建立雲端探索原則
您可以建立應用程式探索原則,以在偵測到新的應用程式時向您發出警示。 Defender for Cloud Apps 也會搜尋雲端探索中的所有記錄檔是否有異常。
建立應用程式探索原則
探索原則可讓您設定警示,以在組織內偵測到新的應用程式時通知您。
在 Microsoft Defender 入口網站的 [雲端應用程式] 下,移至 [原則 ->原則管理]。 然後選取 [ 陰影 IT] 索引 標籤。
選 取 [建立原則 ],然後選取 [應用程式探索原則]。
為您的原則提供名稱和描述。 如有需要,您可以將它以範本為基礎。 有關原則範本的詳細資訊,請參閱<使用原則控制雲端應用程式>。
設定原則 的嚴重性 。
若要設定哪些探索到的應用程式觸發此原則,請新增篩選條件。
您可以設定原則的敏感度閾值。 如果在同一天發生下列所有情況,請啟用 [觸發原則比對]。 您可以設定應用程式每日必須超過的準則,來與原則比對。 選取下列其中一個準則:
- 每日流量
- 下載的資料
- IP 位址數目
- 交易數目
- 使用者數目
- 已上傳的資料
在 [警示] 下設定[每日警示] 限制。 選取警示是否以電子郵件傳送。 然後視需要提供電子郵件位址。
- 選取 [儲存警示設定] 作為組織的預設 值,可讓未來的原則使用此設定。
- 如果您有預設設定,您可以選取 [ 使用組織的預設設定]。
選取要在應用程式符合此原則時套用的 治理 動作。 它可以將原則標記為獲 批准、 不批准、 受監視或自定義標籤。
選取 [建立]。
注意事項
- 新建立的探索原則 (或具有更新連續報告的原則) 在每個連續報告的每個應用程式 90 天內觸發警示一次,不論同一個應用程式是否有現有的警示。 因此,例如,如果您建立用來探索新熱門應用程式的原則,可能會針對已探索到併發出警示的應用程式觸發其他警示。
- 來自 快照集報告的數據 不會在應用程式探索原則中觸發警示。
例如,如果您想要探索在雲端環境中找到有風險的裝載應用程式,請設定您的原則,如下所示:
設定原則篩選,以探索在 裝載服務 類別中找到的任何服務,且風險分數為 1,表示它們具有高風險。
設定應在底部觸發特定探索應用程式警示的閾值。 例如,只有在環境中有超過 100 位使用者使用應用程式,而且從服務下載特定數量的數據時,才會發出警示。 此外,您可以設定想要接收的每日警示限制。
雲端探索異常偵測
Defender for Cloud Apps 搜尋雲端探索中的所有記錄檔是否有異常。 例如,當從未使用過Dropbox的使用者突然上傳600 GB時,或特定應用程式上的交易數目比平常多很多時。 根據預設,會啟用異常偵測原則。 不需要設定新的原則,它就可以運作。 不過,您可以微調您想要在默認原則中收到警示的異常類型。
在 Microsoft Defender 入口網站的 [雲端應用程式] 下,移至 [原則 ->原則管理]。 然後選取 [ 陰影 IT] 索引 標籤。
選 取 [建立原則 ],然後選取 [Cloud Discovery 異常偵測原則]。
為您的原則提供名稱和描述。 如有需要,您可以以範本為基礎,如需原則範本的詳細資訊,請參閱 使用原則控制雲端應用程式。
若要設定哪些探索到的應用程式觸發此原則,請選取 [新增篩選]。
篩選會從下拉式清單中選擇。 若要新增篩選,請選取 [新增篩選]。 若要移除篩選,請選取 『X』。
在 [ 套用] 底 下,選擇此原則是套用 [所有連續報告 ] 還是 [特定連續報告]。 選取原則是否適用於 使用者、 IP 位址或兩者。
選取異常活動發生的日期,以在 [僅針對日期之後發生的可疑活動引發警示] 下觸發警示。
在 [警示] 下設定[每日警示] 限制。 選取警示是否以電子郵件傳送。 然後視需要提供電子郵件位址。
- 選取 [儲存警示設定] 作為組織的預設 值,可讓未來的原則使用此設定。
- 如果您有預設設定,您可以選取 [ 使用組織的預設設定]。
選取 [建立]。
Related videos
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。