Udostępnij za pośrednictwem

Tworzenie zasad działania Microsoft Defender for Cloud Apps

  • Artykuł

Zasady działania umożliwiają wymuszanie szerokiego zakresu zautomatyzowanych procesów przy użyciu interfejsów API dostawcy aplikacji. Te zasady umożliwiają monitorowanie określonych działań wykonywanych przez różnych użytkowników lub obserwowanie nieoczekiwanie wysokich wskaźników jednego typu działań.

Po ustawieniu zasad wykrywania aktywności zaczyna on generować alerty — alerty są generowane tylko dla działań, które występują po utworzeniu zasad.

Uwaga

  • Zasady wyzwalające ponad 200 000 dopasowań dziennie lub 100 000 dopasowań na 3 godziny mogą być automatycznie wyłączone. Możesz spróbować uściślić zasady, dodając dodatkowe filtry lub, jeśli używasz zasad do celów raportowania, rozważ zapisanie ich jako zapytań .
  • Skonfigurowanie nowych zasad do wdrożenia może potrwać do 15 minut.

Alerty niestandardowe

Zasady działania umożliwiają wysyłanie alertów niestandardowych lub wykonywanie akcji po wykryciu działania użytkownika. Na przykład chcesz wiedzieć za każdym razem:

  • Użytkownik próbuje się zalogować i kończy się niepowodzeniem 70 razy w ciągu jednej minuty
  • Użytkownik pobiera 7000 plików
  • Użytkownik jest zalogowany z nieznanego kraju/regionu

Możesz ustawić alerty aktywności, które mają być wysyłane do siebie lub użytkownika, gdy wystąpią te zdarzenia. Możesz nawet zawiesić użytkownika do czasu zakończenia badania tego, co się stało.

Aby utworzyć nowe zasady działania, wykonaj następującą procedurę:

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Następnie wybierz kartę Wykrywanie zagrożeń .

  2. Kliknij pozycję Utwórz zasady i wybierz pozycję Zasady działania.

    Utwórz zasady wykrywania zagrożeń.

  3. Aby uzyskać więcej informacji na temat szablonów zasad, podaj nazwę i opis zasad. Aby uzyskać więcej informacji na temat szablonów zasad, zobacz Kontrolowanie aplikacji w chmurze za pomocą zasad.

  4. Aby ustawić, które akcje lub inne metryki będą wyzwalać te zasady, współpracuj z filtrami działania.

    Aby upewnić się, że uwzględniane są tylko wyniki, w których określone pole filtru ma wartość, zalecamy ponowne dodanie tego samego pola przy użyciu testu zestawu jest . Jeśli na przykład filtrowanie według lokalizacjinie jest równe określonej liście krajów/regionów, należy również dodać filtr dlapozycji Lokalizacja. Możesz również wyświetlić podgląd wyników filtru, wybierając pozycję Edytuj i wyświetl wyniki w wersji zapoznawczej. Przykład:

    Zrzut ekranu przedstawiający ustawienia filtru z ustawionym polem lokalizacji.

    Gdy filtr jest ustawiony na wartość nie jest równa i atrybut nie istnieje w zdarzeniu, zdarzenie nie zostanie odfiltrowane. Na przykład filtrowanie według tagu urządzenia nie jest równe Microsoft Entra sprzężenie hybrydowe nie odfiltruje zdarzeń, które nie zawierają tagu Urządzenia, nawet jeśli urządzenie jest Microsoft Entra przyłączone.

    W przypadku użytkownika-gościa mogą wystąpić przypadki, w których filtr Użytkownik z grupy nie rozpoznaje konta według swojej domeny. Aby upewnić się, że wszyscy użytkownicy-goście są uwzględniane, użyj użytkowników zewnętrznych jako grupy, jeśli spełnia ona Twoje potrzeby dotyczące zasad.

  5. W obszarze Utwórz filtry dla zasad wybierz, kiedy zostanie wyzwolone naruszenie zasad. Wybierz wyzwalanie, gdy pojedyncze działanie pasuje do filtrów lub tylko wtedy, gdy zostanie wykryta określona liczba powtórzonych działań .

    • Jeśli wybierzesz pozycję Działanie powtarzające się, możesz ustawić pozycję W jednej aplikacji. To ustawienie spowoduje wyzwolenie dopasowania zasad tylko wtedy, gdy powtarzające się działania wystąpią w tej samej aplikacji. Na przykład pięć plików do pobrania w ciągu 30 minut od urządzenia Box wyzwala dopasowanie zasad.

  6. Skonfiguruj akcje , które należy podjąć po znalezieniu dopasowania.

Zapoznaj się z następującymi przykładami:

  • Wiele nieudanych logowań

    Możesz ustawić zasady tak, aby otrzymywać alerty w przypadku wystąpienia dużej liczby nieudanych logowań w krótkim czasie. Aby skonfigurować tego rodzaju zasady, wybierz odpowiedni filtr działania na stronie Nowe zasady działania .

    Pod polem Filtry działania skonfiguruj parametry, dla których zostanie wyzwolony alert.

    Przykład zasad dla wielu nieudanych prób logowania.

  • Wysoka szybkość pobierania

    Możesz ustawić zasady tak, aby otrzymywać alerty, gdy wystąpił nieoczekiwany lub nietypowy poziom działania pobierania. Aby skonfigurować tego rodzaju zasady, w obszarze Parametry stawki wybierz parametry wyzwalające alert.

    przykład wysokiego współczynnika pobierania.

Dokumentacja zasad działania

W tej sekcji znajdują się szczegółowe informacje o zasadach, objaśnieniach dla każdego typu zasad oraz polach, które można skonfigurować dla poszczególnych zasad.

Zasady działania to zasady oparte na interfejsie API, które umożliwiają monitorowanie działań organizacji w chmurze. Zasady uwzględniają ponad 20 filtrów metadanych plików, w tym typ urządzenia i lokalizację. Na podstawie wyników zasad można generować powiadomienia, a użytkownicy mogą zostać zawieszeni w aplikacji w chmurze. Każda zasada składa się z następujących części:

  • Filtry aktywności — umożliwiają tworzenie szczegółowych warunków na podstawie metadanych.

  • Parametrydopasowaniaia dla działania — umożliwia ustawienie progu dla liczby powtórzeń działania, które mają być uznane za zgodne z zasadami. Określ liczbę powtarzających się działań wymaganych do dopasowania do zasad. Na przykład ustaw zasady na alert, gdy użytkownik ma 10 nieudanych prób logowania w 2-minutowym okresie. Domyślnie parametry dopasowania działania podnoszą dopasowanie dla każdego pojedynczego działania, które spełnia wszystkie filtry działań.

    • Za pomocą działania powtarzanego można ustawić liczbę powtarzających się działań, czas trwania przedziału czasowego, w którym są liczone działania. Można również określić, że wszystkie działania powinny być wykonywane przez tego samego użytkownika i w tej samej aplikacji w chmurze.

  • Akcje — zasady udostępniają zestaw akcji ładu, które mogą być automatycznie stosowane po wykryciu naruszeń.

Następne kroki

Zasady ochrony danych

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.