Megosztás a következőn keresztül:

Microsoft Defender for Cloud Apps tevékenységszabályzatok létrehozása

  • Cikk

A tevékenységszabályzatokkal számos automatizált folyamat kényszeríthető az alkalmazásszolgáltató API-jainak használatával. Ezek a szabályzatok lehetővé teszik a különböző felhasználók által végzett bizonyos tevékenységek figyelésének, vagy egy bizonyos tevékenységtípus váratlanul magas arányának követését.

Miután beállított egy tevékenységészlelési szabályzatot, az riasztásokat kezd generálni – a riasztások csak a szabályzat létrehozása után előforduló tevékenységekre lesznek létrehozva.

Megjegyzés:

  • A naponta több mint 200 000 egyezést vagy 3 óránként 100 000 egyezést aktiváló szabályzatok automatikusan letilthatók. A szabályzatok finomításával további szűrők hozzáadásával próbálkozhat, vagy ha jelentéskészítési célokra használ házirendeket, érdemes lehet inkább lekérdezésként menteni őket .
  • Akár 15 percig is eltarthat, amíg új szabályzatot állít be az üzembe helyezéshez.

Egyéni riasztások

A tevékenységszabályzatok lehetővé teszik az egyéni riasztások küldését, illetve a felhasználói tevékenység észlelésekor végrehajtott műveleteket. Például minden alkalommal tudni szeretné a következőt:

  • Egy felhasználó megpróbál bejelentkezni, és 70-szer meghiúsul egy perc alatt
  • Egy felhasználó 7000 fájlt tölt le
  • Egy felhasználó ismeretlen országból/régióból van bejelentkezve

Beállíthatja, hogy a tevékenységriasztások saját maguknak vagy a felhasználónak legyenek elküldve az ilyen események bekövetkezésekor. Akár fel is függesztheti a felhasználót, amíg be nem fejezi a történtek kivizsgálását.

Új tevékenységszabályzat létrehozásához kövesse az alábbi eljárást:

  1. A Microsoft Defender Portál Felhőalkalmazások területén lépjen a Szabályzatok –>Szabályzatkezelés területre. Ezután válassza a Fenyegetésészlelések lapot.

  2. Kattintson a Szabályzat létrehozása elemre, és válassza a Tevékenységházirend lehetőséget.

    Hozzon létre egy fenyegetésészlelési szabályzatot.

  3. Adjon nevet és leírást a szabályzatnak, ha szeretné, hogy sablonra alapozhassa. A szabályzatsablonokkal kapcsolatos további információkért lásd: Felhőalkalmazások szabályozása szabályzatokkal.

  4. Annak beállításához, hogy mely műveletek vagy egyéb metrikák aktiválják ezt a szabályzatot, a tevékenységszűrőkkel kell dolgoznia.

    Annak érdekében, hogy csak olyan eredményeket adjon meg, amelyekben a megadott szűrőmezőnek van értéke, javasoljuk, hogy adja hozzá újra ugyanazt a mezőt a beállított teszttel. Ha például a Location (Hely) szerinti szűrés nem egyenlő az országok/régiók megadott listájával, akkor a Hely szűrő is be van állítva. A szűrés eredményeinek előnézetét a Találatok szerkesztése és előnézete lehetőség kiválasztásával is megtekintheti. Például:

    Képernyőkép a szűrőbeállításokról, amelyen a helymező be van állítva.

    Ha egy szűrő értéke nem egyenlő, és az attribútum nem létezik az eseményen, az esemény nem lesz kiszűrve. Az Eszközcímke szűrése például nem egyenlő Microsoft Entra a hibrid csatlakoztatás nem szűri az eszközcímkét nem tartalmazó eseményeket, még akkor sem, ha az eszköz Microsoft Entra csatlakozik.

    Vendégfelhasználók esetén előfordulhat, hogy a Felhasználó csoportból szűrő nem ismeri fel a fiókot a tartománya szerint. Ha meg szeretné győződni arról, hogy az összes vendégfelhasználó szerepel a csoportban, használja a külső felhasználókat csoportként, ha az megfelel a szabályzattal kapcsolatos igényeinek.

  5. A Szűrők létrehozása a szabályzathoz területen válassza ki, hogy mikor aktiválódik a szabályzat megsértése. Válassza az eseményindítót, ha egyetlen tevékenység megfelel a szűrőknek, vagy csak akkor, ha a rendszer adott számú ismétlődő tevékenységet észlel.

    • Ha az Ismétlődő tevékenység lehetőséget választja, beállíthatja egyetlen alkalmazásban. Ez a beállítás csak akkor aktivál szabályzategyezést, ha az ismétlődő tevékenységek ugyanabban az alkalmazásban történnek. Például a Boxból 30 perc alatt öt letöltés aktivál egy szabályzategyezést.

  6. Konfigurálja az egyezés esetén végrehajtandó műveleteket .

Tekintse meg az alábbi példákat:

  • Több sikertelen bejelentkezés

    Beállíthatja a szabályzatot, hogy riasztást kapjon, ha rövid időn belül nagy számú sikertelen bejelentkezés történik. Az ilyen típusú szabályzat konfigurálásához válassza ki a megfelelő tevékenységszűrőt az Új tevékenységszabályzat lapon.

    A Tevékenységszűrők mező alatt konfigurálja azokat a paramétereket, amelyeknél a riasztás aktiválódik.

    Példa szabályzatra több sikertelen bejelentkezési kísérletre.

  • Magas letöltési sebesség

    A szabályzatot beállíthatja úgy, hogy riasztást kapjon, ha váratlan vagy nem egyszerű letöltési tevékenység történt. Az ilyen típusú szabályzat konfigurálásához a Paraméterek díjszabása területen válassza ki azokat a paramétereket, amely aktiválja a riasztást.

    példa a magas letöltési sebességre.

Tevékenységszabályzat-referencia

Ez a szakasz a szabályzatokkal kapcsolatos referenciaadatokat, az egyes szabályzattípusok magyarázatait és az egyes szabályzatokhoz konfigurálható mezőket tartalmazza.

A tevékenységszabályzat egy API-alapú szabályzat, amely lehetővé teszi a szervezet felhőbeli tevékenységeinek monitorozását. A szabályzat több mint 20 fájlmetaadat-szűrőt vesz figyelembe, beleértve az eszköz típusát és helyét. A szabályzat eredményei alapján értesítések hozhatók létre, és a felhasználók felfüggeszthetők a felhőalkalmazásból. Minden szabályzat a következő részekből áll:

  • Tevékenységszűrők – Lehetővé teszi részletes feltételek létrehozását metaadatok alapján.

  • Tevékenységegyeztetési paraméterek – Lehetővé teszi egy küszöbérték beállítását arra vonatkozóan, hogy egy tevékenység hányszor ismétlődik úgy, hogy az megfeleljen a szabályzatnak. Adja meg a szabályzatnak való megfeleltetéshez szükséges ismétlődő tevékenységek számát. Beállíthat például egy szabályzatot, hogy riasztást adjon meg, ha egy felhasználó 10 sikertelen bejelentkezési kísérlettel rendelkezik 2 perces időkereten belül. A tevékenységegyeztetési paraméterek alapértelmezés szerint minden olyan tevékenységhez egyeznek, amely megfelel az összes tevékenységszűrőnek.

    • Az Ismétlődő tevékenység funkcióval megadhatja az ismétlődő tevékenységek számát, valamint azt az időtartamot, amelyben a tevékenységek beleszámítanak. Azt is megadhatja, hogy minden tevékenységet ugyanazon felhasználónak és ugyanabban a felhőalkalmazásban kell végrehajtania.

  • Műveletek – A szabályzat olyan szabályozási műveleteket biztosít, amelyek automatikusan alkalmazhatók a szabálysértések észlelésekor.

Következő lépések

Adatvédelmi szabályzatok

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.