Поделиться через

Создание политик обнаружения в облаке

  • Статья

Вы можете создавать политики обнаружения приложений, чтобы оповещать вас об обнаружении новых приложений. Defender for Cloud Apps также выполняет поиск аномалий во всех журналах в облачном обнаружении.

Создание политики обнаружения приложений

Политики обнаружения позволяют настраивать оповещения, которые уведомляют вас об обнаружении новых приложений в организации.

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Затем перейдите на вкладку Теневой ИТ .

  2. Выберите Создать политику , а затем — Политика обнаружения приложений.

    Создайте политику обнаружения облака.

  3. Присвойте политике имя и описание. При необходимости его можно создать на основе шаблона. Дополнительные сведения о шаблонах политик см. в разделе Управление облачными приложениями с помощью политик.

  4. Задайте серьезность политики.

  5. Чтобы указать, какие обнаруженные приложения активируют эту политику, добавьте фильтры.

  6. Можно задать пороговое значение для конфиденциальности политики. Включить активацию сопоставления политики, если все указанные ниже действия выполняются в один день. Вы можете установить условия, которые приложение должно превышать ежедневно для соответствия политике. Выберите одно из следующих условий.

    • Ежедневный трафик
    • Загруженные данные
    • Число IP-адресов
    • Число транзакций
    • Число пользователей
    • Отправленные данные

  7. Задайте ограничение на ежедневное количествооповещений в разделе Оповещения. Выберите, отправляется ли оповещение по электронной почте. Затем при необходимости укажите адреса электронной почты.

    • Если выбрать сохранить параметры оповещений в качестве значения по умолчанию для вашей организации , политики в будущем будут использовать этот параметр.
    • Если у вас есть параметр по умолчанию, можно выбрать Использовать параметры организации по умолчанию.

  8. Выберите Действия управления , чтобы применить, когда приложение соответствует этой политике. Он может помечать политики как санкционированные, несанкционированные, отслеживаемые или настраиваемые.

  9. Нажмите Создать.

Примечание.

  • Вновь созданные политики обнаружения (или политики с обновленными непрерывными отчетами) активируют оповещение один раз в 90 дней для каждого приложения на непрерывный отчет независимо от того, существуют ли оповещения для одного и того же приложения. Например, если вы создаете политику для обнаружения новых популярных приложений, она может активировать дополнительные оповещения для приложений, которые уже были обнаружены и оповещены.
  • Данные из snapshot отчетов не активируют оповещения в политиках обнаружения приложений.

Например, если вы заинтересованы в обнаружении опасного размещения приложений, обнаруженных в облачной среде, настройте политику следующим образом:

Задайте фильтры политики, чтобы обнаружить все службы, найденные в категории служб размещения , и с оценкой риска 1, указывая, что они очень рискованны.

Задайте пороговые значения, которые должны активировать оповещение для определенного обнаруженного приложения в нижней части экрана. Например, оповещайте, только если приложение использовали более 100 пользователей в среде и скачали определенный объем данных из службы. Кроме того, можно задать ограничение на количество ежедневных оповещений, которые вы хотите получать.

Пример политики обнаружения приложений.

Обнаружение аномалий обнаружения в облаке

Defender for Cloud Apps выполняет поиск аномалий во всех журналах в облачном обнаружении. Например, когда пользователь, который никогда ранее не использовал Dropbox, внезапно загружает в него 600 ГБ или когда в определенном приложении выполняется гораздо больше транзакций, чем обычно. Политика обнаружения аномалий включена по умолчанию. Нет необходимости настраивать новую политику, чтобы она работала. Однако вы можете точно настроить типы аномалий, о которых вы хотите получать оповещения в политике по умолчанию.

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Затем перейдите на вкладку Теневой ИТ .

  2. Выберите Создать политику и выберите Политика обнаружения аномалий Cloud Discovery.

    меню политики обнаружения аномалий облачного обнаружения.

  3. Присвойте политике имя и описание. При необходимости его можно создать на основе шаблона. Дополнительные сведения о шаблонах политик см. в статье Управление облачными приложениями с помощью политик.

  4. Чтобы указать, какие обнаруженные приложения активируют эту политику, выберите Добавить фильтры.

    Фильтры выбираются из раскрывающихся списков. Чтобы добавить фильтры, выберите Добавить фильтр. Чтобы удалить фильтр, выберите "X".

  5. В разделе Применить выберите , применяет ли эта политика все непрерывные отчеты или Конкретные непрерывные отчеты. Выберите, применяется ли политика к пользователям, IP-адресам или к обоим.

  6. Выберите даты, в течение которых произошло аномальное действие, чтобы активировать оповещение в разделе Создание оповещений только для подозрительных действий, выполняемых после даты.

  7. Задайте ограничение на ежедневное количествооповещений в разделе Оповещения. Выберите, отправляется ли оповещение по электронной почте. Затем при необходимости укажите адреса электронной почты.

    • Если выбрать сохранить параметры оповещений в качестве значения по умолчанию для вашей организации , политики в будущем будут использовать этот параметр.
    • Если у вас есть параметр по умолчанию, можно выбрать Использовать параметры организации по умолчанию.

  8. Нажмите Создать.

    новая политика аномалий обнаружения.

Вебинар по обнаружению приложений и настройке сборщика журналов

Дальнейшие действия

Политики действий пользователей

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.