Condividi tramite


Creare criteri di attività delle app Microsoft Defender per il cloud

I criteri di attività consentono di applicare un'ampia gamma di processi automatizzati usando le API del provider di app. Questi criteri consentono di monitorare specifiche attività svolte dai diversi utenti o di seguire i livelli inaspettatamente elevati di un determinato tipo di attività.

Dopo aver impostato un criterio di rilevamento attività, viene avviata la generazione di avvisi: gli avvisi vengono generati solo per le attività che si verificano dopo aver creato il criterio.

Nota

  • I criteri che attivano più di 200.000 corrispondenze al giorno o 100.000 corrispondenze per 3 ore possono essere disabilitati automaticamente. È possibile provare a perfezionare i criteri aggiungendo altri filtri o, se si usano criteri per la creazione di report, è consigliabile salvarli come query.
  • La configurazione di un nuovo criterio alla distribuzione può richiedere fino a 15 minuti.

Avvisi personalizzati

I criteri attività consentono l'invio di avvisi personalizzati o l'esecuzione di azioni quando viene rilevata un'attività dell'utente. È possibile, ad esempio, essere informati ogni volta che:

  • un utente prova ad accedere e il tentativo di accesso ha esito negativo 70 volte in un minuto
  • un utente scarica 7.000 file
  • Un utente ha eseguito l'accesso da un paese/area geografica non familiare

Gli avvisi di attività possono essere impostati per l'invio a se stessi o all'utente quando si verificano questi eventi. È anche possibile sospendere l'utente fino a quando non si è terminato di analizzare l'evento.

Per creare un nuovo criterio attività, seguire questa procedura:

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Selezionare quindi la scheda Rilevamenti delle minacce.

  2. Fare clic su Crea criterio e selezionare Criteri attività.

    Creare un criterio di rilevamento delle minacce.

  3. Assegnare al criterio un nome e una descrizione, eventualmente basandosi su un modello. Per altre informazioni sui modelli di criteri, vedere Controllare le app cloud mediante criteri.

  4. Per impostare le azioni o altre metriche che attiveranno il criterio, utilizzare Filtri attività.

    Per assicurarsi di includere solo i risultati in cui il campo del filtro specificato ha un valore, è consigliabile aggiungere di nuovo lo stesso campo usando il test impostato . Ad esempio, quando si filtra in base a Località non è uguale a un elenco specificato di paesi/aree geografiche, viene impostato anche un filtro per Località. È anche possibile visualizzare in anteprima i risultati del filtro selezionando Modifica e visualizza in anteprima i risultati. Ad esempio:

    Screenshot delle impostazioni del filtro, che mostra il campo della posizione impostato.

    Quando un filtro è impostato su non è uguale e l'attributo non esiste nell'evento, l'evento non verrà filtrato. Ad esempio, il filtro sul tag del dispositivo non è uguale a quello aggiunto a Microsoft Entra ibrido non filtra gli eventi che non contengono il tag Device, anche se il dispositivo è aggiunto a Microsoft Entra.

    Nel caso di un utente guest, è possibile che il filtro User From Group non riconosca l'account in base al dominio. Per assicurarsi che tutti gli utenti guest siano inclusi, usare gli utenti esterni come gruppo, se soddisfa le esigenze dei criteri.

  5. In Crea filtri per i criteri selezionare quando verrà attivata una violazione dei criteri. Scegliere di attivare quando un'attività singola corrisponde ai filtri o solo quando viene rilevato un numero specificato di attività ripetute.

    • Se si sceglie Attività ripetuta, è possibile impostare In una singola app. Questa impostazione attiverà una corrispondenza di criteri solo quando le attività ripetute si verificano nella stessa app. Ad esempio, cinque download in 30 minuti da Box attivano una corrispondenza di criteri.
  6. Configurare le azioni da eseguire quando viene rilevata una corrispondenza.

Prendere in esame gli esempi seguenti:

  • Più tentativi di accesso non riusciti

    È possibile impostare criteri in modo da ricevere un avviso quando si verifica un numero elevato di accessi non riusciti entro un breve periodo di tempo. Per configurare questo tipo di criteri, scegliere il filtro attività appropriato nella pagina New Activity Policy (Nuovi criteri attività).

    Sotto il campo Filtri attività configurare i parametri per la generazione dell'avviso.

    Esempio di criteri per più tentativi di accesso non riusciti.

  • Elevato tasso di download

    È possibile impostare un criterio in modo da ricevere un avviso quando si verifica un imprevisto o inusuale tasso di attività di download. Per configurare questo tipo di criteri, nei parametri Quantità scegliere i parametri per attivare l'avviso.

    esempio di frequenza di download elevata.

Informazioni di riferimento sui criteri attività

Questa sezione include informazioni di riferimento dettagliate sui criteri, spiegazioni relative a ogni tipo di criterio e i campi che possono essere configurati per ogni criterio.

I criteri attività sono criteri basati su API che consentono di monitorare le attività dell'organizzazione nel cloud. I criteri prendono in considerazione oltre 20 filtri di metadati del file, tra cui il tipo e la posizione del dispositivo. In base ai risultati dei criteri, possono essere generate notifiche e gli utenti possono essere sospesi dall'app cloud. Ogni criterio è costituito dalle parti seguenti:

  • Filtri attività: consentono di creare condizioni granulari in base ai metadati.

  • Parametri di corrispondenza attività: consentono di impostare una soglia per il numero di volte in cui un'attività viene ripetuta per essere considerata conforme ai criteri. Specificare il numero di attività ripetute necessario per soddisfare il criterio. Ad esempio, impostare un criterio per attivare un avviso quando un utente esegue 10 tentativi di accesso non riusciti in un intervallo di tempo di 2 minuti. Per impostazione predefinita, i parametri di corrispondenza attività generano una corrispondenza per ogni singola attività che soddisfa tutti i filtri attività.

    • L'uso di Attività ripetuta consente di impostare il numero di attività ripetute e la durata dell'intervallo di tempo in cui vengono contate le attività. È anche possibile specificare che tutte le attività devono essere eseguite dallo stesso utente e nella stessa app cloud.
  • Azioni: il criterio fornisce un set di azioni di governance che possono essere applicate automaticamente quando vengono rilevate violazioni.

Passaggi successivi

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.