Delen via

Beleid voor anomaliedetectie in clouddetectie

  • Artikel

Met een beleid voor anomaliedetectie voor clouddetectie kunt u continue bewaking van ongebruikelijke toenames in het gebruik van cloudtoepassingen instellen en configureren. Toename van gedownloade gegevens, geüploade gegevens, transacties en gebruikers worden overwogen voor elke cloudtoepassing. Elke toename wordt vergeleken met het normale gebruikspatroon van de toepassing, zoals vastgesteld op basis van eerder gebruik. Bij zeer sterke toenamen wordt er een beveiligingswaarschuwing geactiveerd.

In dit artikel wordt beschreven hoe u een beleid voor anomaliedetectie voor clouddetectie maakt en configureert in Microsoft Defender voor Cloud Apps.

Belangrijk

Vanaf augustus 2024 wordt de anomalieondersteuning voor clouddetectie voor Microsoft Defender voor Cloud-apps buiten gebruik gesteld. Daarom wordt de verouderde procedure die in dit artikel wordt gepresenteerd, alleen ter informatie verstrekt. Als u beveiligingswaarschuwingen wilt ontvangen die vergelijkbaar zijn met anomaliedetectie, voert u de stappen uit in app-detectiebeleid maken.

Beleid voor app-detectie maken

Hoewel ondersteuning voor anomaliedetectie van clouddetectie buiten gebruik wordt gesteld, kunt u vergelijkbare beveiligingswaarschuwingen ontvangen door een app-detectiebeleid te maken:

  1. Vouw in de Microsoft Defender-portal de sectie Cloud-appsbeleid> uit in het linkermenu en selecteer Beleidsbeheer.

  2. Selecteer op de pagina Beleid het tabblad Schaduw-IT .

  3. Vouw het vervolgkeuzemenu Beleid maken uit en selecteer de optie App-detectiebeleid .

  4. Selecteer de optie Een beleid activeren als alle volgende items op dezelfde dag worden uitgevoerd :

    Schermopname die laat zien hoe u de optie Een beleid activeren selecteert als alle volgende items op dezelfde dag plaatsvinden voor een app-detectiebeleid.

  5. Configureer de bijbehorende filters en instellingen, zoals beschreven in Beleid voor anomaliedetectie maken.

(Verouderd) Beleid voor anomaliedetectie maken

Voor elk beleid voor anomaliedetectie stelt u filters in waarmee u het gebruik van toepassingen selectief kunt bewaken. Filters zijn beschikbaar voor de toepassing, geselecteerde gegevensweergaven en een geselecteerde begindatum. U kunt ook de gevoeligheid instellen en opgeven hoeveel waarschuwingen voor het beleid moeten worden geactiveerd.

Volg de stappen om een beleid voor anomaliedetectie voor clouddetectie te maken:

  1. Vouw in de Microsoft Defender-portal de sectie Cloud-appsbeleid> uit in het linkermenu en selecteer Beleidsbeheer.

  2. Selecteer op de pagina Beleid het tabblad Schaduw-IT .

  3. Vouw het vervolgkeuzemenu Beleid maken uit en selecteer de optie voor anomaliedetectiebeleid voor Cloud Discovery:

    Schermopname die laat zien hoe u de optie selecteert om een nieuw beleid voor anomaliedetectie voor clouddetectie te maken.

    De pagina Anomaliedetectiebeleid voor Cloud Discovery maken wordt geopend, waar u parameters configureert voor het beleid dat moet worden gemaakt.

  4. Op de pagina Anomaliedetectiebeleid voor Cloud Discovery maken bevat de optie Beleidssjabloon een lijst met sjablonen waaruit u kunt kiezen als basis voor het beleid. De optie is standaard ingesteld op Geen sjabloon.

    Als u het beleid op een sjabloon wilt baseren, vouwt u de vervolgkeuzelijst uit en selecteert u een sjabloon:

    • Afwijkend gedrag bij gedetecteerde gebruikers: waarschuwingen wanneer afwijkend gedrag wordt gedetecteerd in gedetecteerde gebruikers en apps. U kunt deze sjabloon gebruiken om te controleren op grote hoeveelheden geüploade gegevens in vergelijking met andere gebruikers of grote gebruikerstransacties in vergelijking met de geschiedenis van de gebruiker.

    • Afwijkend gedrag van gedetecteerde IP-adressen: waarschuwingen wanneer afwijkend gedrag wordt gedetecteerd in gedetecteerde IP-adressen en apps. U kunt deze sjabloon gebruiken om te controleren op grote hoeveelheden geüploade gegevens in vergelijking met andere IP-adressen of grote app-transacties in vergelijking met de geschiedenis van het IP-adres.

    In de volgende afbeelding ziet u hoe u een sjabloon selecteert die moet worden gebruikt als basis voor het nieuwe beleid in de Microsoft Defender-portal:

    Schermopname die laat zien hoe u een sjabloon selecteert die moet worden gebruikt als basis voor het nieuwe beleid.

  5. Voer een beleidsnaam en beschrijving in voor het nieuwe beleid.

  6. Maak een filter voor de apps die u wilt bewaken met behulp van de optie Een filter selecteren .

    • Vouw de vervolgkeuzelijst uit en kies ervoor om alle overeenkomende apps te filteren op app-tag, apps en domein, categorie, verschillende risicofactoren of risicoscore.

    • Als u meer filters wilt maken, selecteert u Een filter toevoegen.

    In de volgende afbeelding ziet u hoe u een filter selecteert voor het beleid dat moet worden toegepast op alle overeenkomende toepassingen in de Microsoft Defender-portal:

    Schermopname van het selecteren van een filter voor het beleid dat moet worden toegepast op alle overeenkomende toepassingen.

  7. Configureer toepassingsgebruiksfilters in de sectie Toepassen op :

    1. Gebruik de eerste vervolgkeuzelijst om te kiezen hoe u rapporten van doorlopend gebruik kunt bewaken:

      • Alle doorlopende rapporten (standaard): Vergelijk elk gebruikspatroon tot het normale gebruikspatroon, zoals u hebt geleerd uit alle gegevensweergaven.

      • Specifieke doorlopende rapporten: Vergelijk elke gebruikstoename met het normale gebruikspatroon. Het patroon wordt geleerd uit dezelfde gegevensweergave waar de toename is waargenomen.

    2. Gebruik de tweede vervolgkeuzelijst om bewaakte koppelingen op te geven voor elk cloudtoepassingsgebruik:

      • Gebruikers: negeer de koppeling van toepassingsgebruik met IP-adressen.

      • IP-adressen: negeer de koppeling van toepassingsgebruik met gebruikers.

      • Gebruikers, IP-adressen (standaard): Het koppelen van toepassingsgebruik door gebruikers en IP-adressen bewaken. Met deze optie kunt u dubbele waarschuwingen genereren wanneer er een nauwe correspondentie bestaat tussen gebruikers en IP-adressen.

    In de volgende afbeelding ziet u hoe u toepassingsgebruiksfilters en de begindatum configureert voor het genereren van gebruikswaarschuwingen in de Microsoft Defender-portal:

    Schermopname van het configureren van toepassingsgebruiksfilters en de begindatum voor het genereren van gebruikswaarschuwingen.

  8. Voor de waarschuwing alleen genereren voor verdachte activiteiten die zich na de optie voordoen, voert u de datum in waarop u waarschuwingen voor toepassingsgebruik wilt genereren.

    Elke toename van het toepassingsgebruik vóór de opgegeven begindatum wordt genegeerd. Gebruiksactiviteitsgegevens van vóór de begindatum worden echter geleerd om het normale gebruikspatroon vast te stellen.

  9. Configureer in de sectie Waarschuwingen de gevoeligheid en meldingen van waarschuwingen. Er zijn verschillende manieren om het aantal waarschuwingen te beheren dat wordt geactiveerd door het beleid:

    • Gebruik de schuifregelaar Anomaliedetectie selecteren om waarschuwingen te activeren voor de belangrijkste X-activiteiten per 1000 gebruikers per week. Waarschuwingen activeren voor de activiteiten met het hoogste risico.

    • Selecteer de optie Een waarschuwing maken voor elke overeenkomende gebeurtenis met de ernstoptie van het beleid en stel andere parameters voor de waarschuwing in:

      • Waarschuwing verzenden als e-mail: voer de e-mailadressen voor waarschuwingsberichten in. Er kunnen maximaal 500 berichten per e-mailadres per dag worden verzonden. Het aantal wordt opnieuw ingesteld om middernacht in de UTC-tijdzone.

      • Dagelijkse waarschuwingslimiet per beleid: gebruik de vervolgkeuzelijst en selecteer de gewenste limiet. Met deze optie beperkt u het aantal waarschuwingen dat op één dag wordt gegenereerd tot de opgegeven waarde.

      • Waarschuwingen verzenden naar Power Automate: kies een playbook om acties uit te voeren wanneer een waarschuwing wordt geactiveerd. U kunt ook een nieuw playbook openen door een playbook maken te selecteren in Power Automate.

    • Als u de standaardinstellingen van uw organisatie wilt instellen voor het gebruik van uw waarden voor de dagelijkse waarschuwingslimiet en e-mailinstellingen, selecteert u Opslaan als standaardinstellingen.

    • Als u de standaardinstellingen van uw organisatie wilt gebruiken voor de dagelijkse waarschuwingslimiet en e-mailinstellingen, selecteert u Standaardinstellingen herstellen.

    In de volgende afbeelding ziet u hoe u waarschuwingen voor het beleid configureert, waaronder gevoeligheid, e-mailmeldingen en een dagelijkse limiet in de Microsoft Defender-portal:

    Schermopname van het configureren van waarschuwingen, waaronder gevoeligheid, e-mail en dagelijkse limiet.

  10. Bevestig uw configuratieopties en selecteer Maken.

Werken met een bestaand beleid

Wanneer u een beleid maakt, wordt dit standaard ingeschakeld. U kunt een beleid uitschakelen en andere acties uitvoeren, zoals Bewerken en Verwijderen.

  1. Zoek op de pagina Beleid het beleid dat moet worden bijgewerkt in de lijst met beleidsregels.

  2. Schuif in de lijst met beleidsregels naar rechts in de beleidsrij en selecteer Meer opties (...).

  3. Selecteer in het pop-upmenu de actie die u wilt uitvoeren voor het beleid.

Volgende stap

Best practices verkennen om uw organisatie te beveiligen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.