共用方式為

雲端探索異常偵測原則

  • 發行項

雲端探索異常偵測原則可讓您設定雲端應用程式使用量異常增加的持續監視。 每個雲端應用程式都會考慮增加下載的數據、上傳的數據、交易和使用者。 每次增加都會與從過去使用量中學習的應用程式一般使用模式進行比較。 最極端的增加會觸發安全性警示。

本文說明如何在 Microsoft Defender for Cloud Apps 中建立和設定雲端探索異常偵測原則。

重要事項

從 2024 年 8 月開始,雲端探索對 Microsoft Defender for Cloud Apps 的異常支援已淘汰。 因此,本文中呈現的舊版程式僅供參考之用。 如果您想要接收類似異常偵測的安全性警示,請完成 建立應用程式探索原則中的步驟。

建立應用程式探索原則

雖然已淘汰雲端探索異常偵測的支援,但您可以建立應用程式探索原則來收到類似的安全性警示:

  1. 在 Microsoft Defender 入口網站中,展開左側功能表上的 [雲端應用程式>原則] 區段,然後選取 [原則管理]

  2. 在 [ 原則] 頁面上,選取 [ 陰影 IT] 索引卷標。

  3. 展開 [ 建立原則 ] 下拉功能表,然後選取 [應用程式探索原則 ] 選項。

  4. 選取 [ 如果同一天發生下列所有情況,請觸發原則相符 專案] 選項:

    顯示如何針對應用程式探索原則選取 [如果同一天發生下列所有情況,則觸發原則相符專案] 選項的螢幕快照。

  5. 設定相關聯的篩選和設定,如 建立異常偵測原則中所述。

(舊版) 建立異常偵測原則

針對每個異常偵測原則,您會設定可讓您選擇性地監視應用程式使用量的篩選條件。 篩選條件適用於應用程式、選取的數據檢視,以及選取的開始日期。 您也可以設定敏感度,並指定要觸發的原則警示數目。

請遵循建立雲端探索異常偵測原則的步驟:

  1. 在 Microsoft Defender 入口網站中,展開左側功能表上的 [雲端應用程式>原則] 區段,然後選取 [原則管理]

  2. 在 [ 原則] 頁面上,選取 [ 陰影 IT] 索引卷標。

  3. 展開 [ 建立原則 ] 下拉功能表,然後選取 [Cloud Discovery 異常偵測原則 ] 選項:

    顯示如何選取選項以建立新雲端探索異常偵測原則的螢幕快照。

    [ 建立 Cloud Discovery 異常偵測 原則] 頁面隨即開啟,您可以在其中設定要建立之原則的參數。

  4. 在 [ 建立 Cloud Discovery 異常偵 測原則] 頁面上,[原則 範本 ] 選項會提供一份範本清單,供您選擇作為原則的基底。 根據預設,此選項會設定為 [沒有範本]

    如果您想要將原則以範本為基礎,請展開下拉功能表並選取範本:

    • 探索到的使用者中的異常行為:在探索到的使用者和應用程式中偵測到異常行為時發出警示。 相較於其他使用者,您可以使用此範本來檢查是否有大量上傳的數據,或相較於使用者歷程記錄的大型使用者交易。

    • 探索到IP位址的異常行為:在探索到的IP位址和應用程式中偵測到異常行為時發出警示。 相較於IP位址的歷程記錄,您可以使用此範本來檢查是否有與其他IP位址比較的大量上傳數據,或大型應用程式交易。

    下圖顯示如何在 Microsoft Defender 入口網站中選取要作為新原則基底的範本:

    顯示如何選取範本做為新原則基底的螢幕快照。

  5. 輸入新原則的原則 名稱描述

  6. 使用 [選取篩選] 選項,為您想要監視的應用程式建立 篩選

    • 展開下拉功能表,並選擇依應用程式標籤應用程式和網域類別、各種風險因素風險分數來篩選所有相符的應用程式。

    • 若要建立更多篩選,請選取 [新增篩選]

    下圖顯示如何選取要套用至 Microsoft Defender 入口網站中所有相符應用程式的原則篩選:

    顯示如何選取要套用至所有相符應用程式之原則篩選的螢幕快照。

  7. 在 [套用 ] 區段中設定應用程式使用量篩選:

    1. 使用第一個下拉功能表選擇如何監視連續使用方式的報告:

      • 所有連續報 表 (預設) :將每個使用量增加與從所有數據檢視中學習到的一般使用模式進行比較。

      • 特定連續報告:比較每個使用量增加與一般使用模式。 此模式是從觀察到增加的相同數據檢視中學習。

    2. 使用第二個下拉選單來指定每個雲端應用程式使用量的受監視關聯:

      • 使用者:忽略應用程式使用量與IP位址的關聯。

      • IP 位址:忽略應用程式使用量與用戶的關聯。

      • 使用者、IP 位址 (預設) :監視使用者和IP位址的應用程式使用量關聯。 當使用者與IP位址之間有緊密的對應關係時,此選項可能會產生重複的警示。

    下圖顯示如何在 Microsoft Defender 入口網站中設定應用程式使用方式篩選器,以及引發使用量警示的開始日期:

    顯示如何設定應用程式使用量篩選器的螢幕快照,以及引發使用量警示的開始日期。

  8. 針對 [ 只針對在之後發生的可疑活動引發警示 ] 選項,輸入開始引發應用程式使用量警示的日期。

    在指定的開始日期之前,應用程式使用量的任何增加會被忽略。 不過,會從開始日期之前學習使用活動數據,以建立一般使用模式。

  9. 在 [ 警示] 區 段中,設定警示敏感度和通知。 有數種方式可控制原則所觸發的警示數目:

    • 使用 [選取異常偵測敏感度 ] 滑桿,針對每周每 1,000 位使用者的前 X 個異常活動觸發警示。 具有最高風險之活動的警示觸發程式。

    • 選取 [ 使用原則的嚴重性為每個相符事件建立警示 ] 選項,併為警示設定其他參數:

      • 以電子郵件傳送警示:輸入警示訊息的電子郵件位址。 每個電子郵件位址每天最多可以傳送 500 封郵件。 計數會在 UTC 時區午夜重設。

      • 每個原則的每日警示限制:使用下拉功能表並選取所需的限制。 此選項會將單一天引發的警示數目限制為指定的值。

      • 將警示傳送至 Power Automate:選擇劇本以在警示觸發時執行動作。 您也可以選取 [ 在 Power Automate 中建立劇本] 來開啟新的劇本。

    • 若要將組織的預設設定設定為使用每日 警示限制 和電子郵件設置的值,請選取 [ 儲存為預設設定]

    • 若要針對 [每日警示] 限制 和電子郵件設置使用組織的預設設定,請選取 [ 還原預設設定]

    下圖顯示如何設定原則的警示,包括敏感度、電子郵件通知,以及 Microsoft Defender 入口網站中的每日限制:

    顯示如何設定警示的螢幕快照,包括敏感度、電子郵件和每日限制。

  10. 確認您的設定選項,然後選取 [ 建立]

使用現有原則

當您建立原則時,預設會啟用該原則。 您可以停用原則,並執行其他動作,例如 [編輯 ] 和 [ 刪除]

  1. 在 [ 原則] 頁面上,找出要在原則清單中更新的原則。

  2. 在原則清單中,捲動至原則數據列的右側,然後選取 [ 其他選項 (...) ]。

  3. 在快顯功能表上,選取要在原則上執行的動作。

下一步

探索保護組織的最佳做法

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證