Создание политик действий приложений Microsoft Defender для облака
Политики действий позволяют применять широкий спектр автоматизированных процессов с помощью API поставщика приложений. Эти политики позволяют отслеживать определенные действия, выполняемые различными пользователями, либо неожиданно высокую частоту одного определенного типа действия.
После задания политики обнаружения действий она начинает создавать оповещения. Оповещения создаются только для действий, которые произошли после создания политики.
Примечание.
- Политики, которые активируют более 200 000 совпадений в день или 100 000 совпадений в течение 3 часов, могут быть отключены автоматически. Вы можете попробовать уточнить политики, добавив дополнительные фильтры или, если вы используете политики для создания отчетов, попробуйте сохранить их в качестве запросов .
- Может потребоваться до 15 минут после настройки новой политики для развертывания.
Настраиваемые оповещения
Политики действий позволяют отправлять настраиваемые оповещения или выполнять действия при обнаружении действий пользователей. Например, вы хотите каждый раз получать сведения о таких действиях:
- пользователь выполнил 70 неудачных попыток войти в систему в минуту;
- пользователь скачивает 7000 файлов;
- Пользователь вошел из незнакомой страны или региона
Вы можете задавать оповещения о действиях, которые будут отправляться вам или пользователю при возникновении этих событий, можно даже приостановить действие учетной записи пользователя до завершения расследования.
Чтобы создать политику действий, выполните следующую процедуру:
На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам управления> политиками. Затем перейдите на вкладку обнаружения угроз.
Щелкните Создание политики и выберите Политика действий.
Назначьте политике имя и описание. При необходимости можно использовать в качестве основы политики шаблон. Дополнительные сведения о шаблонах политик см. в статье Управление облачными приложениями с помощью политик.
Чтобы задать действия или другие метрики, активируемые этой политикой, используйте фильтры действий.
Чтобы включить только результаты, в которых указанное поле фильтра имеет значение, рекомендуется снова добавить то же поле с помощью теста. Например, при фильтрации по расположению не соответствует указанному списку стран или регионов, также добавляется фильтр для расположения. Кроме того, можно просмотреть результаты фильтра, выбрав "Изменить и просмотреть результаты". Например:
Если для фильтра задано значение не равно , а атрибут не существует в событии, событие не отфильтровывается. Например, фильтрация по тегу устройства не равно гибридному присоединению Microsoft Entra не отфильтровывает события, не содержащие тег устройства, даже если устройство присоединено к Microsoft Entra.
В случае гостевого пользователя могут возникнуть случаи, когда фильтр "Пользователь из группы " не распознает учетную запись по своему домену. Чтобы убедиться, что все гостевые пользователи включены, используйте внешних пользователей в качестве группы, если она соответствует вашим потребностям в политике.
В разделе "Создание фильтров для политики" выберите, когда будет активировано нарушение политики. Выберите триггер, когда одно действие соответствует фильтрам или только при обнаружении указанного числа повторяющихся действий .
- Если вы выберете параметр Repeated activity (Повторяющиеся действия), можно задать значение В одном приложении. Этот параметр активизирует совпадение политики, только если повторяющиеся действия выполняются в том же приложении. Например, 5 скачиваний из Box в течение 30 минут активируют соответствие политики.
Настройте Действия, которые требуется выполнить при обнаружении совпадения.
Рассмотрим следующие примеры:
Несколько неудачных попыток входа
Вы можете задать политику так, чтобы получать оповещения, когда в течение короткого времени осуществляется большое количество неудачных попыток входа. Для настройки такой политики выберите подходящий фильтр действий на странице New Activity Policy (Новая политика действия).
Под полем Фильтры событий настройте параметры, для которых будет активироваться оповещение.
Высокая частота скачиваний
Можно настроить политику для выдачи оповещения при наличии непредвиденного или нехарактерного уровня скачиваний. Для настройки такой политики в разделе Rate (Скорость) выберите параметры для активации оповещения.
Справочник по политикам действий
В этом разделе приводятся справочные сведения о политиках, содержащие пояснения по каждому типу политик и полям, которые можно настроить для каждой политики.
Политика действий — это политика, основанная на API, которая позволяет отслеживать действия организации в облаке. Политика учитывает более 20 фильтров метаданных файлов, включая тип устройства и расположение. На основании результатов политики могут выдаваться уведомления, а также может приостанавливаться право пользователей на использование облачного приложения. Каждая политика состоит из следующих элементов:
Фильтры действий — позволяют подробно задавать условия на основе метаданных.
Параметры соответствия действий — позволяют задать пороговое значение для количества повторений действия, при котором оно считается соответствующим политике. Укажите число повторяющихся действий, необходимых для соответствия политике. Например, задайте политику для оповещения при наличии 10 неудачных попыток входа в течение 2-минутного промежутка времени. По умолчанию параметры сопоставления действий вызывают совпадение для каждого отдельного действия, соответствующего всем фильтрам действий.
- С помощью повторяющегося действия можно задать число повторяющихся действий и продолжительность интервала времени, в котором учитываются действия. Вы также можете указать, что все действия должны выполняться тем же пользователем в том же облачном приложении.
Действия — политика предоставляет набор действий системы управления, которые могут применяться автоматически при обнаружении нарушений.
Следующие шаги
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.