Criterio di rilevamento anomalie di Cloud Discovery

  • Articolo

Questo articolo offre riferimenti dettagli sui criteri. Sono elencate le spiegazioni relative a ogni tipo di criterio e i campi che possono essere configurati per ogni criterio.

Criteri di rilevamento anomalie di Cloud Discovery - Sequenza temporale di deprecazione

Il supporto delle anomalie di Cloud Discovery verrà ritirato da Microsoft Defender per il cloud Apps entro luglio 2024.

Dopo un'attenta analisi e considerazione, è stato deciso di deprecarlo a causa dell'elevato tasso di falsi positivi associati a questo avviso, che non è stato rilevato contribuisce in modo efficace alla sicurezza complessiva dell'organizzazione.

La nostra ricerca ha indicato che questa funzionalità non ha aggiunto valore significativo e non è stata allineata al nostro obiettivo strategico sulla fornitura di soluzioni di sicurezza affidabili e di alta qualità.

Ci impegniamo a migliorare costantemente i nostri servizi e a garantire che soddisfino le vostre esigenze e aspettative.

Per coloro che desiderano continuare a usare questo avviso, è consigliabile usare "Criteri di individuazione delle app" e in "Attivare una corrispondenza dei criteri se tutti i seguenti si verificano nello stesso giorno" impostare i filtri in modo coordinato.

Informazioni di riferimento sui criteri di rilevamento anomalie di Cloud Discovery

Un criterio di rilevamento anomalie di Cloud Discovery consente di configurare e configurare il monitoraggio continuo di aumenti insoliti nell'utilizzo delle applicazioni cloud. Per ogni applicazione cloud, vengono considerati gli incrementi relativi alla quantità di dati scaricati e caricati, le transazioni e gli utenti. Ogni incremento viene confrontato con il modello di utilizzo normale dell'applicazione, definito in base all'utilizzo precedente. In caso di incrementi molto rilevanti vengono generati avvisi di sicurezza.

Per ogni criterio, vengono impostati filtri che consentono di monitorare in modo selettivo l'utilizzo dell'applicazione. Sono inclusi un filtro dell'applicazione, visualizzazioni dati selezionati e una data di inizio selezionata. È anche possibile impostare l'importanza, che consente di stabilire il numero di avvisi che il criterio dovrà generare.

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Selezionare quindi la scheda Shadow IT .

  2. Selezionare Crea criterio e selezionare Criteri di rilevamento anomalie di Cloud Discovery.

    Creare criteri di Cloud Discovery.

Verrà visualizzata la pagina Crea criteri di rilevamento anomalie di Cloud Discovery.

Per ogni criterio, impostare i parametri seguenti:

  1. Decidere se si vuole basare il criterio su un modello. Un modello di criteri pertinente è Comportamento anomalo negli utenti individuati. Genera un avviso quando viene rilevato un comportamento anomalo per gli utenti e le app individuate, ad esempio il caricamento di grandi quantità di dati rispetto ad altri utenti o transazioni utente di grandi dimensioni rispetto alla cronologia dell'utente stesso. È anche possibile selezionare il modello Comportamento anomalo degli indirizzi IP individuati. Questo modello genera un avviso quando viene rilevato un comportamento anomalo per gli indirizzi IP e le app individuate, ad esempio il caricamento di grandi quantità di dati rispetto ad altri indirizzi IP o transazioni app di grandi dimensioni rispetto alla cronologia dell'indirizzo IP stesso.

    Selezionare il modello di criteri.

  2. Specificare un Nome criterio e una Descrizione.

    Selezionare nome e descrizione dei criteri.

  3. Creare un filtro per le app da monitorare selezionando Seleziona un filtro. È possibile selezionare un filtro in base a tag dell'app, app e dominio, categoria, vari fattori di rischio o punteggio di rischio. Per creare filtri aggiuntivi, selezionare Aggiungi un filtro.

    Selezionare filtro per le app.

  4. In Apply to (Applica a) impostare la modalità di filtro dell'utilizzo. I dati relativi all'utilizzo monitorato possono essere filtrati in due modi diversi:

    • Report continui: per il monitoraggio dei report continui, selezionare Tutti i report continui oppure scegliere Report continui specifici.

      • Se si seleziona All continuous reports (Tutti i report continui), ogni incremento dell'utilizzo viene confrontato con il modello di utilizzo normale, definito in base a tutte le visualizzazioni dati.
      • Se si seleziona Report continui specifici, ogni incremento dell'utilizzo viene confrontato con il modello di utilizzo normale, definito in base alle stesse visualizzazioni dati nelle quali è stato rilevato l'incremento.

    • Utenti e indirizzi IP: ogni utilizzo dell'applicazione cloud è associato a un utente, a un indirizzo IP o a entrambi.

      • Se si seleziona Utenti, l'associazione dell'utilizzo dell'applicazione agli indirizzi IP viene ignorata.

      • Se si seleziona Indirizzi IP, l'associazione dell'utilizzo dell'applicazione agli utenti viene ignorata.

      • La selezione di Utenti e indirizzi IP (impostazione predefinita) considera entrambe le associazioni, ma può generare avvisi duplicati quando esiste una stretta corrispondenza tra utenti e indirizzi IP.

    • Genera avvisi solo per le attività sospette che si verificano dopo : qualsiasi aumento dell'utilizzo dell'applicazione prima della data selezionata viene ignorato. Viene tuttavia acquisita l'attività prima della data selezionata per determinare il modello di utilizzo normale.

      Selezionare l'utilizzo da applicare.

  5. In Avvisi è possibile impostare la gravità degli avvisi. Esistono diversi modi per controllare il numero di avvisi attivati dai criteri:

    • Dispositivo di scorrimento Select anomaly detection sensitivity (Seleziona sensibilità rilevamento anomalie): genera avvisi per le prime X attività anomale per 1.000 utenti alla settimana. Vengono generati avvisi per le attività a più alto rischio.

    • Selezionare Crea un avviso per ogni evento corrispondente con la gravità del criterio per impostare parametri aggiuntivi per l'avviso:

      • Invia avviso come messaggio di posta elettronica : se si seleziona questa casella, immettere eventuali indirizzi di posta elettronica che devono ricevere l'avviso. Un massimo di 500 messaggi di posta elettronica verrà inviato per ogni indirizzo di posta elettronica, al giorno (reimpostazione a mezzanotte nel fuso orario UTC).
      • Limite di avvisi giornalieri: è possibile scegliere di limitare il numero di avvisi generati in un singolo giorno.
      • Inviare avvisi a Power Automate : se si seleziona questa casella, è possibile scegliere un playbook per eseguire azioni quando viene generato un avviso.

    • Se si seleziona Salva come impostazioni predefinite, le opzioni disponibili per Il limite di avvisi giornalieri e le impostazioni di posta elettronica diventeranno le impostazioni predefinite dell'organizzazione. Per compilare queste impostazioni predefinite per un nuovo criterio, selezionare Ripristina impostazioni predefinite.

      Selezionare impostazioni di avviso.

  6. Seleziona Crea.

  7. Come per tutti i criteri, è possibile modificare, disabilitare e abilitare il criterio facendo clic sui tre puntini alla fine della riga nella pagina Criteri. Per impostazione predefinita, un criterio appena creato è abilitato.

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.