Udostępnij za pośrednictwem


Tworzenie zasad działań Microsoft Defender dla Chmury Apps

Zasady działań umożliwiają wymuszanie szerokiego zakresu zautomatyzowanych procesów przy użyciu interfejsów API dostawcy aplikacji. Zasady te pozwalają monitorować konkretne działania przeprowadzone przez różnych użytkowników lub podążyć za zaskakująco wysokimi wskaźnikami związanymi z konkretnym typem działania.

Po ustawieniu zasady wykrywania działań rozpoczynają generowania alertów. Dotyczą one tylko działań, które wystąpią po utworzeniu zasad.

Uwaga

  • Zasady wyzwalające ponad 200 000 dopasowań dziennie lub 100 000 dopasowań na 3 godziny mogą być automatycznie wyłączone. Możesz spróbować udoskonalić zasady, dodając dodatkowe filtry lub, jeśli używasz zasad do celów raportowania, rozważ zapisanie ich jako zapytań .
  • Skonfigurowanie nowych zasad do wdrożenia może potrwać do 15 minut.

Alerty niestandardowe

Zasady działań umożliwiają wysyłanie alertów niestandardowych lub wykonywanie akcji po wykryciu aktywności użytkownika. Na przykład chcesz wiedzieć za każdym razem:

  • Użytkownik próbuje się zalogować i kończy się niepowodzeniem 70 razy w ciągu jednej minuty
  • Użytkownik pobiera 7000 plików
  • Użytkownik jest zalogowany z nieznanego kraju/regionu

Możesz ustawić alerty aktywności, które mają być wysyłane do siebie lub do użytkownika, gdy wystąpią te zdarzenia. Możesz nawet zawiesić użytkownika, dopóki nie skończysz badać, co się stało.

Aby utworzyć nowe zasady dotyczące działań, wykonaj poniższą procedurę:

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami. Następnie wybierz kartę Wykrywanie zagrożeń.

  2. Kliknij pozycję Utwórz zasadę i wybierz pozycję Zasady działań.

    Utwórz zasady wykrywania zagrożeń.

  3. Nazwij i opisz zasady. W razie potrzeby możesz skorzystać z szablonu. Aby uzyskać więcej informacji na temat szablonów zasad, zobacz Kontrola aplikacji w chmurze za pomocą zasad.

  4. Aby ustawić akcje lub inne metryki, które wyzwolą tę zasadę, użyj opcji Filtry działań.

    Aby upewnić się, że uwzględniasz tylko wyniki, w których określone pole filtru ma wartość, zalecamy ponowne dodanie tego samego pola przy użyciu testu ustawionego. Na przykład podczas filtrowania według lokalizacji nie jest równa określonej liście krajów/regionów, należy również dodać filtr lokalizacji jest ustawiony. Możesz również wyświetlić podgląd wyników filtru, wybierając pozycję Edytuj i wyświetl podgląd wyników. Na przykład:

    Zrzut ekranu przedstawiający ustawienia filtru z ustawionym polem lokalizacji.

    Jeśli filtr jest ustawiony na wartość nie jest równy i atrybut nie istnieje w zdarzeniu, zdarzenie nie zostanie odfiltrowane. Na przykład filtrowanie tagu urządzenia nie jest równe dołączone hybrydowo do firmy Microsoft Entra, nie filtruje zdarzeń, które nie zawierają tagu Urządzenia, nawet jeśli urządzenie jest przyłączone do firmy Microsoft Entra.

    W przypadku użytkownika-gościa mogą wystąpić przypadki, w których filtr User From Group nie rozpoznaje konta według swojej domeny. Aby upewnić się, że wszyscy użytkownicy-goście są dołączeni, użyj użytkowników zewnętrznych jako grupy, jeśli spełnia twoje wymagania dotyczące zasad.

  5. W obszarze Tworzenie filtrów dla zasad wybierz, kiedy zostanie wyzwolone naruszenie zasad. Wybierz opcję wyzwalania, gdy pojedyncze działanie jest zgodne z filtrami lub tylko wtedy, gdy zostanie wykryta określona liczba powtórzonych działań .

    • W przypadku wybrania opcji Powtarzające się działanie można ustawić w jednej aplikacji. To ustawienie spowoduje wyzwolenie dopasowania zasad tylko wtedy, gdy powtarzające się działania wystąpią w tej samej aplikacji. Na przykład pięć pobrań w ciągu 30 minut od usługi Box wyzwala dopasowanie zasad.
  6. Skonfiguruj Akcje, które powinny zostać wykonane w przypadku znalezienia dopasowania.

Spójrz na poniższe przykłady:

  • Wiele zakończonych niepowodzeniem prób zalogowania

    Zasady można ustawić tak, aby otrzymywać alert w przypadku wystąpienia dużej liczby nieudanych logowań w krótkim czasie. Aby skonfigurować tego rodzaju zasady, wybierz odpowiedni filtr działań na stronie Nowe zasady działania.

    Poniżej pola Filtry działań skonfiguruj parametry, dla których zostanie wyzwolony alert.

    Przykład zasad dla wielu nieudanych prób logowania.

  • Intensywne pobieranie

    Zasady można ustawić w taki sposób, aby otrzymać alert w przypadku działania pobierania, które jest nieoczekiwane lub osiągnęło nietypowy poziom. Aby skonfigurować tego rodzaju zasady, w obszarze Parametry stawki wybierz parametry do wyzwolenia alertu.

    przykład wysokiej szybkości pobierania.

Dokumentacja zasad działania

Ta sekcja zawiera szczegółowe informacje o zasadach, wyjaśnieniach dla każdego typu zasad oraz polach, które można skonfigurować dla poszczególnych zasad.

Zasady działania to zasady oparte na interfejsie API, które umożliwiają monitorowanie działań organizacji w chmurze. Zasady uwzględniają ponad 20 filtrów metadanych plików, w tym typ urządzenia i lokalizację. W oparciu o wyniki zasad mogą być generowane powiadomienia, a użytkownicy mogą być zawieszani w aplikacji w chmurze. Każde zasady składają się z następujących elementów:

  • Filtry działań — umożliwia tworzenie szczegółowych warunków na podstawie metadanych.

  • Parametry dopasowania działania — umożliwiają ustawienie progu z liczbą powtórzeń działania, po których zostanie ono uznane za działanie objęte zasadami. Określ liczbę powtórzeń działań wymaganych do dopasowania zasad. Na przykład ustaw zasady, aby otrzymywać alerty, gdy użytkownik ma 10 nieudanych prób logowania w 2-minutowym przedziale czasu. Domyślnie parametry dopasowania działania zgłaszają dopasowanie dla każdego pojedynczego działania spełniającego wszystkie filtry działań.

    • Za pomocą powtarzanego działania można ustawić liczbę powtórzonych działań, czas trwania, w którym są liczone działania. Można również określić, że wszystkie działania powinny być wykonywane przez tego samego użytkownika i w tej samej aplikacji w chmurze.
  • Akcje — zasady udostępniają zestaw akcji ładu, które można automatycznie zastosować w przypadku wykrycia naruszeń.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.