Kebijakan deteksi anomali penemuan cloud
Kebijakan deteksi anomali penemuan cloud memungkinkan Anda menyiapkan dan mengonfigurasi pemantauan berkelanjutan dari peningkatan penggunaan aplikasi cloud yang tidak biasa. Peningkatan data yang diunduh, data yang diunggah, transaksi, dan pengguna dipertimbangkan untuk setiap aplikasi cloud. Setiap peningkatan dibandingkan dengan pola penggunaan normal aplikasi seperti yang dipelajari dari penggunaan sebelumnya. Peningkatan paling ekstrem memicu pemberitahuan keamanan.
Artikel ini menjelaskan cara membuat dan mengonfigurasi kebijakan deteksi anomali penemuan cloud di Microsoft Defender untuk Cloud Apps.
Penting
Mulai Agustus 2024, dukungan anomali penemuan cloud untuk Microsoft Defender untuk Cloud Apps dihentikan. Dengan demikian, prosedur warisan yang disajikan dalam artikel ini disediakan hanya untuk tujuan informasi. Jika Anda ingin menerima pemberitahuan keamanan yang mirip dengan deteksi anomali, selesaikan langkah-langkah dalam Membuat kebijakan penemuan aplikasi.
Membuat kebijakan penemuan aplikasi
Meskipun dukungan untuk deteksi anomali penemuan cloud dihentikan, Anda dapat menerima pemberitahuan keamanan serupa dengan membuat kebijakan penemuan aplikasi:
Di Portal Pertahanan Microsoft, perluas bagian Kebijakan Aplikasi>Cloud di menu sebelah kiri, dan pilih Manajemen kebijakan.
Pada halaman Kebijakan , pilih tab TI Bayangan.
Perluas menu dropdown Buat kebijakan dan pilih opsi Kebijakan penemuan aplikasi.
Pilih opsi Picu kecocokan kebijakan jika semua hal berikut ini terjadi pada hari yang sama:
Konfigurasikan filter dan pengaturan terkait, seperti yang dijelaskan dalam Membuat kebijakan deteksi anomali.
(Warisan) Membuat kebijakan deteksi anomali
Untuk setiap kebijakan deteksi anomali, Anda mengatur filter yang memungkinkan Anda memantau penggunaan aplikasi secara selektif. Filter tersedia untuk aplikasi, tampilan data yang dipilih, dan tanggal mulai yang dipilih. Anda juga dapat mengatur sensitivitas dan menentukan berapa banyak pemberitahuan untuk dipicu oleh kebijakan.
Ikuti langkah-langkah untuk membuat kebijakan deteksi anomali penemuan cloud:
Di Portal Pertahanan Microsoft, perluas bagian Kebijakan Aplikasi>Cloud di menu sebelah kiri, dan pilih Manajemen kebijakan.
Pada halaman Kebijakan , pilih tab TI Bayangan.
Perluas menu dropdown Buat kebijakan dan pilih opsi kebijakan deteksi anomali Cloud Discovery:
Halaman Buat kebijakan deteksi anomali Cloud Discovery terbuka, tempat Anda mengonfigurasi parameter untuk kebijakan yang akan dibuat.
Pada halaman Buat kebijakan deteksi anomali Cloud Discovery, opsi Templat kebijakan menyediakan daftar templat yang dapat Anda pilih untuk digunakan sebagai basis kebijakan. Secara default, opsi diatur ke Tidak ada templat.
Jika Anda ingin mendasarkan kebijakan pada templat, perluas menu dropdown dan pilih templat:
Perilaku anomali pada pengguna yang ditemukan: Pemberitahuan saat perilaku anomali terdeteksi di pengguna dan aplikasi yang ditemukan. Anda dapat menggunakan templat ini untuk memeriksa sejumlah besar data yang diunggah dibandingkan dengan pengguna lain, atau transaksi pengguna besar dibandingkan dengan riwayat pengguna.
Perilaku anomali alamat IP yang ditemukan: Pemberitahuan saat perilaku anomali terdeteksi di alamat IP dan aplikasi yang ditemukan. Anda dapat menggunakan templat ini untuk memeriksa sejumlah besar data yang diunggah dibandingkan dengan alamat IP lain, atau transaksi aplikasi besar dibandingkan dengan riwayat alamat IP.
Gambar berikut menunjukkan cara memilih templat yang akan digunakan sebagai dasar untuk kebijakan baru di portal Pertahanan Microsoft:
Masukkan Nama kebijakan dan Deskripsi untuk kebijakan baru.
Buat filter untuk aplikasi yang ingin Anda pantau dengan menggunakan opsi Pilih filter .
Perluas menu dropdown dan pilih untuk memfilter semua aplikasi yang cocok menurut tag Aplikasi, Aplikasi dan domain, Kategori, berbagai Faktor risiko, atau Skor risiko.
Untuk membuat filter lainnya, pilih Tambahkan filter.
Gambar berikut menunjukkan cara memilih filter untuk kebijakan yang akan diterapkan ke semua aplikasi yang cocok di portal Pertahanan Microsoft:
Konfigurasikan filter penggunaan aplikasi di bagian Terapkan ke :
Gunakan menu dropdown pertama untuk memilih cara memantau laporan penggunaan berkelanjutan:
Semua laporan berkelanjutan (default): Bandingkan setiap peningkatan penggunaan dengan pola penggunaan normal seperti yang dipelajari dari semua tampilan data.
Laporan berkelanjutan tertentu: Bandingkan setiap peningkatan penggunaan dengan pola penggunaan normal. Pola dipelajari dari tampilan data yang sama tempat peningkatan diamati.
Gunakan menu dropdown kedua untuk menentukan asosiasi yang dipantau untuk setiap penggunaan aplikasi cloud:
Pengguna: Abaikan asosiasi penggunaan aplikasi dengan alamat IP.
Alamat IP: Abaikan asosiasi penggunaan aplikasi dengan pengguna.
Pengguna, alamat IP (default): Memantau rekan penggunaan aplikasi oleh pengguna dan alamat IP. Opsi ini dapat menghasilkan pemberitahuan duplikat ketika ada korespondensi ketat antara pengguna dan alamat IP.
Gambar berikut menunjukkan cara mengonfigurasi filter penggunaan aplikasi dan tanggal mulai untuk menaikkan pemberitahuan penggunaan di portal Pertahanan Microsoft:
Untuk opsi Ajukan pemberitahuan hanya untuk aktivitas mencurigakan yang terjadi setelah, masukkan tanggal untuk mulai menaikkan pemberitahuan penggunaan aplikasi.
Setiap peningkatan penggunaan aplikasi sebelum tanggal mulai yang ditentukan diabaikan. Namun, data aktivitas penggunaan dari sebelum tanggal mulai dipelajari untuk menetapkan pola penggunaan normal.
Di bagian Pemberitahuan , konfigurasikan sensitivitas dan pemberitahuan pemberitahuan. Ada beberapa cara untuk mengontrol jumlah pemberitahuan yang dipicu oleh kebijakan:
Gunakan slider Pilih sensitivitas deteksi anomali untuk memicu pemberitahuan untuk aktivitas anomali X teratas per 1.000 pengguna per minggu. Pemicu pemberitahuan untuk aktivitas dengan risiko tertinggi.
Pilih opsi Buat pemberitahuan untuk setiap peristiwa yang cocok dengan opsi tingkat keparahan kebijakan dan atur parameter lain untuk pemberitahuan:
Kirim pemberitahuan sebagai email: Masukkan alamat email untuk pesan pemberitahuan. Maksimal 500 pesan dapat dikirim per alamat email per hari. Jumlah direset pada tengah malam di zona waktu UTC.
Batas pemberitahuan harian per kebijakan: Gunakan menu dropdown dan pilih batas yang diinginkan. Opsi ini membatasi jumlah pemberitahuan yang dinaikkan pada satu hari ke nilai yang ditentukan.
Mengirim pemberitahuan ke Power Automate: Pilih playbook untuk menjalankan tindakan saat pemberitahuan memicu. Anda juga dapat membuka playbook baru dengan memilih Buat playbook di Power Automate.
Untuk mengatur pengaturan default organisasi Anda agar menggunakan nilai Anda untuk batas pemberitahuan harian dan pengaturan email, pilih Simpan sebagai pengaturan default.
Untuk menggunakan pengaturan default organisasi Anda untuk batas pemberitahuan harian dan pengaturan email, pilih Pulihkan pengaturan default.
Gambar berikut menunjukkan cara mengonfigurasi pemberitahuan untuk kebijakan, termasuk sensitivitas, pemberitahuan email, dan batas harian di portal Pertahanan Microsoft:
Konfirmasikan pilihan konfigurasi Anda, dan pilih Buat.
Bekerja dengan kebijakan yang sudah ada
Saat Anda membuat kebijakan, kebijakan diaktifkan secara default. Anda dapat menonaktifkan kebijakan dan melakukan tindakan lain seperti Edit dan Hapus.
Pada halaman Kebijakan , temukan kebijakan untuk diperbarui dalam daftar kebijakan.
Dalam daftar kebijakan, gulir ke kanan pada baris kebijakan, dan pilih Opsi lainnya (...).
Pada menu popup, pilih tindakan yang akan dilakukan pada kebijakan.
Langkah selanjutnya
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.