通过

创建Microsoft Defender for Cloud Apps活动策略

  • 项目

活动策略允许使用应用提供程序的 API 强制实施各种自动化过程。 这些策略使你能够监视各种用户执行的特定活动,或遵循特定类型活动的意外高速率。

设置活动检测策略后,它开始生成警报 - 仅在创建策略后发生的活动上生成警报。

注意

  • 每天触发超过 200,000 个匹配或每 3 小时触发 100,000 个匹配的策略可能会自动禁用。 可以尝试通过添加其他筛选器来优化策略;如果使用策略进行报告,请考虑 改为将其保存为查询
  • 从设置新策略到部署可能需要长达 15 分钟的时间。

自定义警报

活动策略允许在检测到用户活动时发送自定义警报或执行的操作。 例如,你每次都想知道:

  • 用户尝试登录并在一分钟内失败 70 次
  • 用户下载 7,000 个文件
  • 用户从不熟悉的国家/地区登录

可以将活动警报设置为在发生这些事件时发送给自己或用户。 甚至可以暂停用户,直到调查完所发生的情况。

若要创建新的活动策略,请遵循以下过程:

  1. 在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 然后选择“ 威胁检测 ”选项卡。

  2. 单击“ 创建策略 ”,然后选择“ 活动策略”。

    创建威胁检测策略。

  3. 为策略提供名称和说明,如果需要,可以基于模板,有关策略模板的详细信息,请参阅 使用策略控制云应用

  4. 若要设置将触发此策略的操作或其他指标,请使用 活动筛选器

    若要确保仅包含指定筛选器字段具有值的结果,建议再次使用 is set test 添加同一字段。 例如,当按位置筛选不等于指定的国家/地区列表时,还要为“位置设置添加筛选器。 还可以通过选择 “编辑并预览结果”来预览筛选器结果。 例如:

    筛选器设置的屏幕截图,其中显示了已设置的位置字段。

    如果筛选器设置为 不等于,并且事件上不存在该属性,则不会筛选掉该事件。例如,对设备标记进行筛选不等于Microsoft Entra混合联接不会筛选出不包含设备标记的事件,即使设备已Microsoft Entra联接也是如此。

    对于来宾用户,在某些情况下, “来自组的用户 ”筛选器无法按其域识别帐户。 若要确保包含所有来宾用户,请使用 外部用户 作为组(如果它满足策略的需求)。

  5. “创建策略筛选器”下,选择何时触发策略冲突。 选择在 单个活动 与筛选器匹配时触发,或者仅在检测到指定数量的 重复活动 时触发。

    • 如果选择 “重复活动”,则可以在 单个应用中设置。 仅当重复活动在同一应用中发生时,此设置才会触发策略匹配。 例如,在 30 分钟内从 Box 下载 5 次会触发策略匹配。

  6. 配置找到匹配项时应执行的操作。

查看这些示例:

  • 多个失败的登录

    可以设置策略,以便在短时间内发生大量登录失败时收到警报。 若要配置此类策略,请在“新建活动策略”页中选择相应的 活动 筛选器。

    在“ 活动筛选器” 字段下,配置将为其触发警报的参数。

    多次失败登录尝试的策略示例。

  • 下载速率高

    可以设置策略,以便在下载活动出现意外或非常规级别时收到警报。 若要配置此类策略,请在 “速率 参数”下选择要触发警报的参数。

    高下载率示例。

活动策略参考

本部分提供了有关策略的参考详细信息、每种策略类型的说明,以及可为每个策略配置的字段。

活动策略是基于 API 的策略,可用于监视组织在云中的活动。 该策略考虑了 20 多个文件元数据筛选器,包括设备类型和位置。 根据策略结果,可以生成通知,并且可以从云应用暂停用户。 每个策略由以下部分组成:

  • 活动筛选器 - 使你能够基于元数据创建精细条件。

  • 活动匹配参数 – 使你能够设置要被视为与策略匹配的活动重复次数的阈值。 指定与策略匹配所需的重复活动数。 例如,设置一个策略,以便在用户在 2 分钟的时间内有 10 次登录尝试失败时发出警报。 默认情况下, 活动匹配参数 为满足所有活动筛选器的每个活动引发匹配项。

    • 使用 重复活动 ,可以设置重复活动的数量,即计算活动的时间范围持续时间。 还可以指定所有活动应由同一用户在同一云应用中执行。

  • 操作 – 策略提供一组可在检测到冲突时自动应用的治理操作。

后续步骤

数据保护策略

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证