Zasady wykrywania anomalii w chmurze
Zasady wykrywania anomalii odnajdywania w chmurze umożliwiają konfigurowanie i konfigurowanie ciągłego monitorowania nietypowych wzrostów użycia aplikacji w chmurze. Wzrost liczby pobranych danych, przekazanych danych, transakcji i użytkowników jest brany pod uwagę dla każdej aplikacji w chmurze. Każdy wzrost jest porównywany z normalnym wzorcem użycia aplikacji, jak pokazano na podstawie poprzedniego użycia. Najbardziej ekstremalne wzrosty wyzwalają alerty zabezpieczeń.
W tym artykule opisano sposób tworzenia i konfigurowania zasad wykrywania anomalii odnajdywania w chmurze w Microsoft Defender for Cloud Apps.
Ważna
Od sierpnia 2024 r. obsługa anomalii odnajdywania w chmurze dla Microsoft Defender for Cloud Apps jest wycofywana. W związku z tym starsza procedura przedstawiona w tym artykule jest dostarczana tylko do celów informacyjnych. Jeśli chcesz otrzymywać alerty zabezpieczeń podobne do wykrywania anomalii, wykonaj kroki opisane w temacie Tworzenie zasad odnajdywania aplikacji.
Tworzenie zasad odnajdywania aplikacji
Mimo że obsługa wykrywania anomalii odnajdywania w chmurze została wycofana, możesz otrzymywać podobne alerty zabezpieczeń, tworząc zasady odnajdywania aplikacji:
W portalu Microsoft Defender rozwiń sekcjęZasadyusługi Cloud Apps> w menu po lewej stronie, a następnie wybierz pozycję Zarządzanie zasadami.
Na stronie Zasady wybierz kartę Shadow IT (W tle).
Rozwiń menu rozwijane Tworzenie zasad i wybierz opcję Zasady odnajdywania aplikacji .
Wybierz opcję Wyzwól dopasowanie zasad, jeśli wszystkie następujące wystąpią tego samego dnia :
Skonfiguruj skojarzone filtry i ustawienia zgodnie z opisem w temacie Tworzenie zasad wykrywania anomalii.
(Starsza wersja) Tworzenie zasad wykrywania anomalii
Dla każdej zasady wykrywania anomalii należy ustawić filtry, które umożliwiają selektywne monitorowanie użycia aplikacji. Filtry są dostępne dla aplikacji, wybranych widoków danych i wybranej daty rozpoczęcia. Możesz również ustawić czułość i określić liczbę alertów wyzwalanych przez zasady.
Wykonaj kroki tworzenia zasad wykrywania anomalii odnajdywania w chmurze:
W portalu Microsoft Defender rozwiń sekcjęZasadyusługi Cloud Apps> w menu po lewej stronie, a następnie wybierz pozycję Zarządzanie zasadami.
Na stronie Zasady wybierz kartę Shadow IT (W tle).
Rozwiń menu rozwijane Tworzenie zasad i wybierz opcję zasad wykrywania anomalii w usłudze Cloud Discovery :
Zostanie otwarta strona Create Cloud Discovery anomaly detection policy (Tworzenie zasad wykrywania anomalii w usłudze Cloud Discovery), na której skonfigurowano parametry do utworzenia zasad.
Na stronie Tworzenie zasad wykrywania anomalii usługi Cloud Discovery opcja Szablon zasad zawiera listę szablonów, które można wybrać jako podstawę zasad. Domyślnie opcja jest ustawiona na Brak szablonu.
Jeśli chcesz oprzeć zasady na szablonie, rozwiń menu rozwijane i wybierz szablon:
Nietypowe zachowanie odnalezionych użytkowników: alerty, gdy wykryto nietypowe zachowanie w odnalezionych użytkownikach i aplikacjach. Ten szablon służy do sprawdzania dużych ilości przekazanych danych w porównaniu z innymi użytkownikami lub dużych transakcji użytkowników w porównaniu z historią użytkownika.
Nietypowe zachowanie odnalezionych adresów IP: alerty, gdy wykryto nietypowe zachowanie w odnalezionych adresach IP i aplikacjach. Ten szablon służy do sprawdzania dużych ilości przekazanych danych w porównaniu do innych adresów IP lub dużych transakcji aplikacji w porównaniu z historią adresu IP.
Na poniższej ilustracji przedstawiono sposób wybierania szablonu do użycia jako podstawy nowych zasad w portalu Microsoft Defender:
Wprowadź nazwę zasad i opis nowych zasad.
Utwórz filtr dla aplikacji, które chcesz monitorować, używając opcji Wybierz filtr .
Rozwiń menu rozwijane i wybierz filtrowanie wszystkich pasujących aplikacji według tagu aplikacji, aplikacji i domeny, kategorii, różnych czynników ryzyka lub oceny ryzyka.
Aby utworzyć więcej filtrów, wybierz pozycję Dodaj filtr.
Na poniższej ilustracji przedstawiono sposób wybierania filtru zasad, który ma zostać zastosowany do wszystkich zgodnych aplikacji w portalu Microsoft Defender:
Skonfiguruj filtry użycia aplikacji w sekcji Zastosuj do :
Użyj pierwszego menu rozwijanego, aby wybrać sposób monitorowania raportów o ciągłym użyciu:
Wszystkie raporty ciągłe (domyślne): porównaj każdy wzrost użycia ze wzorcem normalnego użycia, jak pokazano na podstawie wszystkich widoków danych.
Konkretne raporty ciągłe: porównaj każdy wzrost użycia z normalnym wzorcem użycia. Wzorzec jest poznawany z tego samego widoku danych, w którym zaobserwowano wzrost.
Użyj drugiego menu rozwijanego, aby określić monitorowane skojarzenia dla każdego użycia aplikacji w chmurze:
Użytkownicy: ignoruj skojarzenie użycia aplikacji z adresami IP.
Adresy IP: ignoruj skojarzenie użycia aplikacji z użytkownikami.
Użytkownicy, adresy IP (domyślne): Monitoruj skojarzenie użycia aplikacji przez użytkowników i adresy IP. Ta opcja może generować zduplikowane alerty, gdy istnieje ścisła korespondencja między użytkownikami a adresami IP.
Na poniższej ilustracji przedstawiono sposób konfigurowania filtrów użycia aplikacji oraz datę rozpoczęcia zgłaszania alertów użycia w portalu Microsoft Defender:
W przypadku opcji Zgłoś alerty tylko dla podejrzanych działań występujących po wprowadź datę rozpoczęcia zgłaszania alertów użycia aplikacji.
Każdy wzrost użycia aplikacji przed określoną datą rozpoczęcia jest ignorowany. Jednak dane aktywności użycia sprzed daty rozpoczęcia są poznane w celu ustanowienia normalnego wzorca użycia.
W sekcji Alerty skonfiguruj czułość alertów i powiadomienia. Istnieje kilka sposobów kontrolowania liczby alertów wyzwalanych przez zasady:
Użyj suwaka Wybierz czułość wykrywania anomalii , aby wyzwolić alerty dla najpopularniejszych nietypowych działań X na 1000 użytkowników tygodniowo. Alerty wyzwalają działania o najwyższym ryzyku.
Wybierz opcję Utwórz alert dla każdego pasującego zdarzenia z opcją ważności zasad i ustaw inne parametry alertu:
Wyślij alert jako wiadomość e-mail: wprowadź adresy e-mail dla wiadomości alertów. Na adres e-mail dziennie można wysyłać maksymalnie 500 wiadomości. Liczba jest resetowana o północy w strefie czasowej UTC.
Dzienny limit alertów dla zasad: użyj menu rozwijanego i wybierz żądany limit. Ta opcja ogranicza liczbę alertów zgłaszanych w ciągu jednego dnia do określonej wartości.
Wysyłanie alertów do usługi Power Automate: wybierz podręcznik do uruchamiania akcji po wyzwoleniu alertu. Możesz również otworzyć nowy podręcznik, wybierając pozycję Utwórz podręcznik w usłudze Power Automate.
Aby ustawić ustawienia domyślne organizacji, aby używać wartości dla ustawień dziennego limitu alertów i poczty e-mail, wybierz pozycję Zapisz jako ustawienia domyślne.
Aby użyć ustawień domyślnych organizacji dla dziennego limitu alertów i ustawień poczty e-mail, wybierz pozycję Przywróć ustawienia domyślne.
Na poniższej ilustracji przedstawiono sposób konfigurowania alertów dla zasad, w tym poufności, powiadomień e-mail i dziennego limitu w portalu Microsoft Defender:
Potwierdź opcje konfiguracji i wybierz pozycję Utwórz.
Praca z istniejącymi zasadami
Podczas tworzenia zasad są domyślnie włączone. Zasady można wyłączyć i wykonywać inne akcje, takie jak Edytuj i Usuń.
Na stronie Zasady znajdź zasady do zaktualizowania na liście zasad.
Na liście zasad przewiń w prawo w wierszu zasad i wybierz pozycję Więcej opcji (...).
W menu podręcznym wybierz akcję do wykonania w zasadach.
Następny krok
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.