Поделиться через

Политика обнаружения аномалий в облаке

  • Статья

Политика обнаружения аномалий облачного обнаружения позволяет настроить и настроить непрерывный мониторинг необычного увеличения использования облачных приложений. Увеличение скачанных данных, отправленных данных, транзакций и пользователей учитывается для каждого облачного приложения. Каждое увеличение сравнивается с обычной моделью использования приложения, как было показано в прошлом использовании. Самые экстремальные увеличения вызывают оповещения системы безопасности.

В этой статье описывается создание и настройка политики обнаружения аномалий облачного обнаружения в Microsoft Defender for Cloud Apps.

Важно!

С августа 2024 г. поддержка аномалий облачного обнаружения для Microsoft Defender for Cloud Apps прекращается. Таким образом, устаревшая процедура, представленная в этой статье, предоставляется только в информационных целях. Если вы хотите получать оповещения системы безопасности, аналогичные обнаружению аномалий, выполните действия, описанные в разделе Создание политики обнаружения приложений.

Создание политики обнаружения приложений

Хотя поддержка обнаружения аномалий в облаке прекращена, вы можете получать аналогичные оповещения системы безопасности, создав политику обнаружения приложений:

  1. На портале Microsoft Defender разверните разделПолитикиоблачных приложений> в меню слева и выберите Управление политиками.

  2. На странице Политики выберите вкладку Теневой ИТ .

  3. Разверните раскрывающееся меню Создать политику и выберите параметр Политика обнаружения приложений .

  4. Выберите параметр Активировать совпадение политики, если все перечисленные ниже действия выполняются в один день :

    Снимок экрана, на котором показано, как выбрать параметр

  5. Настройте связанные фильтры и параметры, как описано в разделе Создание политики обнаружения аномалий.

(Устаревшая версия) Создание политики обнаружения аномалий

Для каждой политики обнаружения аномалий задаются фильтры, позволяющие выборочно отслеживать использование приложений. Фильтры доступны для приложения, выбранных представлений данных и выбранной даты начала. Вы также можете задать конфиденциальность и указать количество оповещений для активации политики.

Выполните действия, чтобы создать политику обнаружения аномалий в облаке.

  1. На портале Microsoft Defender разверните разделПолитикиоблачных приложений> в меню слева и выберите Управление политиками.

  2. На странице Политики выберите вкладку Теневой ИТ .

  3. Разверните раскрывающееся меню Создать политику и выберите параметр Политика обнаружения аномалий Cloud Discovery :

    Снимок экрана, на котором показано, как выбрать параметр для создания новой политики обнаружения аномалий облачного обнаружения.

    Откроется страница Создание политики обнаружения аномалий Cloud Discovery , где можно настроить параметры для создаваемой политики.

  4. На странице Создание политики обнаружения аномалий Cloud Discovery параметр Шаблон политики содержит список шаблонов, которые можно выбрать для использования в качестве основы для политики. По умолчанию для параметра задано значение Нет шаблона.

    Если вы хотите создать политику на основе шаблона, разверните раскрывающееся меню и выберите шаблон:

    • Аномальное поведение в обнаруженных пользователях. Оповещения при обнаружении аномального поведения в обнаруженных пользователях и приложениях. Этот шаблон можно использовать для проверка больших объемов отправленных данных по сравнению с другими пользователями или больших транзакций пользователей по сравнению с журналом пользователя.

    • Аномальное поведение обнаруженных IP-адресов. Оповещения при обнаружении аномального поведения в обнаруженных IP-адресах и приложениях. Этот шаблон можно использовать для проверка больших объемов отправленных данных по сравнению с другими IP-адресами или больших транзакций приложений по сравнению с журналом IP-адресов.

    На следующем рисунке показано, как выбрать шаблон для использования в качестве основы для новой политики на портале Microsoft Defender:

    Снимок экрана: выбор шаблона для использования в качестве основы для новой политики.

  5. Введите имя политики и описание для новой политики.

  6. Создайте фильтр для приложений, которые вы хотите отслеживать, с помощью параметра Выбрать фильтр .

    • Разверните раскрывающееся меню и выберите фильтровать все соответствующие приложения по тегу приложения, приложениям и домену, категории, различным факторам риска или оценке риска.

    • Чтобы создать дополнительные фильтры, выберите Добавить фильтр.

    На следующем рисунке показано, как выбрать фильтр для политики, который будет применяться ко всем соответствующим приложениям на портале Microsoft Defender.

    Снимок экрана, на котором показано, как выбрать фильтр для политики, который будет применяться ко всем соответствующим приложениям.

  7. Настройка фильтров использования приложений в разделе Применить к :

    1. Используйте первое раскрывающееся меню, чтобы выбрать способ мониторинга отчетов о непрерывном использовании:

      • Все непрерывные отчеты (по умолчанию). Сравните каждое увеличение использования с обычным шаблоном использования, как это было показано во всех представлениях данных.

      • Конкретные непрерывные отчеты. Сравните каждое увеличение использования с обычным шаблоном использования. Шаблон извлекается из того же представления данных, в котором наблюдалось увеличение.

    2. Используйте второе раскрывающееся меню, чтобы указать отслеживаемые связи для каждого использования облачных приложений:

      • Пользователи. Игнорируйте связь использования приложений с IP-адресами.

      • IP-адреса. Игнорируйте связь использования приложения с пользователями.

      • Пользователи, IP-адреса (по умолчанию). Отслеживайте связь использования приложений пользователями и IP-адресами. Этот параметр может создавать повторяющиеся оповещения при наличии тесного соответствия между пользователями и IP-адресами.

    На следующем рисунке показано, как настроить фильтры использования приложений и дату начала для создания оповещений об использовании на портале Microsoft Defender.

    Снимок экрана, на котором показано, как настроить фильтры использования приложений и дату начала для создания оповещений об использовании.

  8. Для параметра Создавать оповещения только для подозрительных действий, выполняемых после , введите дату начала создания оповещений об использовании приложений.

    Любое увеличение использования приложений до указанной даты начала игнорируется. Однако данные об активности использования, начиная с даты начала, учатся устанавливать обычный шаблон использования.

  9. В разделе Оповещения настройте конфиденциальность оповещений и уведомления. Существует несколько способов управления количеством оповещений, активированных политикой:

    • Используйте ползунок Выбор чувствительности к обнаружению аномалий , чтобы активировать оповещения о наиболее аномальных действиях X на 1000 пользователей в неделю. Триггер оповещений для действий с наибольшим риском.

    • Выберите создать оповещение для каждого соответствующего события с параметром серьезности политики и задайте другие параметры для оповещения:

      • Отправить оповещение по электронной почте: введите адреса электронной почты для оповещений. На каждый адрес электронной почты в день можно отправлять не более 500 сообщений. Счетчик сбрасывается в полночь в часовом поясе UTC.

      • Ежедневное ограничение оповещений на политику. В раскрывающемся меню выберите нужное ограничение. Этот параметр ограничивает число оповещений, которые выдается за один день, указанным значением.

      • Отправка оповещений в Power Automate. Выберите сборник схем для выполнения действий при срабатывании оповещения. Вы также можете открыть новый сборник схем, выбрав Создать сборник схем в Power Automate.

    • Чтобы задать параметры организации по умолчанию, чтобы использовать значения для параметров ежедневного количества оповещений и электронной почты, выберите Сохранить как параметры по умолчанию.

    • Чтобы использовать параметры организации по умолчанию для параметров ежедневного количества оповещений и электронной почты, выберите Восстановить параметры по умолчанию.

    На следующем рисунке показано, как настроить оповещения для политики, включая конфиденциальность, Уведомления по электронной почте и ежедневное ограничение на портале Microsoft Defender.

    Снимок экрана: настройка оповещений, включая конфиденциальность, электронную почту и ежедневное ограничение.

  10. Подтвердите выбор конфигурации и нажмите кнопку Создать.

Работа с существующей политикой

При создании политики она включена по умолчанию. Вы можете отключить политику и выполнить другие действия, такие как изменение и удаление.

  1. На странице Политики найдите политику для обновления в списке политик.

  2. В списке политик прокрутите строку политики вправо и выберите Дополнительные параметры (...).

  3. Во всплывающем меню выберите действие, выполняемое с политикой.

Следующее действие

Ознакомьтесь с рекомендациями по защите организации

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.