Delen via

Beleid voor Microsoft Defender for Cloud Apps activiteit maken

  • Artikel

Met activiteitenbeleid kunt u een breed scala aan geautomatiseerde processen afdwingen met behulp van de API's van de app-provider. Met deze beleidsregels kunt u specifieke activiteiten bewaken die door verschillende gebruikers worden uitgevoerd of onverwacht hoge frequenties van één bepaald type activiteit volgen.

Nadat u een beleid voor activiteitsdetectie hebt ingesteld, worden er waarschuwingen gegenereerd. Waarschuwingen worden alleen gegenereerd voor activiteiten die plaatsvinden nadat u het beleid hebt gemaakt.

Opmerking

  • Beleidsregels die meer dan 200.000 overeenkomsten per dag of 100.000 overeenkomsten per 3 uur activeren, kunnen automatisch worden uitgeschakeld. U kunt beleid verfijnen door extra filters toe te voegen of, als u beleidsregels gebruikt voor rapportagedoeleinden, kunt u overwegen om deze op te slaan als query's .
  • Het kan tot 15 minuten duren voordat een nieuw beleid is ingesteld en geïmplementeerd.

Aangepaste waarschuwingen

Met activiteitenbeleid kunnen aangepaste waarschuwingen worden verzonden of acties worden uitgevoerd wanneer gebruikersactiviteit wordt gedetecteerd. U wilt bijvoorbeeld elke keer het volgende weten:

  • Een gebruiker probeert zich aan te melden en mislukt 70 keer in één minuut
  • Een gebruiker downloadt 7000 bestanden
  • Een gebruiker is aangemeld vanuit een onbekend land/regio

U kunt instellen dat er activiteitswaarschuwingen worden verzonden naar uzelf of naar de gebruiker wanneer deze gebeurtenissen plaatsvinden. U kunt de gebruiker zelfs onderbreken totdat u klaar bent met onderzoeken wat er is gebeurd.

Volg deze procedure om een nieuw activiteitsbeleid te maken:

  1. Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Selecteer vervolgens het tabblad Bedreigingsdetecties .

  2. Klik op Beleid maken en selecteer Activiteitsbeleid.

    Maak een detectiebeleid voor bedreigingen.

  3. Geef uw beleid een naam en beschrijving. Als u wilt, kunt u dit baseren op een sjabloon. Zie Cloud-apps beheren met beleidsregels voor meer informatie over beleidssjablonen.

  4. Als u wilt instellen welke acties of andere metrische gegevens dit beleid activeren, werkt u met de activiteitsfilters.

    Om ervoor te zorgen dat u alleen resultaten opneemt waarvoor het opgegeven filterveld een waarde heeft, raden we u aan hetzelfde veld opnieuw toe te voegen met behulp van de is-ingestelde test. Als filteren op locatie bijvoorbeeld niet gelijk is aan een opgegeven lijst met landen/regio's, voegt u ook een filter toe voor Locatieis ingesteld. U kunt ook een voorbeeld van de filterresultaten bekijken door Bewerken en voorbeeld van resultaten te selecteren. Bijvoorbeeld:

    Schermopname van filterinstellingen, waarin het locatieveld is ingesteld.

    Wanneer een filter is ingesteld op niet gelijk is en het kenmerk niet voor de gebeurtenis bestaat, wordt de gebeurtenis niet uitgefilterd. Filteren op apparaattag is bijvoorbeeld niet gelijk aan Microsoft Entra hybride gekoppeld filtert geen gebeurtenissen die geen apparaattag bevatten, zelfs niet als het apparaat Microsoft Entra gekoppeld is.

    In het geval van een gastgebruiker kunnen er gevallen zijn waarin het filter Gebruiker van groep het account niet herkent op basis van het domein. Als u ervoor wilt zorgen dat alle gastgebruikers worden opgenomen, gebruikt u de externe gebruikers als de groep, als deze voldoet aan uw behoeften voor het beleid.

  5. Selecteer onder Filters maken voor het beleid wanneer een beleidsschending wordt geactiveerd. Kies ervoor om te activeren wanneer een enkele activiteit overeenkomt met de filters of alleen wanneer een opgegeven aantal herhaalde activiteiten wordt gedetecteerd.

    • Als u Herhaalde activiteit kiest, kunt u In één app instellen. Met deze instelling wordt alleen een beleidsovereenkomst geactiveerd wanneer de herhaalde activiteiten plaatsvinden in dezelfde app. Vijf downloads in 30 minuten van Box activeren bijvoorbeeld een beleidsovereenkomst.

  6. Configureer de acties die moeten worden uitgevoerd wanneer een overeenkomst wordt gevonden.

Bekijk deze voorbeelden:

  • Meerdere mislukte aanmeldingen

    U kunt beleid zo instellen dat u een waarschuwing ontvangt wanneer een groot aantal mislukte aanmeldingen binnen een korte periode optreedt. Als u dit soort beleid wilt configureren, kiest u het juiste activiteitsfilter op de pagina Beleid voor nieuwe activiteiten .

    Configureer onder het veld Activiteitsfilters de parameters waarvoor de waarschuwing wordt geactiveerd.

    Beleidsvoorbeeld voor meerdere mislukte aanmeldingspogingen.

  • Hoge downloadsnelheid

    U kunt uw beleid zo instellen dat u een waarschuwing ontvangt wanneer er een onverwacht of niet-typerend niveau van downloadactiviteit is geweest. Als u dit soort beleid wilt configureren, kiest u onder Tariefparameters de parameters om de waarschuwing te activeren.

    voorbeeld van hoge downloadsnelheid.

Naslaginformatie over activiteitenbeleid

Deze sectie bevat naslaginformatie over beleidsregels, uitleg voor elk beleidstype en de velden die voor elk beleid kunnen worden geconfigureerd.

Een activiteitsbeleid is een api-beleid waarmee u de activiteiten van uw organisatie in de cloud kunt bewaken. Het beleid houdt rekening met meer dan 20 metagegevensfilters voor bestanden, waaronder apparaattype en locatie. Op basis van de beleidsresultaten kunnen meldingen worden gegenereerd en kunnen gebruikers worden onderbroken vanuit de cloud-app. Elk beleid bestaat uit de volgende onderdelen:

  • Activiteitsfilters: hiermee kunt u gedetailleerde voorwaarden maken op basis van metagegevens.

  • Parameters voor activiteitsovereenkomst: hiermee kunt u een drempelwaarde instellen voor het aantal keren dat een activiteit wordt herhaald om te worden beschouwd als overeenkomend met het beleid. Geef het aantal herhaalde activiteiten op dat nodig is om aan het beleid te voldoen. Stel bijvoorbeeld een beleid in op een waarschuwing wanneer een gebruiker 10 mislukte aanmeldingspogingen heeft in een tijdsbestek van 2 minuten. Standaard genereren parameters voor activiteitsovereenkomst een overeenkomst voor elke afzonderlijke activiteit die voldoet aan alle activiteitsfilters.

    • Met herhaalde activiteit kunt u het aantal herhaalde activiteiten instellen, de duur van het tijdsbestek waarin de activiteiten worden geteld. U kunt ook opgeven dat alle activiteiten moeten worden uitgevoerd door dezelfde gebruiker en in dezelfde cloud-app.

  • Acties: het beleid biedt een set governanceacties die automatisch kunnen worden toegepast wanneer schendingen worden gedetecteerd.

Volgende stappen

Beleid voor gegevensbescherming

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.