Beleid voor afwijkingsdetectie voor Cloud Discovery

  • Artikel

Notitie

Microsoft Defender voor Cloud Apps maakt nu deel uit van Microsoft Defender XDR, die signalen correleert vanuit de Microsoft Defender-suite en biedt detectie, onderzoek en krachtige responsmogelijkheden op incidentniveau. Zie Microsoft Defender voor Cloud Apps in Microsoft Defender XDR voor meer informatie.

In dit artikel vindt u naslaginformatie over beleidsregels. Uitleg voor elk beleidstype en elke velden die voor elk beleid kunnen worden geconfigureerd, worden vermeld.

Naslaginformatie over beleid voor anomaliedetectie in Cloud Discovery

Met een beleid voor anomaliedetectie van Cloud Discovery kunt u continue bewaking van ongebruikelijke toenames in het gebruik van cloudtoepassingen instellen en configureren. Toename van gedownloade gegevens, geüploade gegevens, transacties en gebruikers worden overwogen voor elke cloudtoepassing. Elke toename wordt vergeleken met het normale gebruikspatroon van de toepassing, zoals vastgesteld op basis van eerder gebruik. Bij zeer sterke toenamen wordt er een beveiligingswaarschuwing geactiveerd.

Voor elk beleid stelt u filters in waarmee u het gebruik van toepassingen selectief kunt bewaken. Filters bevatten een toepassingsfilter, geselecteerde gegevensweergaven en een geselecteerde begindatum. U kunt ook de gevoeligheid instellen om op te geven hoeveel waarschuwingen het beleid moet activeren.

  1. Ga in de Microsoft Defender-portal onder Cloud-apps naar Beleid -> Beleidsbeheer. Selecteer vervolgens het tabblad Schaduw-IT .

  2. Selecteer Beleid maken en selecteer Anomaliedetectiebeleid voor Cloud Discovery.

    Create a Cloud Discovery policy.

Hiermee gaat u naar de pagina beleid voor anomaliedetectie voor Cloud Discovery maken.

Stel voor elk beleid de volgende parameters in:

  1. Bepaal of u het beleid wilt baseren op een sjabloon. Een relevante beleidssjabloon is het afwijkende gedrag in de gedetecteerde gebruikerssjabloon . Er wordt een waarschuwing weergegeven wanneer afwijkend gedrag wordt gedetecteerd in gedetecteerde gebruikers en apps, zoals: grote hoeveelheden geüploade gegevens vergeleken met andere gebruikers, grote gebruikerstransacties in vergelijking met de geschiedenis van de gebruiker. U kunt ook het afwijkende gedrag van de sjabloon gedetecteerde IP-adressen selecteren. Deze sjabloon waarschuwt wanneer afwijkend gedrag wordt gedetecteerd in gedetecteerde IP-adressen en apps, zoals: grote hoeveelheden geüploade gegevens vergeleken met andere IP-adressen, grote app-transacties vergeleken met de geschiedenis van het IP-adres.

    Select policy template.

  2. Geef een beleidsnaam en beschrijving op.

    Select policy name and description.

  3. Maak een filter voor de apps die u wilt bewaken door Een filter selecteren te selecteren. U kunt een filter selecteren op app-tag, apps en domein, categorie, verschillende risicofactoren of risicoscore. Als u extra filters wilt maken, selecteert u Een filter toevoegen.

    Select filter for apps.

  4. Stel onder Toepassen op in hoe het gebruik moet worden gefilterd. Het gebruik dat wordt bewaakt kan op twee manieren worden gefilterd:

    • Doorlopende rapporten: selecteer of u alle doorlopende rapporten wilt bewaken (standaard) of kies Specifieke doorlopende rapporten die u wilt bewaken.

      • Als u voor alle doorlopende rapporten kiest, wordt elke gebruikstoename vergeleken met het normale gebruikspatroon zoals vastgesteld uit alle gegevensweergaven.
      • Wanneer u Specifieke doorlopende rapporten selecteert, wordt elke toename van het gebruik vergeleken met het normale gebruikspatroon. Het patroon wordt geleerd uit dezelfde gegevensweergave als waarin de toename is waargenomen.

    • Gebruikers en IP-adressen : elk cloudtoepassingsgebruik is gekoppeld aan een gebruiker, een IP-adres of beide.

      • Als u Gebruikers selecteert, wordt de koppeling van toepassingsgebruik met IP-adressen genegeerd.

      • Als u IP-adressen selecteert, wordt de koppeling van toepassingsgebruik met gebruikers genegeerd.

      • Als u gebruikers en IP-adressen (standaard) selecteert, worden beide koppelingen beschouwd, maar kunnen dubbele waarschuwingen worden weergegeven wanneer er een nauwe correspondentie is tussen gebruikers en IP-adressen.

    • Waarschuwingen alleen genereren voor verdachte activiteiten die zich voordoen: elke toename van het toepassingsgebruik vóór de geselecteerde datum wordt genegeerd. Activiteit van vóór de geselecteerde datum wordt echter geleerd om het normale gebruikspatroon vast te stellen.

      Select usage to apply.

  5. Onder Waarschuwingen kunt u de gevoeligheid voor waarschuwingen instellen. Er zijn verschillende manieren om het aantal waarschuwingen te beheren dat wordt geactiveerd door het beleid:

    • De schuifregelaar Select anomaly detection sensitivity (Gevoeligheid voor anomaliedetectie selecteren) waarschuwt voor de belangrijkste X afwijkende activiteiten per 1000 gebruikers per week. De waarschuwingen worden geactiveerd voor de activiteiten met het hoogste risico.

    • Selecteer Een waarschuwing maken voor elke overeenkomende gebeurtenis met de ernst van het beleid om aanvullende parameters voor de waarschuwing in te stellen:

      • Waarschuwing verzenden als e-mail - Als u dit selectievakje inschakelt, voert u e-mailadressen in die de waarschuwing moeten ontvangen. Er worden maximaal 500 e-mailberichten per e-mailadres per dag verzonden (opnieuw instellen om middernacht in de UTC-tijdzone.)
      • Dagelijkse waarschuwingslimiet : u kunt ervoor kiezen om het aantal waarschuwingen dat op één dag wordt gegenereerd, te beperken.
      • Waarschuwingen verzenden naar Power Automate : als u dit selectievakje inschakelt, kunt u een playbook kiezen om acties uit te voeren wanneer er een waarschuwing wordt gegenereerd.

    • Als u Opslaan als standaardinstellingen selecteert , worden uw keuzes voor de dagelijkse waarschuwingslimiet en e-mailinstellingen de standaardinstellingen van uw organisatie. Als u deze standaardinstellingen voor een nieuw beleid wilt invullen, selecteert u Standaardinstellingen herstellen.

      Select alert settings.

  6. Selecteer Maken.

  7. Net als bij alle beleidsregels kunt u het beleid bewerken, uitschakelen en inschakelen door op de drie puntjes aan het einde van de rij op de pagina Beleid te klikken. Wanneer u een beleid maakt, wordt dit standaard ingeschakeld.

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.