Delen via


Activiteitenbeleid voor Microsoft Defender voor Cloud Apps maken

Met activiteitenbeleid kunt u een breed scala aan geautomatiseerde processen afdwingen met behulp van de API's van de app-provider. Met dit beleid kunt u specifieke activiteiten volgen die worden uitgevoerd door verschillende gebruikers of onverwacht hoge frequenties van een bepaald type activiteit volgen.

Nadat u een beleid voor activiteitdetectie hebt ingesteld, worden op basis van het beleid waarschuwingen gegenereerd. Waarschuwingen worden alleen gegenereerd voor activiteiten die plaatsvinden nadat u het beleid hebt gemaakt.

Notitie

  • Beleidsregels die meer dan 200.000 overeenkomsten per dag activeren, of 100.000 overeenkomsten per 3 uur, kunnen automatisch worden uitgeschakeld. U kunt beleidsregels verfijnen door extra filters toe te voegen of, als u beleidsregels gebruikt voor rapportagedoeleinden, kunt u overwegen deze op te slaan als query's .
  • Het kan tot 15 minuten duren voordat een nieuw beleid is ingesteld voor implementatie.

Aangepaste waarschuwingen

Met activiteitenbeleid kunnen aangepaste waarschuwingen worden verzonden of acties worden uitgevoerd wanneer gebruikersactiviteit wordt gedetecteerd. U wilt bijvoorbeeld elke keer weten:

  • Een gebruiker probeert zich aan te melden en mislukt 70 keer in één minuut
  • Een gebruiker downloadt 7.000 bestanden
  • Een gebruiker is aangemeld vanuit een onbekend land/regio

U kunt activiteitenwaarschuwingen instellen die naar uzelf of naar de gebruiker worden verzonden wanneer deze gebeurtenissen plaatsvinden. U kunt de gebruiker zelfs onderbreken totdat u klaar bent met onderzoeken wat er is gebeurd.

Voor de volgende procedure uit om nieuwe beleidsregels voor activiteiten te maken:

  1. Ga in de Microsoft Defender-portal onder Cloud-apps naar Beleid -> Beleidsbeheer. Selecteer vervolgens het tabblad Bedreigingsdetectie .

  2. Klik op Beleid maken en selecteer Beleidsregel voor activiteiten.

    Maak een beleid voor detectie van bedreigingen.

  3. Geef uw beleid een naam en beschrijving, wat u indien gewenst kunt baseren op een sjabloon. Voor meer informatie over beleidssjablonen, bekijk Cloud-apps beheren met beleidsregels.

  4. Om in te stellen welke acties of andere meetwaarden dit beleid activeren, werkt u met Activiteitsfilters.

    Om ervoor te zorgen dat u alleen resultaten opneemt waarbij het opgegeven filterveld een waarde heeft, raden we u aan hetzelfde veld opnieuw toe te voegen met behulp van de test is ingesteld . Als filteren op locatie bijvoorbeeld niet gelijk is aan een opgegeven lijst met landen/regio's, wordt ook een filter voor Locatie ingesteld. U kunt ook een voorbeeld van de filterresultaten bekijken door Bewerken en voorbeeldresultaten te selecteren. Voorbeeld:

    Schermopname van filterinstellingen, waarin het locatieveld is ingesteld.

    Wanneer een filter is ingesteld op niet gelijk is en het kenmerk niet bestaat op de gebeurtenis, wordt de gebeurtenis niet uitgefilterd. Filteren op apparaattags is bijvoorbeeld niet gelijk aan hybride Microsoft Entra-gekoppelde gebeurtenissen worden niet gefilterd die geen apparaattag bevatten, zelfs niet als het apparaat lid is van Microsoft Entra.

    In het geval van een gastgebruiker kunnen er gevallen zijn waarin het filter Gebruiker uit groep het account niet door het domein herkent. Als u ervoor wilt zorgen dat alle gastgebruikers zijn opgenomen, gebruikt u de externe gebruikers als de groep als deze voldoet aan uw behoeften voor het beleid.

  5. Selecteer onder Filters maken voor het beleid wanneer een beleidsschending wordt geactiveerd. Kies ervoor om te activeren wanneer één activiteit overeenkomt met de filters of alleen wanneer een opgegeven aantal herhaalde activiteiten wordt gedetecteerd.

    • Als u Herhaalde activiteit kiest, kunt u in één app instellen. Met deze instelling wordt alleen een beleidovereenkomst geactiveerd wanneer de herhaalde activiteiten in dezelfde app plaatsvinden. Vijf downloads in 30 minuten vanaf Box activeren bijvoorbeeld een beleidsovereenkomst.
  6. Configureer de Acties die moeten worden uitgevoerd wanneer een overeenkomst is gevonden.

Bekijk deze voorbeelden:

  • Meerdere mislukte aanmeldingen

    U kunt beleid zo instellen dat u een waarschuwing ontvangt wanneer een groot aantal mislukte aanmeldingen binnen een korte periode plaatsvindt. Als u dit soort beleid wilt configureren, kiest u het juiste activiteitsfilter op de pagina Nieuw activiteitenbeleid .

    Onder het veld Activiteitfilters, stelt u de parameters in waarbij de waarschuwing geactiveerd wordt.

    Beleidsvoorbeeld voor meerdere mislukte aanmeldingspogingen.

  • Hoge downloadsnelheid

    U kunt het beleid zo instellen dat u een waarschuwing ontvangt als er een onverwacht of ongebruikelijk niveau van downloadactiviteit is. Als u dit soort beleid wilt configureren, kiest u onder Tariefparameters de parameters om de waarschuwing te activeren.

    voorbeeld van hoge downloadsnelheid.

Verwijzing naar het activiteitenbeleid

Deze sectie bevat naslaginformatie over beleidsregels, uitleg voor elk beleidstype en de velden die voor elk beleid kunnen worden geconfigureerd.

Een activiteitsbeleid is een op API gebaseerd beleid waarmee u de activiteiten van uw organisatie in de cloud kunt bewaken. Het beleid houdt rekening met meer dan 20 filters voor bestandsmetagegevens, waaronder apparaattype en locatie. Op basis van de beleidsresultaten kunnen meldingen worden gegenereerd en kunnen gebruikers worden geblokkeerd vanuit de cloud-app. Elk beleid bestaat uit de volgende onderdelen:

  • Activiteitsfilters: hiermee kunt u gedetailleerde voorwaarden maken op basis van metagegevens.

  • Activiteit overeenkomstig de parameters – hiermee kunt u een drempel instellen voor het aantal keren dat een activiteit wordt herhaald voordat de activiteit wordt beschouwd als overeenkomstig het beleid. Geef het aantal herhaalde activiteiten op dat nodig is om aan het beleid te voldoen. Stel bijvoorbeeld een beleid in om te waarschuwen wanneer een gebruiker 10 mislukte aanmeldingspogingen heeft binnen een tijdsbestek van 2 minuten. Standaard genereren parameters voor activiteitsovereenkomsten een overeenkomst voor elke activiteit die voldoet aan alle activiteitsfilters.

    • Met herhaalde activiteit kunt u het aantal herhaalde activiteiten instellen, de duur van het tijdsbestek waarin de activiteiten worden geteld. U kunt ook opgeven dat alle activiteiten moeten worden uitgevoerd door dezelfde gebruiker en in dezelfde cloud-app.
  • Acties – het beleid bevat een reeks beheeracties die automatisch kunnen worden toegepast wanneer schendingen worden gedetecteerd.

Volgende stappen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.