Membuat kebijakan aktivitas aplikasi Microsoft Defender untuk Cloud
Kebijakan aktivitas memungkinkan Anda menerapkan berbagai proses otomatis menggunakan API penyedia aplikasi. Kebijakan ini memungkinkan Anda memantau aktivitas tertentu yang dilakukan oleh berbagai pengguna, atau mengikuti tingkat yang tidak terduga tinggi dari satu jenis aktivitas tertentu.
Setelah Anda menetapkan kebijakan deteksi aktivitas, kebijakan mulai menghasilkan pemberitahuan - pemberitahuan hanya dihasilkan pada aktivitas yang terjadi setelah Anda membuat kebijakan.
Catatan
- Kebijakan yang memicu lebih dari 200.000 kecocokan per hari, atau 100.000 kecocokan per 3 jam, dapat dinonaktifkan secara otomatis. Anda dapat mencoba menyempurnakan kebijakan dengan menambahkan filter tambahan atau, jika Anda menggunakan kebijakan untuk tujuan pelaporan, pertimbangkan untuk menyimpannya sebagai kueri sebagai gantinya.
- Mungkin perlu waktu hingga 15 menit untuk menyiapkan kebijakan baru ke penyebaran.
Pemberitahuan kustom
Kebijakan aktivitas memungkinkan pemberitahuan kustom dikirim atau tindakan yang diambil saat aktivitas pengguna terdeteksi. Misalnya, Anda ingin tahu setiap kali:
- Pengguna mencoba masuk dan gagal 70 kali dalam satu menit
- Pengguna mengunduh 7.000 file
- Pengguna masuk dari negara/wilayah yang tidak dikenal
Anda dapat mengatur pemberitahuan aktivitas untuk dikirim ke diri Anda sendiri atau kepada pengguna saat peristiwa ini terjadi. Anda bahkan dapat menangguhkan pengguna sampai Anda selesai menyelidiki apa yang terjadi.
Untuk membuat kebijakan aktivitas baru, ikuti prosedur ini:
Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, buka Kebijakan ->Manajemen kebijakan. Lalu pilih tab Deteksi ancaman .
Klik Buat kebijakan dan pilih Kebijakan aktivitas.
Beri nama dan deskripsi kebijakan Anda, jika Anda ingin Anda dapat mendasarkannya pada templat, untuk informasi selengkapnya tentang templat kebijakan, lihat Mengontrol aplikasi cloud dengan kebijakan.
Untuk mengatur tindakan atau metrik lain mana yang akan memicu kebijakan ini, bekerja dengan filter Aktivitas.
Untuk memastikan bahwa Anda hanya menyertakan hasil di mana bidang filter yang ditentukan memiliki nilai, sebaiknya tambahkan bidang yang sama lagi menggunakan uji yang ditetapkan . Misalnya, saat memfilter menurut Lokasi tidak sama dengan daftar negara/wilayah tertentu, tambahkan juga filter untuk Lokasi diatur. Anda juga dapat mempratinjau hasil filter dengan memilih Edit dan pratinjau hasil. Contohnya:
Ketika filter diatur ke tidak sama dan atribut tidak ada pada peristiwa, peristiwa tidak akan difilter. Misalnya, pemfilteran pada Tag Perangkat tidak sama dengan gabungan hibrid Microsoft Entra tidak memfilter peristiwa yang tidak berisi tag Perangkat, bahkan jika perangkat bergabung dengan Microsoft Entra.
Jika pengguna tamu, mungkin ada kasus di mana filter Pengguna Dari Grup tidak mengenali akun berdasarkan domainnya. Untuk memastikan semua pengguna tamu disertakan, gunakan Pengguna eksternal sebagai grup, jika memenuhi kebutuhan Anda untuk kebijakan tersebut.
Di bawah Buat filter untuk kebijakan, pilih kapan pelanggaran kebijakan akan dipicu. Pilih untuk memicu saat aktivitas Tunggal cocok dengan filter atau hanya saat sejumlah aktivitas Berulang tertentu terdeteksi.
- Jika Anda memilih Aktivitas berulang, Anda dapat mengatur Dalam satu aplikasi. Pengaturan ini akan memicu kecocokan kebijakan hanya ketika aktivitas berulang terjadi di aplikasi yang sama. Misalnya, lima unduhan dalam 30 menit dari Box memicu kecocokan kebijakan.
Konfigurasikan Tindakan yang harus diambil saat kecocokan ditemukan.
Lihat contoh-contoh berikut:
Beberapa login yang gagal
Anda dapat mengatur kebijakan sehingga Anda menerima pemberitahuan saat sejumlah besar proses masuk yang gagal terjadi dalam waktu singkat. Untuk mengonfigurasi kebijakan semacam ini, pilih filter aktivitas yang sesuai di halaman Kebijakan Aktivitas Baru.
Di bawah bidang Filter aktivitas, konfigurasikan parameter yang pemberitahuannya akan dipicu.
Tingkat unduhan tinggi
Anda dapat mengatur kebijakan sehingga Anda menerima pemberitahuan ketika telah ada tingkat aktivitas pengunduhan yang tidak terduga atau tidak karakeristik. Untuk mengonfigurasi kebijakan semacam ini, di bawah Parameter laju , pilih parameter untuk memicu pemberitahuan.
Referensi kebijakan aktivitas
Bagian ini memiliki detail referensi tentang kebijakan, penjelasan untuk setiap jenis kebijakan, dan bidang yang dapat dikonfigurasi untuk setiap kebijakan.
Kebijakan Aktivitas adalah kebijakan berbasis API yang memungkinkan Anda memantau aktivitas organisasi Anda di cloud. Kebijakan ini memperhitungkan lebih dari 20 filter metadata file termasuk jenis dan lokasi perangkat. Berdasarkan hasil kebijakan, pemberitahuan dapat dibuat dan pengguna dapat ditangguhkan dari aplikasi cloud. Setiap kebijakan terdiri dari bagian-bagian berikut:
Filter aktivitas – Memungkinkan Anda membuat kondisi terperinci berdasarkan metadata.
Parameter kecocokan aktivitas – Memungkinkan Anda mengatur ambang batas untuk berapa kali aktivitas diulang untuk dipertimbangkan agar sesuai dengan kebijakan. Tentukan jumlah aktivitas berulang yang diperlukan untuk mencocokkan kebijakan. Misalnya, tetapkan kebijakan ke pemberitahuan saat pengguna memiliki 10 upaya masuk yang gagal dalam jangka waktu 2 menit. Secara default, Parameter kecocokan aktivitas memunculkan kecocokan untuk setiap aktivitas yang memenuhi semua filter aktivitas.
- Dengan menggunakan aktivitas Berulang, Anda dapat mengatur jumlah aktivitas berulang, durasi jangka waktu di mana aktivitas dihitung. Anda juga dapat menentukan bahwa semua aktivitas harus dilakukan oleh pengguna yang sama dan di aplikasi cloud yang sama.
Tindakan – Kebijakan menyediakan serangkaian tindakan tata kelola yang dapat diterapkan secara otomatis saat pelanggaran terdeteksi.
Langkah berikutnya
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.