Beleid voor afwijkingsdetectie voor Cloud Discovery

  • Artikel

In dit artikel vindt u naslaginformatie over beleidsregels. Uitleg voor elk beleidstype en elke velden die voor elk beleid kunnen worden geconfigureerd, worden vermeld.

Beleid voor anomaliedetectie in Cloud Discovery - Tijdlijn voor afschaffing

In juli 2024 wordt de ondersteuning voor 'Cloud Discovery-anomalie' van Microsoft Defender voor Cloud-apps buiten gebruik gesteld.

Na zorgvuldige analyse en overweging hebben we besloten deze te verwijderen vanwege het hoge aantal fout-positieven dat aan deze waarschuwing is gekoppeld, die we niet effectief hebben gevonden voor de algehele beveiliging van uw organisatie.

Ons onderzoek gaf aan dat deze functie geen significante waarde toevoegde en niet was afgestemd op onze strategische focus op het leveren van hoogwaardige, betrouwbare beveiligingsoplossingen.

We streven ernaar onze diensten continu te verbeteren en ervoor te zorgen dat ze voldoen aan uw behoeften en verwachtingen.

Voor degenen die deze waarschuwing willen blijven gebruiken, raden we u aan 'App-detectiebeleid' te gebruiken en onder 'Een beleidsovereenkomst activeren als alle volgende items op dezelfde dag plaatsvinden' de filters gewoonlijk instellen.

Naslaginformatie over beleid voor anomaliedetectie in Cloud Discovery

Met een beleid voor anomaliedetectie van Cloud Discovery kunt u continue bewaking van ongebruikelijke toenames in het gebruik van cloudtoepassingen instellen en configureren. Toename van gedownloade gegevens, geüploade gegevens, transacties en gebruikers worden overwogen voor elke cloudtoepassing. Elke toename wordt vergeleken met het normale gebruikspatroon van de toepassing, zoals vastgesteld op basis van eerder gebruik. Bij zeer sterke toenamen wordt er een beveiligingswaarschuwing geactiveerd.

Voor elk beleid stelt u filters in waarmee u het gebruik van toepassingen selectief kunt bewaken. Filters bevatten een toepassingsfilter, geselecteerde gegevensweergaven en een geselecteerde begindatum. U kunt ook de gevoeligheid instellen om op te geven hoeveel waarschuwingen het beleid moet activeren.

  1. Ga in de Microsoft Defender-portal onder Cloud-apps naar Beleid -> Beleidsbeheer. Selecteer vervolgens het tabblad Schaduw-IT .

  2. Selecteer Beleid maken en selecteer Anomaliedetectiebeleid voor Cloud Discovery.

    Maak een Cloud Discovery-beleid.

Hiermee gaat u naar de pagina beleid voor anomaliedetectie voor Cloud Discovery maken.

Stel voor elk beleid de volgende parameters in:

  1. Bepaal of u het beleid wilt baseren op een sjabloon. Een relevante beleidssjabloon is het afwijkende gedrag in de gedetecteerde gebruikerssjabloon . Er wordt een waarschuwing weergegeven wanneer afwijkend gedrag wordt gedetecteerd in gedetecteerde gebruikers en apps, zoals: grote hoeveelheden geüploade gegevens vergeleken met andere gebruikers, grote gebruikerstransacties in vergelijking met de geschiedenis van de gebruiker. U kunt ook het afwijkende gedrag van de sjabloon gedetecteerde IP-adressen selecteren. Deze sjabloon waarschuwt wanneer afwijkend gedrag wordt gedetecteerd in gedetecteerde IP-adressen en apps, zoals: grote hoeveelheden geüploade gegevens vergeleken met andere IP-adressen, grote app-transacties vergeleken met de geschiedenis van het IP-adres.

    Selecteer een beleidssjabloon.

  2. Geef een beleidsnaam en beschrijving op.

    Selecteer de naam en beschrijving van het beleid.

  3. Maak een filter voor de apps die u wilt bewaken door Een filter selecteren te selecteren. U kunt een filter selecteren op app-tag, apps en domein, categorie, verschillende risicofactoren of risicoscore. Als u extra filters wilt maken, selecteert u Een filter toevoegen.

    Selecteer filter voor apps.

  4. Stel onder Toepassen op in hoe het gebruik moet worden gefilterd. Het gebruik dat wordt bewaakt kan op twee manieren worden gefilterd:

    • Doorlopende rapporten: selecteer of u alle doorlopende rapporten wilt bewaken (standaard) of kies Specifieke doorlopende rapporten die u wilt bewaken.

      • Als u voor alle doorlopende rapporten kiest, wordt elke gebruikstoename vergeleken met het normale gebruikspatroon zoals vastgesteld uit alle gegevensweergaven.
      • Wanneer u Specifieke doorlopende rapporten selecteert, wordt elke toename van het gebruik vergeleken met het normale gebruikspatroon. Het patroon wordt geleerd uit dezelfde gegevensweergave als waarin de toename is waargenomen.

    • Gebruikers en IP-adressen : elk cloudtoepassingsgebruik is gekoppeld aan een gebruiker, een IP-adres of beide.

      • Als u Gebruikers selecteert, wordt de koppeling van toepassingsgebruik met IP-adressen genegeerd.

      • Als u IP-adressen selecteert, wordt de koppeling van toepassingsgebruik met gebruikers genegeerd.

      • Als u gebruikers en IP-adressen (standaard) selecteert, worden beide koppelingen beschouwd, maar kunnen dubbele waarschuwingen worden weergegeven wanneer er een nauwe correspondentie is tussen gebruikers en IP-adressen.

    • Waarschuwingen alleen genereren voor verdachte activiteiten die zich voordoen: elke toename van het toepassingsgebruik vóór de geselecteerde datum wordt genegeerd. Activiteit van vóór de geselecteerde datum wordt echter geleerd om het normale gebruikspatroon vast te stellen.

      Selecteer het gebruik dat u wilt toepassen.

  5. Onder Waarschuwingen kunt u de gevoeligheid voor waarschuwingen instellen. Er zijn verschillende manieren om het aantal waarschuwingen te beheren dat wordt geactiveerd door het beleid:

    • De schuifregelaar Select anomaly detection sensitivity (Gevoeligheid voor anomaliedetectie selecteren) waarschuwt voor de belangrijkste X afwijkende activiteiten per 1000 gebruikers per week. De waarschuwingen worden geactiveerd voor de activiteiten met het hoogste risico.

    • Selecteer Een waarschuwing maken voor elke overeenkomende gebeurtenis met de ernst van het beleid om aanvullende parameters voor de waarschuwing in te stellen:

      • Waarschuwing verzenden als e-mail - Als u dit selectievakje inschakelt, voert u e-mailadressen in die de waarschuwing moeten ontvangen. Er worden maximaal 500 e-mailberichten per e-mailadres per dag verzonden (opnieuw instellen om middernacht in de UTC-tijdzone.)
      • Dagelijkse waarschuwingslimiet : u kunt ervoor kiezen om het aantal waarschuwingen dat op één dag wordt gegenereerd, te beperken.
      • Waarschuwingen verzenden naar Power Automate : als u dit selectievakje inschakelt, kunt u een playbook kiezen om acties uit te voeren wanneer er een waarschuwing wordt gegenereerd.

    • Als u Opslaan als standaardinstellingen selecteert , worden uw keuzes voor de dagelijkse waarschuwingslimiet en e-mailinstellingen de standaardinstellingen van uw organisatie. Als u deze standaardinstellingen voor een nieuw beleid wilt invullen, selecteert u Standaardinstellingen herstellen.

      Selecteer waarschuwingsinstellingen.

  6. Selecteer Maken.

  7. Net als bij alle beleidsregels kunt u het beleid bewerken, uitschakelen en inschakelen door op de drie puntjes aan het einde van de rij op de pagina Beleid te klikken. Wanneer u een beleid maakt, wordt dit standaard ingeschakeld.

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.