Cloud Discovery 異常検出ポリシー

  • [アーティクル]

この記事では、ポリシーに関する詳細なリファレンスを提供します。 各ポリシーに対して構成可能な各ポリシーの種類とフィールドの説明の一覧を示します。

Cloud Discovery の異常検出ポリシー - 非推奨のタイムライン

Microsoft Defender for Cloud Apps での "Cloud Discovery 異常" のサポートは、2024 年 6 月中旬までに段階的に廃止されます。

慎重な分析と検討の後、このアラートに関連する擬陽性の割合が高く、組織の全体的なセキュリティに実質的に貢献していないことが判明したため、非推奨とすることにしました。

この機能に目立った付加価値がなかったこと、高品質で信頼性の高いセキュリティ ソリューションの提供に関する戦略的な焦点と一致していないことが当社の調査によって明らかになりました。

当社では、サービスを継続的に改善し、お客様のニーズと期待にお応えできるよう全力を尽くしてまいります。

このアラートを引き続き使用する場合は、[アプリ検出ポリシー] を使用し、[以下のすべてが同じ日に起こった場合にポリシーの一致をトリガーする] でフィルターを適宜設定することをお勧めします。

Cloud Discovery の異常検出ポリシーのリファレンス

Cloud Discovery の異常検出ポリシーを使用すると、クラウド アプリケーションの使用量の異常な増加を継続的に監視するように設定および構成できます。 ダウンロードされるデータ、アップロードされるデータ、トランザクション数、ユーザー数の増加が、各クラウド アプリケーションで考慮されます。 いずれかが増加した場合、過去の使用状況から学習した通常の使用パターンと比較します。 特に極端に増加した場合は、セキュリティ アラートがトリガーされます。

各ポリシーについて、アプリケーションの使用状況を選択的に監視できるフィルターを設定します。 フィルターには、アプリケーション フィルター、選択されたデータ ビュー、および選択された開始日が含まれます。 秘密度も設定できます。これにより、アラートによってポリシーがトリガーされるまでの回数を設定できます。

  1. Microsoft Defender Portal の [Cloud Apps] で [ポリシー] ->[ポリシー管理] に移動します。 次に、 シャドウ IT タブを選択します。

  2. ポリシーの作成 を選択し、Cloud Discovery 異常検出ポリシー を選択します。

    Cloud Discovery ポリシーを作成します。

これにより、 Cloud Discovery 異常検出ポリシーの作成 ページが表示されます。

各ポリシーについて、次のパラメーターを設定します。

  1. テンプレートに基づいてポリシーを作成するかどうかを決定します。 関連するポリシー テンプレートの 1 つは、[検出されたユーザーでの異常な動作] テンプレートです。 発見されたユーザーとアプリで異常な動作 (他のユーザーと比較して大量のアップロード データ、ユーザーの履歴と比較して大量のユーザー トランザクションなど) が検出されると、アラートが生成されます。 [検出された IP アドレスの異常なビヘイビアー] テンプレートを選択することもできます。 このテンプレートでは、発見された IP アドレスとアプリで異常な動作が検出されると、アラートが生成されます。たとえば、他の IP アドレスに比べて大量のデータがアップロードされている場合や、IP アドレスの履歴に比べてアプリ トランザクションが大きい場合などです。

    ポリシー テンプレートを選択します。

  2. [ポリシー名][説明] を指定します。

    ポリシーの名前と説明を選択します。

  3. [フィルターを選択] を選択して、監視するアプリのフィルターを作成します。 [アプリ タグ][アプリとドメイン][カテゴリ]、さまざまな [リスク要因] または[リスク スコア] によるフィルターを選択できます。追加のフィルターを作成するには、[フィルターの追加] を選択します。

    アプリのフィルターを選択します。

  4. [適用先] で、使用状況にフィルターを適用する方法を設定します。 監視対象の使用状況にフィルターを適用する方法は 2 つあります。

    • 継続的レポートすべての継続的レポート (既定) を監視するか、特定の継続的レポートを監視するかを選択します。

      • [すべての継続的レポート] を選択すると、それぞれの使用量が増加した場合、すべてのデータ ビューから学習した通常の使用パターンと比較されます。
      • [特定の継続的レポート] を選択すると、それぞれの使用量が増加した場合、通常の使用パターンと比較されます。 パターンは、増加が観察されたのと同じデータ ビューから学習されます。

    • ユーザーと IP アドレス – それぞれのクラウド アプリケーションの使用状況は、ユーザーか IP アドレス、またはその両方に関連付けられています。

      • [ユーザー] を選択すると、アプリケーションの使用状況と IP アドレスの関連付けは無視されます。

      • [IP アドレス] を選択すると、アプリケーションの使用状況とユーザーの関連付けは無視されます。

      • ユーザーと IP アドレス (既定) を選択すると、両方の関連付けが考慮されますが、ユーザーと IP アドレスの間に緊密な対応関係がある場合、重複したアラートが生成される可能性があります。

    • 以降に発生した不審なアクティビティに対してのみアラートを発生させます。選択した日付より前のアプリケーション使用量の増加は無視されます。 ただし、選択した日付より前のアクティビティも、通常の使用パターンを確立するための学習に使用されます。

      適用する使用方法を選択します。

  5. [アラート] では、アラートの感度を設定できます。 ポリシーによってトリガーされるアラートの数を制御するには、いくつかの方法があります。

    • [異常検出秘密度を選択する] スライダー – 週あたり 1,000 人のユーザーごとの上位 X の異常なアクティビティに対してアラートがトリガーされます。 特にリスクが高いアクティビティが検出されるとアラートがトリガーされます。

    • ポリシーの重大度と一致するイベントごとにアラートを作成を選択して、アラートの追加パラメータを設定します。

      • アラートを電子メールとして送信 - このボックスをチェックした場合、アラートを受信する電子メール アドレスを入力します。 1 日あたり、電子メール アドレスごとに最大 500 件の電子メール メッセージが送信されます (UTC タイム ゾーンの午前 0 時にリセットされます)。
      • 毎日のアラート制限 - 1 日に生成されるアラートの数を制限することを選択できます。
      • Power Automate にアラートを送信 - このボックスをチェックすると、アラートが発生したときにアクションを実行するプレイブックを選択できます。

    • 既定の設定として保存を選択した場合、毎日のアラート制限と電子メール設定の選択内容が組織の既定の設定になります。 新しいポリシーにこれらの既定の設定を入力するには、 既定の設定を復元を選択します。

      アラート設定を選択します。

  6. [作成] を選択します

  7. 他のポリシーと同じように、[ポリシー] ページの行の末尾にある 3 つの点をクリックし、ポリシーを編集無効および有効にすることができます。 既定では、ポリシーを作成すると、そのポリシーが有効になります。

次のステップ

組織を保護するためのベスト プラクティス

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。