建立 Microsoft Defender for Cloud Apps 活動原則
活動原則可讓您使用應用程式提供者的 API 強制執行各種自動化程式。 這些原則可讓您監視各種使用者所執行的特定活動,或遵循某一種特定活動類型的非預期高比率。
設定活動偵測原則之後,它會開始產生警示 - 警示只會在您建立原則之後發生的活動上產生。
注意事項
- 每天觸發超過 200,000 個相符專案,或每 3 小時觸發 100,000 個相符項目的原則,可能會自動停用。 您可以藉由新增其他篩選來嘗試精簡原則,或者,如果您使用原則進行報告,請考慮改為 將它們儲存為查詢 。
- 設定新原則到部署最多可能需要 15 分鐘的時間。
自訂警示
活動原則允許傳送自定義警示,或在偵測到用戶活動時採取的動作。 例如,您想要每次都知道:
- 用戶嘗試登入,並在一分鐘內失敗 70 次
- 用戶下載 7,000 個檔案
- 使用者從不熟悉的國家/地區登入
您可以將活動警示設定為在這些事件發生時傳送給您自己或使用者。 您甚至可以暫停使用者,直到您完成調查發生什麼事為止。
若要建立新的活動原則,請遵循下列程式:
在 Microsoft Defender 入口網站的 [雲端應用程式] 下,移至 [原則 ->原則管理]。 然後選取 [ 威脅偵測] 索引標籤 。
按兩下 [建立原則 ],然後選取 [ 活動原則]。
如果您想要以範本為基礎,請為原則提供名稱和描述,如需原則範本的詳細資訊,請參閱 使用原則控制雲端應用程式。
若要設定哪些動作或其他計量會觸發此原則,請使用 活動篩選條件。
若要確保您只包含指定篩選欄位具有值的結果,建議您使用is set 測試再次新增相同的欄位。 例如,當依位置篩選不等於指定的國家/地區清單時,也會設定 [位置] 的篩選條件。 您也可以選取 [ 編輯和預覽結果] 來預覽篩選結果。 例如:
當篩選設定為 不相等,且屬性不存在於事件上時,將不會篩選掉事件。例如,篩選裝置標籤不等於 Microsoft Entra 混合式聯結不會篩選出不包含裝置捲標的事件,即使裝置已 Microsoft Entra 聯結也一樣。
如果是來賓使用者,則在某些情況下, [來自群組的使用者 ] 篩選條件無法依其網域辨識帳戶。 若要確定包含所有來賓使用者,請使用 外部使用者 作為群組,如果它符合您對原則的需求。
在 [建立原則的篩選] 底下,選取何時會觸發原則違規。 選擇在 單一活動 符合篩選條件時觸發,或只在偵測到指定數目的 重複活動 時觸發。
- 如果您選擇 [重複活動],您可以在 單一應用程式中設定 。 只有在相同應用程式中發生重複的活動時,此設定才會觸發原則比對。 例如,在 30 分鐘內從 Box 下載的五次會觸發原則比對。
設定在找到相符專案時應採取的 動作 。
請參閱下列範例:
多個失敗的登入
您可以設定原則,以便在短時間內發生大量失敗登入時收到警示。 若要設定這種原則,請在 [新增活動原則] 頁面中選擇適當的 活動 篩選條件。
在 [ 活動篩選] 欄位下,設定要觸發警示的參數。
高下載率
您可以設定原則,以便在下載活動發生非預期或異常層級時收到警示。 若要設定這種原則,請在 [速率 參數] 下,選擇要觸發警示的參數。
活動原則參考
本節提供原則的參考詳細數據、每個原則類型的說明,以及可為每個原則設定的字段。
活動原則是以 API 為基礎的原則,可讓您監視組織在雲端的活動。 原則會將超過 20 個檔案元數據篩選器納入考慮,包括裝置類型和位置。 根據原則結果,可以產生通知,並從雲端應用程式暫停使用者。 每個原則都由下列部分組成:
活動篩選 – 可讓您根據元數據建立細微的條件。
活動比對參數 – 可讓您針對活動重複被視為符合原則的次數設定臨界值。 指定符合原則所需的重複活動數目。 例如,當使用者在 2 分鐘的時間範圍中嘗試登入失敗 10 次時,請將原則設定為警示。 根據預設, 活動比對參數 會針對符合所有活動篩選條件的每個單一活動引發相符專案。
- 您可以使用 [重複的活動 ] 來設定重複活動的數目,也就是計算活動的時間範圍持續時間。 您也可以指定所有活動都應該由相同的使用者和相同的雲端應用程式執行。
動作 – 原則提供一組可在偵測到違規時自動套用的治理動作。
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。