创建云发现策略
可以创建应用发现策略,以在检测到新应用时发出警报。 Defender for Cloud Apps还会在云发现中的所有日志中搜索异常。
创建应用发现策略
发现策略使你能够设置警报,以便在组织中检测到新应用时通知你。
在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 然后选择“ 影子 IT ”选项卡。
选择“ 创建策略 ”,然后选择“ 应用发现策略”。
为策略提供名称和说明。 如果需要,可以基于模板。 有关策略模板的详细信息,请参阅 使用策略控制云应用。
设置策略的 严重性 。
若要设置哪些发现的应用会触发此策略,请添加筛选器。
可以设置策略的敏感度阈值。 如果以下所有情况都在同一天发生,则启用“触发策略匹配”。 可设置应用每天必须超过才能匹配该策略的条件。 选择下列选项之一:
- 每日流量
- 已下载数据
- IP 地址数
- 交易记录数
- 用户数
- 已上传数据
在“警报”下设置每日警报限制。 选择是否以电子邮件的形式发送警报。 然后根据需要提供电子邮件地址。
- 选择“ 将警报设置保存为组织的默认值” ,使将来的策略能够使用该设置。
- 如果你有默认设置,则可以选择“ 使用组织的默认设置”。
选择要在应用与此策略匹配时应用的 治理 操作。 它可以将策略标记为 “已批准”、“ 已批准”、“ 已监视”或“自定义”标记。
选择“创建”。
注意
- 新创建的发现策略 (或具有更新连续报表的策略) 每个应用在 90 天内为每个连续报告触发一次警报,而不管同一应用是否存在现有警报。 因此,例如,如果你创建一个策略来发现新的热门应用,它可能会针对已发现并发出警报的应用触发其他警报。
- 来自快照报表的数据不会触发应用发现策略中的警报。
例如,如果有兴趣发现在云环境中发现的风险托管应用,请设置策略,如下所示:
设置策略筛选器以发现 在托管服务 类别中找到的任何服务,并且风险分数为 1,表明它们存在高风险。
设置应在底部为某个已发现应用触发警报的阈值。 例如,仅当环境中超过 100 个用户使用应用并且他们从服务下载了一定数量的数据时发出警报。 此外,还可以设置要接收的每日警报的限制。
云发现异常情况检测
Defender for Cloud Apps在云发现中的所有日志中搜索异常。 例如,当用户(以前从未使用过 Dropbox)突然向它上传 600 GB 时,或者当特定应用上的事务比平常多得多时。 默认情况下,异常情况检测策略处于启用状态。 无需配置新策略,它就可正常工作。 但是,可以微调要在默认策略中收到警报的异常类型。
在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 然后选择“ 影子 IT ”选项卡。
选择“ 创建策略 ”,然后选择“ 云发现异常情况检测策略”。
为策略提供名称和说明。 如果需要,可以基于模板,有关策略模板的详细信息,请参阅 使用策略控制云应用。
若要设置哪些发现的应用会触发此策略,请选择“ 添加筛选器”。
筛选器是从下拉列表中选择的。 若要添加筛选器,请选择“ 添加筛选器”。 若要删除筛选器,请选择“X”。
在 “应用” 下,选择此策略是应用 “所有连续报表 ”还是 “特定连续报表”。 选择策略是应用于 用户和/或 IP 地址。
选择异常活动的发生日期,以便在“仅针对日期之后发生的可疑活动引发警报”下触发警报。
在“警报”下设置每日警报限制。 选择是否以电子邮件的形式发送警报。 然后根据需要提供电子邮件地址。
- 选择“ 将警报设置保存为组织的默认值” ,使将来的策略能够使用该设置。
- 如果你有默认设置,则可以选择“ 使用组织的默认设置”。
选择“创建”。
相关视频
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。