Condividi tramite

Criteri di rilevamento anomalie di Cloud Discovery

  • Articolo

Un criterio di rilevamento anomalie di Cloud Discovery consente di configurare e configurare il monitoraggio continuo degli aumenti insoliti dell'utilizzo delle applicazioni cloud. Per ogni applicazione cloud, vengono considerati gli incrementi relativi alla quantità di dati scaricati e caricati, le transazioni e gli utenti. Ogni incremento viene confrontato con il modello di utilizzo normale dell'applicazione, definito in base all'utilizzo precedente. In caso di incrementi molto rilevanti vengono generati avvisi di sicurezza.

Questo articolo descrive come creare e configurare criteri di rilevamento anomalie di Cloud Discovery in app di Microsoft Defender per il cloud.

Importante

A partire da agosto 2024, il supporto anomalie di Cloud Discovery per Microsoft Defender per il cloud App viene ritirato. Di conseguenza, la procedura legacy presentata in questo articolo viene fornita solo a scopo informativo. Per ricevere avvisi di sicurezza simili al rilevamento anomalie, completare i passaggi descritti in Creare criteri di individuazione delle app.

Creare criteri di individuazione delle app

Anche se il supporto per il rilevamento anomalie di Cloud Discovery viene ritirato, è possibile ricevere avvisi di sicurezza simili creando criteri di individuazione delle app:

  1. Nel portale di Microsoft Defender espandere la sezione Criteri delle app>cloud nel menu a sinistra e selezionare Gestione dei criteri.

  2. Nella pagina Criteri selezionare la scheda Shadow IT .

  3. Espandere il menu a discesa Crea criteri e selezionare l'opzione Criteri di individuazione app.

  4. Selezionare l'opzione Attiva una corrispondenza dei criteri se si verificano tutti gli eventi seguenti nello stesso giorno :

    Screenshot che mostra come selezionare l'opzione

  5. Configurare i filtri e le impostazioni associati, come descritto in Creare criteri di rilevamento anomalie.

(Legacy) Creare criteri di rilevamento anomalie

Per ogni criterio di rilevamento anomalie, è possibile impostare filtri che consentono di monitorare in modo selettivo l'utilizzo dell'applicazione. I filtri sono disponibili per l'applicazione, le visualizzazioni dati selezionate e una data di inizio selezionata. È anche possibile impostare la riservatezza e specificare il numero di avvisi per il criterio da attivare.

Seguire la procedura per creare un criterio di rilevamento anomalie di Cloud Discovery:

  1. Nel portale di Microsoft Defender espandere la sezione Criteri delle app>cloud nel menu a sinistra e selezionare Gestione dei criteri.

  2. Nella pagina Criteri selezionare la scheda Shadow IT .

  3. Espandere il menu a discesa Crea criteri e selezionare l'opzione criteri di rilevamento anomalie di Cloud Discovery:

    Screenshot che mostra come selezionare l'opzione per creare un nuovo criterio di rilevamento anomalie di Cloud Discovery.

    Viene visualizzata la pagina Crea criteri di rilevamento anomalie di Cloud Discovery, in cui si configurano i parametri per i criteri da creare.

  4. Nella pagina Crea criteri di rilevamento anomalie di Cloud Discovery, l'opzione Modello di criteri fornisce un elenco di modelli tra cui è possibile scegliere di usare come base per i criteri. Per impostazione predefinita, l'opzione è impostata su Nessun modello.

    Per basare i criteri su un modello, espandere il menu a discesa e selezionare un modello:

    • Comportamento anomalo negli utenti individuati: avvisi quando viene rilevato un comportamento anomalo in utenti e app individuati. È possibile usare questo modello per verificare la presenza di grandi quantità di dati caricati rispetto ad altri utenti o transazioni utente di grandi dimensioni rispetto alla cronologia dell'utente.

    • Comportamento anomalo degli indirizzi IP individuati: avvisi quando viene rilevato un comportamento anomalo negli indirizzi IP individuati e nelle app. È possibile usare questo modello per verificare la presenza di grandi quantità di dati caricati rispetto ad altri indirizzi IP o transazioni di app di grandi dimensioni rispetto alla cronologia dell'indirizzo IP.

    L'immagine seguente mostra come selezionare un modello da usare come base per i nuovi criteri nel portale di Microsoft Defender:

    Screenshot che mostra come selezionare un modello da usare come base per i nuovi criteri.

  5. Immettere un nome criterio e una descrizione per il nuovo criterio.

  6. Creare un filtro per le app da monitorare usando l'opzione Seleziona un filtro .

    • Espandere il menu a discesa e scegliere di filtrare tutte le app corrispondenti in base a Tag app, App e dominio, Categoria, vari fattori di rischio o Punteggio di rischio.

    • Per creare altri filtri, selezionare Aggiungi un filtro.

    L'immagine seguente mostra come selezionare un filtro per i criteri da applicare a tutte le applicazioni corrispondenti nel portale di Microsoft Defender:

    Screenshot che mostra come selezionare un filtro per il criterio da applicare a tutte le applicazioni corrispondenti.

  7. Configurare i filtri di utilizzo delle applicazioni nella sezione Applica a :

    1. Usare il primo menu a discesa per scegliere come monitorare i report di utilizzo continuo:

      • Tutti i report continui (impostazione predefinita): confrontare ogni aumento di utilizzo con il modello di utilizzo normale come appreso da tutte le visualizzazioni dati.

      • Report continui specifici: confrontare ogni aumento di utilizzo con il modello di utilizzo normale. Il modello viene appreso dalla stessa vista dati in cui è stato osservato l'aumento.

    2. Usare il secondo menu a discesa per specificare le associazioni monitorate per ogni utilizzo dell'applicazione cloud:

      • Utenti: ignorare l'associazione dell'utilizzo dell'applicazione agli indirizzi IP.

      • Indirizzi IP: ignorare l'associazione dell'utilizzo dell'applicazione agli utenti.

      • Utenti, indirizzi IP (impostazione predefinita): monitorare l'associazione dell'utilizzo dell'applicazione da parte di utenti e indirizzi IP. Questa opzione può generare avvisi duplicati quando esiste una stretta corrispondenza tra utenti e indirizzi IP.

    L'immagine seguente mostra come configurare i filtri di utilizzo delle applicazioni e la data di inizio per generare avvisi di utilizzo nel portale di Microsoft Defender:

    Screenshot che mostra come configurare i filtri di utilizzo dell'applicazione e la data di inizio per generare avvisi di utilizzo.

  8. Per l'opzione Genera avvisi solo per le attività sospette che si verificano dopo , immettere la data per iniziare a generare avvisi di utilizzo dell'applicazione.

    Qualsiasi aumento dell'utilizzo dell'applicazione prima della data di inizio specificata viene ignorato. Tuttavia, i dati delle attività di utilizzo precedenti alla data di inizio sono stati appresi per stabilire il modello di utilizzo normale.

  9. Nella sezione Avvisi configurare la riservatezza e le notifiche degli avvisi. Esistono diversi modi per controllare il numero di avvisi attivati dai criteri:

    • Usare il dispositivo di scorrimento Seleziona sensibilità rilevamento anomalie per attivare avvisi per le principali attività anomale X per 1.000 utenti alla settimana. Gli avvisi si attivano per le attività con il rischio più alto.

    • Selezionare l'opzione Crea un avviso per ogni evento corrispondente con la gravità del criterio e impostare altri parametri per l'avviso:

      • Invia avviso come messaggio di posta elettronica: immettere gli indirizzi di posta elettronica per i messaggi di avviso. Un massimo di 500 messaggi può essere inviato per ogni indirizzo di posta elettronica al giorno. Il conteggio viene reimpostato a mezzanotte nel fuso orario UTC.

      • Limite di avvisi giornaliero per criterio: usare il menu a discesa e selezionare il limite desiderato. Questa opzione limita il numero di avvisi generati in un singolo giorno al valore specificato.

      • Inviare avvisi a Power Automate: scegliere un playbook per eseguire azioni quando viene attivato un avviso. È anche possibile aprire un nuovo playbook selezionando Crea un playbook in Power Automate.

    • Per impostare le impostazioni predefinite dell'organizzazione in modo da usare i valori per il limite di avvisi giornalieri e le impostazioni di posta elettronica, selezionare Salva come impostazioni predefinite.

    • Per usare le impostazioni predefinite dell'organizzazione per il limite di avvisi giornalieri e le impostazioni di posta elettronica, selezionare Ripristina impostazioni predefinite.

    L'immagine seguente mostra come configurare gli avvisi per i criteri, tra cui riservatezza, notifiche tramite posta elettronica e un limite giornaliero nel portale di Microsoft Defender:

    Screenshot che mostra come configurare gli avvisi, tra cui riservatezza, posta elettronica e limite giornaliero.

  10. Confermare le scelte di configurazione e selezionare Crea.

Usare un criterio esistente

Quando si crea un criterio, è abilitato per impostazione predefinita. È possibile disabilitare un criterio ed eseguire altre azioni, ad esempio Modifica ed Eliminazione.

  1. Nella pagina Criteri individuare i criteri da aggiornare nell'elenco dei criteri.

  2. Nell'elenco dei criteri scorrere verso destra nella riga dei criteri e selezionare Altre opzioni (...).

  3. Nel menu popup selezionare l'azione da eseguire sul criterio.

Passaggio successivo

Esplorare le procedure consigliate per proteggere l'organizzazione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.