Sdílet prostřednictvím

Zásady detekce anomálií Cloud Discovery

  • Článek

Zásady detekce anomálií cloud discovery umožňují nastavit a nakonfigurovat průběžné monitorování neobvyklých nárůstů využití cloudových aplikací. Nárůst stažených dat, nahraných dat, transakcí a uživatelů se pro každou cloudovou aplikaci zvažuje. Každý nárůst se porovnává se vzorem normálního využití aplikace vytvořeným na základě předchozího využívání. Extrémní nárůst aktivuje upozornění zabezpečení.

Tento článek popisuje, jak vytvořit a nakonfigurovat zásady detekce anomálií Cloud Discovery v programu Microsoft Defender for Cloud Apps.

Důležité

Od srpna 2024 se podpora anomálií cloudových zjišťování pro Microsoft Defender for Cloud Apps vyřadí z provozu. Starší verze postupu uvedená v tomto článku je k dispozici pouze pro informační účely. Pokud chcete dostávat výstrahy zabezpečení podobné detekci anomálií, proveďte kroky v tématu Vytvoření zásad zjišťování aplikací.

Vytvoření zásad zjišťování aplikací

I když je podpora detekce anomálií cloud discovery vyřazená, můžete dostávat podobné výstrahy zabezpečení vytvořením zásad zjišťování aplikací:

  1. Na portálu Microsoft Defender rozbalte v nabídce vlevo oddíl Zásady cloudových aplikací>a vyberte Správa zásad.

  2. Na stránce Zásady vyberte kartu Stínová IT.

  3. Rozbalte rozevírací nabídku Vytvořit zásadu a vyberte možnost Zásady zjišťování aplikací.

  4. Pokud ve stejný den dojde ke všemu následujícímu, vyberte možnost Aktivovat zásadu:

    Snímek obrazovky, který ukazuje, jak pro zásadu zjišťování aplikace vybrat možnost Aktivovat zásadu, pokud ve stejný den dojde ke všem následujícím akcím.

  5. Nakonfigurujte přidružené filtry a nastavení, jak je popsáno v tématu Vytvoření zásad detekce anomálií.

(Starší verze) Vytvoření zásad detekce anomálií

Pro každou zásadu detekce anomálií nastavíte filtry, které umožňují selektivně monitorovat využití aplikací. Filtry jsou k dispozici pro aplikaci, vybraná zobrazení dat a vybrané počáteční datum. Můžete také nastavit citlivost a určit, kolik upozornění se má zásada aktivovat.

Postupujte podle kroků k vytvoření zásad detekce anomálií cloud discovery:

  1. Na portálu Microsoft Defender rozbalte v nabídce vlevo oddíl Zásady cloudových aplikací>a vyberte Správa zásad.

  2. Na stránce Zásady vyberte kartu Stínová IT.

  3. Rozbalte rozevírací nabídku Vytvořit zásadu a vyberte možnost zásady detekce anomálií Cloud Discovery:

    Snímek obrazovky, který ukazuje, jak vybrat možnost vytvořit novou zásadu detekce anomálií cloud discovery

    Otevře se stránka vytvořit zásady detekce anomálií Cloud Discovery, kde nakonfigurujete parametry pro vytvoření zásady.

  4. Na stránce Vytvořit zásadu detekce anomálií Cloud Discovery poskytuje možnost Šablona zásad seznam šablon, ze které si můžete vybrat, které se mají použít jako základ pro zásadu. Ve výchozím nastavení je tato možnost nastavená na Možnost Bez šablony.

    Pokud chcete zásadu založit na šabloně, rozbalte rozevírací nabídku a vyberte šablonu:

    • Neobvyklé chování zjištěných uživatelů: Výstrahy při zjištění neobvyklého chování ve zjištěných uživatelích a aplikacích Tuto šablonu můžete použít ke kontrole velkých objemů nahraných dat v porovnání s jinými uživateli nebo velkými uživatelskými transakcemi v porovnání s historií uživatele.

    • Neobvyklé chování zjištěných IP adres: Výstrahy při zjištění neobvyklého chování ve zjištěných IP adresách a aplikacích Pomocí této šablony můžete zkontrolovat velké objemy nahraných dat v porovnání s jinými IP adresami nebo velkými transakcemi aplikací v porovnání s historií IP adres.

    Následující obrázek ukazuje, jak vybrat šablonu, která se má použít jako základ pro nové zásady na portálu Microsoft Defenderu:

    Snímek obrazovky znázorňující, jak vybrat šablonu, která se má použít jako základ pro novou zásadu

  5. Zadejte název a popis zásady pro novou zásadu.

  6. Pomocí možnosti Vybrat filtr vytvořte filtr pro aplikace, které chcete monitorovat.

    • Rozbalte rozevírací nabídku a vyberte, jestli chcete filtrovat všechny odpovídající aplikace podle značky aplikací, aplikací a domény, kategorie, různých rizikových faktorů nebo skóre rizika.

    • Pokud chcete vytvořit další filtry, vyberte Přidat filtr.

    Následující obrázek ukazuje, jak vybrat filtr zásad, který se má použít pro všechny odpovídající aplikace na portálu Microsoft Defenderu:

    Snímek obrazovky, který ukazuje, jak vybrat filtr pro zásadu, která se má použít pro všechny odpovídající aplikace

  7. Konfigurace filtrů využití aplikací v části Použít na :

    1. Pomocí první rozevírací nabídky zvolte, jak monitorovat sestavy průběžného používání:

      • Všechny průběžné sestavy (výchozí): Porovnejte každé zvýšení využití se vzorem normálního využití, jak jste se naučili ze všech zobrazení dat.

      • Konkrétní průběžné sestavy: Porovnejte každé zvýšení využití se vzorem normálního využití. Vzor se naučí ze stejného zobrazení dat, ve kterém bylo zjištěno zvýšení.

    2. Pomocí druhé rozevírací nabídky můžete určit monitorovaná přidružení pro každé využití cloudové aplikace:

      • Uživatelé: Ignorujte přidružení využití aplikace s IP adresami.

      • IP adresy: Ignorujte přidružení využití aplikací k uživatelům.

      • Uživatelé, IP adresy (výchozí): Monitorujte přidružení využití aplikací podle uživatelů a IP adres. Tato možnost může způsobit duplicitní výstrahy, pokud mezi uživateli a IP adresami existuje úzká korespondence.

    Následující obrázek ukazuje, jak nakonfigurovat filtry využití aplikací a počáteční datum pro vyvolání upozornění na využití na portálu Microsoft Defender:

    Snímek obrazovky, který ukazuje, jak nakonfigurovat filtry využití aplikací a počáteční datum pro vyvolání upozornění na využití

  8. U upozornění Vyvolat pouze pro podezřelé aktivity, ke kterým dochází po možnosti, zadejte datum, kdy začnete vytvářet upozornění na využití aplikací.

    Jakékoli zvýšení využití aplikace před zadaným počátečním datem se ignoruje. Data o aktivitě využití před počátečním datem se ale naučí stanovit vzor normálního použití.

  9. V části Výstrahy nakonfigurujte citlivost upozornění a oznámení. Existuje několik způsobů, jak řídit počet upozornění aktivovaných zásadou:

    • Pomocí posuvníku Pro výběr citlivosti detekce anomálií můžete aktivovat výstrahy pro nejvyšší neobvyklé aktivity X na 1 000 uživatelů za týden. Výstrahy aktivují aktivity s nejvyšším rizikem.

    • Vyberte možnost Vytvořit upozornění pro každou odpovídající událost s možností závažnosti zásady a nastavte pro výstrahu další parametry:

      • Odeslat upozornění jako e-mail: Zadejte e-mailové adresy pro zprávy upozornění. Na e-mailovou adresu za den se dá odeslat maximálně 500 zpráv. Počet se resetuje o půlnoci v časovém pásmu UTC.

      • Denní limit upozornění na zásadu: Použijte rozevírací nabídku a vyberte požadovaný limit. Tato možnost omezuje počet výstrah vyvolaných v jednom dni na zadanou hodnotu.

      • Odesílání upozornění do Power Automate: Zvolte playbook, který má spouštět akce při aktivaci výstrahy. Nový playbook můžete otevřít také výběrem možnosti Vytvořit playbook v Power Automate.

    • Pokud chcete nastavit výchozí nastavení vaší organizace tak, aby používala hodnoty pro denní limit upozornění a nastavení e-mailu, vyberte Uložit jako výchozí nastavení.

    • Pokud chcete použít výchozí nastavení vaší organizace pro denní limit upozornění a nastavení e-mailu, vyberte Obnovit výchozí nastavení.

    Následující obrázek ukazuje, jak nakonfigurovat upozornění na zásadu, včetně citlivosti, e-mailových oznámení a denního limitu na portálu Microsoft Defender:

    Snímek obrazovky znázorňující, jak nakonfigurovat upozornění, včetně citlivosti, e-mailu a denního limitu

  10. Potvrďte volby konfigurace a vyberte Vytvořit.

Práce s existujícími zásadami

Když vytvoříte zásadu, je ve výchozím nastavení povolená. Zásady můžete zakázat a provádět další akce, jako je Upravit a Odstranit.

  1. Na stránce Zásady vyhledejte zásadu, která se má aktualizovat, v seznamu zásad.

  2. V seznamu zásad se posuňte doprava na řádek zásad a vyberte Další možnosti (...).

  3. V místní nabídce vyberte akci, kterou chcete v zásadě provést.

Další krok

Prozkoumání osvědčených postupů pro ochranu organizace

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.