Cloud Discovery 异常情况检测策略

使用 Cloud Discovery 异常情况检测策略,可以设置和配置对云应用程序使用情况异常增加的持续监视。 针对每个云应用程序,需考虑下载数据量、上传数据量、事务数和用户数的增加。 每一项增加都会与根据过往使用情况得出的应用程序正常使用模式进行比较。 最极端的增加会触发安全警报。

本文介绍如何在 Microsoft Defender for Cloud Apps 中创建和配置 Cloud Discovery 异常情况检测策略。

重要

从 2024 年 8 月开始,对 Microsoft Defender for Cloud Apps 的 Cloud Discovery 异常支持已停用。 因此,本文中介绍的旧过程仅供参考。 如果要接收类似于异常情况检测的安全警报,请完成创建应用发现策略中的步骤。

创建应用发现策略

尽管对 Cloud Discovery 异常情况检测的支持已停用,但可以通过创建应用发现策略来接收类似的安全警报:

  1. 在 Microsoft Defender 门户中,展开左侧菜单上的云应用>策略部分,然后选择策略管理

  2. 策略页上,选择影子 IT 选项卡。

  3. 展开创建策略下拉菜单,然后选择应用发现策略选项。

  4. 选择在同一天中发生下述所有情况时触发策略选项:

    显示如何为应用发现策略选择“在同一天中发生下述所有情况时触发策略”选项的屏幕截图。

  5. 参考创建异常情况检测策略,配置关联的筛选器和设置。

(旧式)创建异常情况检测策略

对于每个异常情况检测策略,可设置筛选器,使你可以选择性地监视应用程序使用情况。 筛选器可用于应用程序、所选的数据视图和所选的开始日期。 还可以设置敏感度,并指定策略要触发的警报数量。

按照以下步骤创建 Cloud Discovery 异常情况检测策略:

  1. 在 Microsoft Defender 门户中,展开左侧菜单上的云应用>策略部分,然后选择策略管理

  2. 策略页上,选择影子 IT 选项卡。

  3. 展开创建策略下拉菜单,然后选择 Cloud Discovery 异常情况检测策略选项:

    显示如何选择创建新的 Cloud Discovery 异常情况检测策略的选项的屏幕截图。

    此时会打开创建 Cloud Discovery 异常情况检测策略页,可在其中配置要创建的策略的参数。

  4. 创建 Cloud Discovery 异常情况检测策略页上,策略模板选项提供了一个模板列表,你可以从中选择这些模板作为策略的基础。 默认情况下,此选项设置为无模板

    如果要将策略基于模板,请展开下拉菜单并选择一个模板:

    • 在发现的用户中检测到的异常行为:在发现的用户和应用中检测到异常行为时发出警报。 可以使用此模板检查与其他用户相比上传的大量数据,或与用户历史记录相比的大量用户交易。

    • 在发现的 IP 地址中检测到的异常行为:在发现的 IP 地址和应用中检测到异常行为时发出警报。 可以使用此模板检查与其他 IP 地址相比的大量上传数据,或与 IP 地址的历史记录相比的大量应用事务。

    下图显示了如何选择模板作为 Microsoft Defender 门户中新策略的基础:

    显示如何选择用作新策略基础的模板的屏幕截图。

  5. 为新策略输入策略名称说明

  6. 使用选择筛选器选项,为你要监视的应用创建筛选器。

    • 展开下拉菜单,然后选择按应用标记应用和域类别、各种风险因素风险分数筛选所有匹配的应用。

    • 若要创建更多筛选器,请选择添加筛选器

    下图显示了如何为应用于 Microsoft Defender 门户中所有匹配应用程序的策略选择筛选器:

    显示如何为应用于所有匹配应用程序的策略选择筛选器的屏幕截图。

  7. 应用于部分中配置应用程序使用情况筛选器:

    1. 使用第一个下拉菜单选择如何监视持续使用情况的报表:

      • 所有连续报表(默认):将每一项使用量增加与根据所有数据视图得出的正常使用模式进行比较。

      • 特定连续报表:将每一项使用量的增加与正常使用模式进行比较。 该模式是从观察到增加的同一个数据视图中学到的。

    2. 使用第二个下拉菜单为每个云应用程序使用情况指定受监视的关联:

      • 用户:忽略应用使用情况与 IP 地址的关联。

      • IP 地址:忽略应用使用情况与用户的关联。

      • 用户 IP 地址(默认值):监视用户和 IP 地址的应用程序使用情况关联。 当用户与 IP 地址之间存在紧密的对应关系时,此选项可能会生成重复的警报。

    下图显示了如何在 Microsoft Defender 门户中配置应用程序使用情况筛选器和引发使用情况警报的开始日期:

    显示如何配置应用程序使用情况筛选器和用于引发使用情况警报的开始日期的屏幕截图。

  8. 对于仅对以下日期之后发生的可疑活动触发警报选项,请输入开始引发应用程序使用情况警报的日期。

    在指定开始日期之前应用程序使用情况的任何增加都将被忽略。 然而,需要了解开始日期之前的使用情况活动数据,以建立正常的使用模式。

  9. 警报部分中,配置警报敏感度和通知。 有几种控制策略触发的警报数的方法:

    • 使用选择异常情况检测敏感度滑块,每周对每 1,000 个用户的前 X 异常活动触发警报。 触发警报所针对的活动不会超过风险上限。

    • 选择为每个具有策略严重性的匹配事件创建警报选项,为警报设置其他参数:

      • 通过电子邮件发送警报:输入警报邮件的电子邮件地址。 每个电子邮件地址每天最多可以发送 500 封邮件。 计数在 UTC 时区午夜重置。

      • 每个策略的每日警报限制:使用下拉菜单并选择所需的限制。 此选项将一天内发出的警报数量限制为指定值。

      • 将警报发送到 Power Automate:选择 playbook,以在警报触发时运行操作。 还可以选择在 Power Automate 中创建 playbook 来打开新的 playbook。

    • 要将组织的默认设置设置为将你的值用于每日警报限制和电子邮件设置,请选择另存为默认设置

    • 要将组织的默认设置用于每日警报限制和电子邮件设置,请选择还原默认设置

    下图显示了如何为策略配置警报,包括敏感度、电子邮件通知和 Microsoft Defender 门户中的每日限制:

    显示如何配置警报的屏幕截图,包括敏感度、电子邮件和每日限制。

  10. 确认配置选项,然后选择创建

使用现有策略

创建策略时,默认情况下会启用它。 可以禁用策略并执行其他操作,例如编辑删除

  1. 策略页上,找到策略列表中要更新的策略。

  2. 在策略列表中,向右滚动策略行,然后选择更多选项(...)。

  3. 在弹出菜单上,选择要对策略执行的操作。

下一步

如果遇到任何问题,我们可随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证