Поделиться через

Создание политик действий Microsoft Defender for Cloud Apps

  • Статья

Политики действий позволяют применять широкий спектр автоматизированных процессов с помощью API поставщика приложений. Эти политики позволяют отслеживать определенные действия, выполняемые различными пользователями, или следовать неожиданно высоким показателям одного определенного типа действий.

После настройки политики обнаружения действий она начинает создавать оповещения — оповещения создаются только о действиях, которые происходят после создания политики.

Примечание.

  • Политики, которые активируют более 200 000 совпадений в день или 100 000 совпадений за 3 часа, могут быть отключены автоматически. Вы можете попробовать уточнить политики, добавив дополнительные фильтры, или, если вы используете политики для создания отчетов, рассмотрите возможность их сохранения в качестве запросов .
  • Настройка новой политики для развертывания может занять до 15 минут.

Пользовательские оповещения

Политики действий разрешают отправку пользовательских оповещений или действий, выполняемых при обнаружении действий пользователя. Например, вы хотите знать каждый раз:

  • Пользователь пытается войти и 70 раз в минуту завершается ошибкой.
  • Пользователь скачивает 7000 файлов
  • Пользователь вошел в систему из незнакомой страны или региона

Вы можете настроить отправку оповещений о действиях себе или пользователю при возникновении этих событий. Вы даже можете приостановить пользователя, пока не завершите расследование того, что произошло.

Чтобы создать новую политику действий, выполните следующую процедуру:

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Затем перейдите на вкладку Обнаружение угроз .

  2. Щелкните Создать политику и выберите Политика действий.

    Создайте политику обнаружения угроз.

  3. Присвойте политике имя и описание, если вы хотите, чтобы она была на основе шаблона. Дополнительные сведения о шаблонах политик см. в статье Управление облачными приложениями с помощью политик.

  4. Чтобы указать, какие действия или другие метрики будут активировать эту политику, обратитесь к фильтрам действий.

    Чтобы убедиться, что результаты включаются только в том случае, если указанное поле фильтра имеет значение, рекомендуется снова добавить то же поле с помощью теста is set . Например, если фильтрация по расположениюне равна указанному списку стран или регионов, также добавляется фильтр для параметра Расположение. Вы также можете просмотреть результаты фильтра, выбрав Изменить и просмотреть результаты. Например:

    Снимок экрана: параметры фильтра с заданным полем расположения.

    Если для фильтра задано значение не равно и атрибут не существует в событии, событие не будет отфильтровывать. Например, фильтрация по тегу устройства не равно Microsoft Entra гибридное присоединение не отфильтровывает события, которые не содержат тег устройства, даже если устройство Microsoft Entra присоединено.

    В случае гостевого пользователя могут возникать случаи, когда фильтр "Пользователь из группы " не распознает учетную запись по домену. Чтобы убедиться, что все гостевые пользователи включены, используйте внешние пользователи в качестве группы, если она соответствует вашим потребностям для политики.

  5. В разделе Создание фильтров для политики выберите, когда будет активировано нарушение политики. Выберите триггер, когда одно действие соответствует фильтрам или только при обнаружении указанного количества повторяемых действий .

    • Если выбран параметр Повторяющиеся действия, можно задать параметр В одном приложении. Этот параметр активирует сопоставление политики только в том случае, если повторяющиеся действия выполняются в одном приложении. Например, пять загрузок за 30 минут из Box активируют совпадение политики.

  6. Настройте действия , которые должны выполняться при обнаружении совпадения.

Рассмотрим следующие примеры:

  • Несколько неудачных имен входа

    Вы можете настроить политику так, чтобы получать оповещение при большом количестве неудачных попыток входа в систему в течение короткого периода времени. Чтобы настроить политику этого типа, выберите соответствующий фильтр действий на странице Новая политика действий .

    Под полем Фильтры действий настройте параметры, для которых будет активировано оповещение.

    Пример политики для нескольких неудачных попыток входа.

  • Высокий уровень загрузки

    Вы можете настроить политику так, чтобы получать оповещение, если произошел непредвиденный или нехарактерный уровень активности скачивания. Чтобы настроить политику такого типа, в разделе Параметры скорости выберите параметры, которые будут активировать оповещение.

    Пример высокой частоты загрузки.

Справочник по политике действий

В этом разделе содержатся справочные сведения о политиках, объяснениях для каждого типа политики и полях, которые можно настроить для каждой политики.

Политика действий — это политика на основе API, которая позволяет отслеживать действия организации в облаке. Политика учитывает более 20 фильтров метаданных файлов, включая тип и расположение устройства. На основе результатов политики можно создавать уведомления, а пользователи могут быть приостановлены в облачном приложении. Каждая политика состоит из следующих частей:

  • Фильтры действий позволяют создавать детализированные условия на основе метаданных.

  • Параметры соответствия действия— позволяет задать пороговое значение для количества повторений действия, которое будет считаться соответствующим политике. Укажите количество повторяемых действий, необходимых для соответствия политике. Например, настройте политику для оповещения, если пользователь имеет 10 неудачных попыток входа за 2 минуты. По умолчанию параметры соответствия действия вызывают совпадение для каждого действия, соответствующего всем фильтрам действий.

    • С помощью повторяющегося действия можно задать количество повторяющихся действий, длительность периода, в течение которого учитываются действия. Можно также указать, что все действия должны выполняться тем же пользователем и в одном облачном приложении.

  • Действия — политика предоставляет набор действий управления, которые можно автоматически применять при обнаружении нарушений.

Дальнейшие действия

Политики защиты данных

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.