Zasady wykrywania anomalii w usłudze Cloud Discovery
Zasady wykrywania anomalii w usłudze Cloud Discovery umożliwiają konfigurowanie i konfigurowanie ciągłego monitorowania nietypowych wzrostów użycia aplikacji w chmurze. Wzrost liczby pobranych danych, przekazanych danych, transakcji i użytkowników jest uwzględniany dla każdej aplikacji w chmurze. Każdy wzrost jest porównywany ze wzorcem normalnego użycia aplikacji określonym na podstawie przeszłego użycia aplikacji. Najbardziej skrajne wzrosty powodują wyzwalanie alertów zabezpieczeń.
W tym artykule opisano sposób tworzenia i konfigurowania zasad wykrywania anomalii odnajdywania w chmurze w usłudze Microsoft Defender dla Chmury Apps.
Ważne
Od sierpnia 2024 r. obsługa anomalii odnajdywania w chmurze dla aplikacji Microsoft Defender dla Chmury została wycofana. W związku z tym starsza procedura przedstawiona w tym artykule jest udostępniana wyłącznie do celów informacyjnych. Jeśli chcesz otrzymywać alerty zabezpieczeń podobne do wykrywania anomalii, wykonaj kroki opisane w artykule Tworzenie zasad odnajdywania aplikacji.
Tworzenie zasad odnajdywania aplikacji
Mimo że obsługa wykrywania anomalii w usłudze Cloud Discovery została wycofana, można otrzymywać podobne alerty zabezpieczeń, tworząc zasady odnajdywania aplikacji:
W witrynie Microsoft Defender Portal rozwiń sekcję Zasady aplikacji>w chmurze w menu po lewej stronie i wybierz pozycję Zarządzanie zasadami.
Na stronie Zasady wybierz kartę Shadow IT.
Rozwiń menu rozwijane Tworzenie zasad i wybierz opcję Zasady odnajdywania aplikacji.
Wybierz opcję Wyzwól dopasowanie zasad, jeśli wszystkie następujące elementy występują w tym samym dniu:
Skonfiguruj skojarzone filtry i ustawienia zgodnie z opisem w temacie Tworzenie zasad wykrywania anomalii.
(Starsza wersja) Tworzenie zasad wykrywania anomalii
Dla każdej zasady wykrywania anomalii należy ustawić filtry, które umożliwiają selektywne monitorowanie użycia aplikacji. Filtry są dostępne dla aplikacji, wybranych widoków danych i wybranej daty rozpoczęcia. Można również ustawić czułość i określić liczbę alertów wyzwalanych przez zasady.
Postępuj zgodnie z instrukcjami, aby utworzyć zasady wykrywania anomalii w usłudze Cloud Discovery:
W witrynie Microsoft Defender Portal rozwiń sekcję Zasady aplikacji>w chmurze w menu po lewej stronie i wybierz pozycję Zarządzanie zasadami.
Na stronie Zasady wybierz kartę Shadow IT.
Rozwiń menu rozwijane Tworzenie zasad i wybierz opcję Zasady wykrywania anomalii rozwiązania Cloud Discovery:
Zostanie otwarta strona Tworzenie zasad wykrywania anomalii rozwiązania Cloud Discovery, na której można skonfigurować parametry dla zasad do utworzenia.
Na stronie Tworzenie zasad wykrywania anomalii w usłudze Cloud Discovery opcja Szablon zasad zawiera listę szablonów, które można wybrać do użycia jako podstawa zasad. Domyślnie opcja jest ustawiona na Wartość Brak szablonu.
Jeśli chcesz oprzeć zasady na szablonie, rozwiń menu rozwijane i wybierz szablon:
Nietypowe zachowanie odnalezionych użytkowników: alerty w przypadku wykrycia nietypowego zachowania w odnalezionych użytkownikach i aplikacjach. Za pomocą tego szablonu można sprawdzić duże ilości przekazanych danych w porównaniu z innymi użytkownikami lub transakcjami dużych użytkowników w porównaniu z historią użytkownika.
Nietypowe zachowanie odnalezionych adresów IP: alerty w przypadku wykrycia nietypowego zachowania w odnalezionych adresach IP i aplikacjach. Za pomocą tego szablonu można sprawdzić duże ilości przekazanych danych w porównaniu z innymi adresami IP lub dużymi transakcjami aplikacji w porównaniu z historią adresu IP.
Na poniższej ilustracji przedstawiono sposób wybierania szablonu do użycia jako podstawy nowych zasad w portalu usługi Microsoft Defender:
Wprowadź nazwę zasad i opis nowych zasad.
Utwórz filtr dla aplikacji, które chcesz monitorować przy użyciu opcji Wybierz filtr .
Rozwiń menu rozwijane i wybierz opcję filtrowania wszystkich pasujących aplikacji według tagu aplikacji, aplikacji i domeny, kategorii, różnych czynników ryzyka lub oceny ryzyka.
Aby utworzyć więcej filtrów, wybierz pozycję Dodaj filtr.
Na poniższej ilustracji pokazano, jak wybrać filtr zasad, który ma być stosowany do wszystkich pasujących aplikacji w portalu usługi Microsoft Defender:
Skonfiguruj filtry użycia aplikacji w sekcji Zastosuj do :
Użyj pierwszego menu rozwijanego, aby wybrać sposób monitorowania raportów ciągłego użycia:
Wszystkie raporty ciągłe (wartość domyślna): Porównaj każdy wzrost użycia do wzorca normalnego użycia, jak pokazano na podstawie wszystkich widoków danych.
Konkretne raporty ciągłe: porównaj poszczególne wzrosty użycia ze wzorcem normalnego użycia. Wzorzec jest poznany w tym samym widoku danych, w którym zaobserwowano wzrost.
Użyj drugiego menu rozwijanego, aby określić monitorowane skojarzenia dla każdego użycia aplikacji w chmurze:
Użytkownicy: ignoruj skojarzenie użycia aplikacji z adresami IP.
Adresy IP: ignoruj skojarzenie użycia aplikacji z użytkownikami.
Użytkownicy, adresy IP (ustawienie domyślne): Monitoruj kojarzenie użycia aplikacji przez użytkowników i adresy IP. Ta opcja może generować zduplikowane alerty, gdy istnieje ścisła korespondencja między użytkownikami i adresami IP.
Na poniższej ilustracji przedstawiono sposób konfigurowania filtrów użycia aplikacji oraz daty rozpoczęcia tworzenia alertów użycia w portalu usługi Microsoft Defender:
W przypadku opcji Zgłoś alerty tylko dla podejrzanych działań występujących po tej opcji wprowadź datę rozpoczęcia tworzenia alertów użycia aplikacji.
Wszelkie wzrost użycia aplikacji przed określoną datą rozpoczęcia są ignorowane. Jednak dane aktywności użycia sprzed daty rozpoczęcia są poznane w celu ustalenia wzorca normalnego użycia.
W sekcji Alerty skonfiguruj ważność alertu i powiadomienia. Istnieje kilka sposobów kontrolowania liczby alertów wyzwalanych przez zasady:
Użyj suwaka Wybierz czułość wykrywania anomalii, aby wyzwolić alerty dla najważniejszych działań anomalii X na 1000 użytkowników tygodniowo. Wyzwalacz alertów dla działań o najwyższym ryzyku.
Wybierz opcję Utwórz alert dla każdego zgodnego zdarzenia z opcją ważności zasad i ustaw inne parametry alertu:
Wyślij alert jako wiadomość e-mail: wprowadź adresy e-mail dla wiadomości z alertami. Maksymalnie 500 wiadomości można wysłać na adres e-mail dziennie. Liczba resetuje się o północy w strefie czasowej UTC.
Dzienny limit alertów dla zasad: użyj menu rozwijanego i wybierz żądany limit. Ta opcja ogranicza liczbę alertów zgłaszanych w ciągu jednego dnia do określonej wartości.
Wysyłanie alertów do usługi Power Automate: wybierz podręcznik do uruchamiania akcji po wyzwoleniu alertu. Możesz również otworzyć nowy podręcznik, wybierając pozycję Utwórz podręcznik w usłudze Power Automate.
Aby ustawić domyślne ustawienia organizacji, aby używać wartości dziennego limitu alertów i ustawień poczty e-mail, wybierz pozycję Zapisz jako ustawienia domyślne.
Aby użyć domyślnych ustawień organizacji dla dziennego limitu alertów i ustawień poczty e-mail, wybierz pozycję Przywróć ustawienia domyślne.
Na poniższej ilustracji przedstawiono sposób konfigurowania alertów dotyczących zasad, w tym poufności, powiadomień e-mail i dziennego limitu w portalu Usługi Microsoft Defender:
Potwierdź wybrane opcje konfiguracji i wybierz pozycję Utwórz.
Praca z istniejącymi zasadami
Podczas tworzenia zasad jest ona domyślnie włączona. Możesz wyłączyć zasady i wykonywać inne akcje, takie jak Edytowanie i usuwanie.
Na stronie Zasady znajdź zasady do zaktualizowania na liście zasad.
Na liście zasad przewiń w prawo w wierszu zasad i wybierz pozycję Więcej opcji (...).
W menu podręcznym wybierz akcję do wykonania w zasadach.
Następny krok
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.