór de opgegeven begindatum wordt genegeerd. Gegevens van de gebruiksactiviteit van vóór de begindatum worden echter geleerd om het normale gebruikspatroon vast te stellen.

  9. Configureer in de sectie Waarschuwingen de waarschuwingsgevoeligheid en meldingen. Er zijn verschillende manieren om het aantal waarschuwingen te beheren dat door het beleid wordt geactiveerd:

    • Gebruik de schuifregelaar Anomaliedetectiegevoeligheid selecteren om waarschuwingen te activeren voor de bovenste X afwijkende activiteiten per 1000 gebruikers per week. Waarschuwingen worden geactiveerd voor de activiteiten met het hoogste risico.

    • Selecteer de optie Een waarschuwing maken voor elke overeenkomende gebeurtenis met de ernst van het beleid en stel andere parameters in voor de waarschuwing:

      • Waarschuwing verzenden als e-mail: voer de e-mailadressen voor waarschuwingsberichten in. Er kunnen maximaal 500 berichten per e-mailadres per dag worden verzonden. De telling wordt opnieuw ingesteld om middernacht in de UTC-tijdzone.

      • Dagelijkse waarschuwingslimiet per beleid: gebruik de vervolgkeuzelijst en selecteer de gewenste limiet. Met deze optie wordt het aantal waarschuwingen op één dag beperkt tot de opgegeven waarde.

      • Waarschuwingen verzenden naar Power Automate: kies een playbook om acties uit te voeren wanneer er een waarschuwing wordt geactiveerd. U kunt ook een nieuw playbook openen door Een playbook maken te selecteren in Power Automate.

    • Als u de standaardinstellingen van uw organisatie wilt instellen voor het gebruik van uw waarden voor de dagelijkse waarschuwingslimiet en e-mailinstellingen, selecteert u Opslaan als standaardinstellingen.

    • Als u de standaardinstellingen van uw organisatie wilt gebruiken voor de dagelijkse waarschuwingslimiet en e-mailinstellingen, selecteert u Standaardinstellingen herstellen.

    In de volgende afbeelding ziet u hoe u waarschuwingen voor het beleid configureert, waaronder vertrouwelijkheid, e-mailmeldingen en een dagelijkse limiet in de Microsoft Defender-portal:

    Schermopname die laat zien hoe u waarschuwingen configureert, waaronder vertrouwelijkheid, e-mail en dagelijkse limiet.

  10. Bevestig uw configuratieopties en selecteer Maken.

Werken met een bestaand beleid

Wanneer u een beleid maakt, is dit standaard ingeschakeld. U kunt een beleid uitschakelen en andere acties uitvoeren, zoals Bewerken en Verwijderen.

  1. Zoek op de pagina Beleid het beleid dat u wilt bijwerken in de lijst met beleidsregels.

  2. Schuif in de lijst met beleidsregels naar rechts in de beleidsrij en selecteer Meer opties (...).

  3. Selecteer in het pop-upmenu de actie die u wilt uitvoeren voor het beleid.

Volgende stap

Best practices verkennen om uw organisatie te beschermen

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.