Felhőhöz készült Microsoft Defender Apps-tevékenységszabályzatok létrehozása
A tevékenységszabályzatok segítségével számos automatizált folyamatot kényszeríthet ki az alkalmazásszolgáltató API-ival. Ezek a házirendek lehetővé teszik a különböző felhasználók által végzett meghatározott tevékenységek figyelését, vagy bizonyos váratlanul nagy arányban előforduló tevékenységek követését.
Miután beállított egy tevékenységdetektálási szabályzatot, az elkezd riasztásokat generálni – de csak az olyan tevékenységekre vonatkozóan, amelyekre a szabályzat létrehozása után került sor.
Feljegyzés
- A naponta több mint 200 000 egyezést vagy 3 óránként 100 000 egyezést aktiváló házirendek automatikusan le lesznek tiltva. A szabályzatok finomításához további szűrőket adhat hozzá, vagy ha jelentéskészítési célokra használ házirendeket, érdemes lehet inkább lekérdezésként menteni őket.
- Az új szabályzat üzembe helyezésének beállítása akár 15 percet is igénybe vehet.
Egyéni riasztások
A tevékenységszabályzatok lehetővé teszik az egyéni riasztások küldését vagy a felhasználói tevékenység észlelésekor végrehajtott műveleteket. Például minden alkalommal tudni szeretné:
- Egy felhasználó egy perc alatt 70 alkalommal próbál bejelentkezni, és 70-szer meghiúsul
- A felhasználó 7000 fájlt tölt le
- A felhasználó ismeretlen országból/régióból van bejelentkezve
Beállíthatja, hogy a tevékenységriasztások elküldhetők legyenek saját magának vagy a felhasználónak az ilyen események bekövetkezésekor. Akár felfüggesztheti is a felhasználót, amíg be nem fejezi a történtek kivizsgálását.
Új tevékenység-szabályzat létrehozásához kövesse az alábbi lépéseket:
A Microsoft Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Ezután válassza a Fenyegetésészlelések lapot.
Kattintson a Szabályzat létrehozása lehetőségre, majd válassza a Tevékenységszabályzat lehetőséget.
Nevezze el a szabályzatot, és írjon hozzá leírást. Igény szerint sablon alapján is létrehozhatja a szabályzatot. A szabályzatsablonokkal kapcsolatos további információkért tekintse meg a Felhőalkalmazások szabályozása szabályzatokkal című részt.
A szabályzatot aktiváló műveletek és más metrikák beállításához alkalmazzon Tevékenységszűrőket.
Annak érdekében, hogy csak olyan eredményeket adjon meg, amelyekben a megadott szűrőmező értéke van, javasoljuk, hogy a beállított teszttel adja hozzá ismét ugyanazt a mezőt. Ha például a Hely szerinti szűrés nem egyenlő az országok/régiók megadott listájával, akkor a Hely beállításhoz is adjon hozzá szűrőt. A szűrőeredmények előnézetét a Szerkesztés és az eredmények előnézete lehetőséget választva is megtekintheti. Példa:
Ha egy szűrő értéke nem egyenlő, és az attribútum nem létezik az eseményen, az esemény nem lesz szűrve. Az eszközcímkére való szűrés például nem egyenlő a Microsoft Entra hibrid csatlakoztatásával, nem szűri ki az eszközcímkét nem tartalmazó eseményeket, még akkor sem, ha az eszköz a Microsoft Entra-hoz csatlakozik.
Vendégfelhasználó esetén előfordulhat, hogy a Felhasználó csoportból szűrő nem ismeri fel a fiókot a tartománya alapján. Ha meg szeretné győződni arról, hogy az összes vendégfelhasználó megtalálható, használja a külső felhasználókat csoportként, ha az megfelel a szabályzat igényeinek.
A Szabályzat szűrőinek létrehozása csoportban válassza ki, hogy mikor aktiválódik egy szabályzatsértés. Válassza ki az aktiválást, ha egyetlen tevékenység megfelel a szűrőknek, vagy csak akkor, ha a rendszer meghatározott számú ismétlődő tevékenységet észlel.
- Ha az Ismétlődő tevékenység lehetőséget választja, egyetlen alkalmazásban is beállíthatja. Ez a beállítás csak akkor aktiválja a szabályzategyezést, ha az ismétlődő tevékenységek ugyanabban az alkalmazásban történnek. Például a Boxtól 30 perc alatt öt letöltés aktivál egy szabályzategyezést.
Állítsa be, milyen műveleteket hajtson végre a rendszer, amikor egyezést talál.
Vessen egy pillantást az alábbi példákra:
Több sikertelen bejelentkezés
Beállíthatja a szabályzatot, hogy riasztást kapjon, ha rövid időn belül nagy számú sikertelen bejelentkezés történik. Az ilyen típusú szabályzat konfigurálásához válassza ki a megfelelő tevékenységszűrőt az Új tevékenységszabályzat lapon.
A Tevékenységszűrők mező alatt adja meg azokat a paramétereket, amelyek teljesülésekor aktiválódik a riasztás.
Magas letöltési arány
Beállíthatja úgy a szabályzatot, hogy riasztást kapjon, amikor váratlanul vagy szokatlanul magas számban fordulnak elő letöltések. Az ilyen típusú szabályzat konfigurálásához a Díjparaméterek csoportban válassza ki a riasztást aktiváló paramétereket.
Tevékenységszabályzat áttekintése
Ez a szakasz a szabályzatokkal kapcsolatos referenciaadatokat, az egyes szabályzattípusok magyarázatát és az egyes szabályzatokhoz konfigurálható mezőket tartalmazza.
A tevékenységszabályzat egy API-alapú szabályzat, amely lehetővé teszi a szervezet tevékenységeinek monitorozását a felhőben. A szabályzat több mint 20 fájl metaadatszűrőt vesz figyelembe, beleértve az eszköz típusát és helyét. A szabályzat eredményei alapján értesítések generálhatók, illetve felhasználók zárhatók ki ideiglenesen a felhőalkalmazásból. Az egyes szabályzatok a következő részekből tevődnek össze:
Tevékenységszűrők – Lehetővé teszi részletes feltételek létrehozását metaadatok alapján.
Tevékenységmegfeleltetési paraméterek – Beállíthat egy küszöbértéket, hogy egy adott tevékenységnek hányszor kell megismétlődnie ahhoz, hogy az szabályzat érvénybe lépjen. Adja meg a szabályzatnak megfelelő ismétlődő tevékenységek számát. Beállíthat például egy szabályzatot riasztásra, ha egy felhasználó 10 sikertelen bejelentkezési kísérlettel rendelkezik 2 perces időkeretben. Alapértelmezés szerint a tevékenységegyeztetési paraméterek egyezést adnak minden olyan tevékenységhez, amely megfelel az összes tevékenységszűrőnek.
- Ismétlődő tevékenységek használatával megadhatja az ismétlődő tevékenységek számát, a tevékenységek megszámlálásának időtartamát. Azt is megadhatja, hogy az összes tevékenységet ugyanaz a felhasználó és ugyanabban a felhőalkalmazásban végezze el.
Műveletek – A szabályzat számos olyan irányítási műveletet kínál, melyet szabálysértés észlelése esetén a rendszer automatikusan elvégez.
Következő lépések
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.