Поделиться через

Политика обнаружения аномалий в облаке

  • Статья

Политика обнаружения аномалий в облаке позволяет настроить и настроить непрерывный мониторинг необычного увеличения использования облачных приложений. Для каждого облачного приложения учитывается увеличение объема скачанных и отправленных данных, числа транзакций и пользователей. Каждое увеличение сравнивается с шаблоном обычного использования для этого приложения, установленным из предыдущего опыта работы с приложением. Наиболее экстремальные увеличения активируют оповещения системы безопасности.

В этой статье описывается создание и настройка политики обнаружения аномалий облачного обнаружения в приложениях Microsoft Defender для облака.

Внимание

Начиная с августа 2024 года поддержка аномалий облачного обнаружения для приложений Microsoft Defender для облака прекращена. Таким образом, устаревшая процедура, представленная в этой статье, предоставляется только в информационных целях. Если вы хотите получать оповещения системы безопасности, аналогичные обнаружению аномалий, выполните действия, описанные в статье "Создание политики обнаружения приложений".

Создание политики обнаружения приложений

Хотя поддержка обнаружения аномалий облачного обнаружения прекращена, вы можете получать аналогичные оповещения системы безопасности, создав политику обнаружения приложений:

  1. На портале Microsoft Defender разверните раздел "Политики облачных приложений>" в меню слева и выберите управление политиками.

  2. На странице "Политики" выберите вкладку "Тень ИТ-специалистов".

  3. Разверните раскрывающееся меню "Создать политику" и выберите параметр политики обнаружения приложений.

  4. Выберите совпадение политики триггера, если все указанные ниже параметры выполняются в один день :

    Снимок экрана, на котором показано, как выбрать параметр

  5. Настройте связанные фильтры и параметры, как описано в статье "Создание политики обнаружения аномалий".

(Устаревшая версия) Создание политики обнаружения аномалий

Для каждой политики обнаружения аномалий можно задать фильтры, позволяющие выборочно отслеживать использование приложений. Фильтры доступны для приложения, выбранных представлений данных и выбранной даты начала. Вы также можете задать чувствительность и указать количество оповещений для запуска политики.

Выполните действия, чтобы создать политику обнаружения аномалий в облаке:

  1. На портале Microsoft Defender разверните раздел "Политики облачных приложений>" в меню слева и выберите управление политиками.

  2. На странице "Политики" выберите вкладку "Тень ИТ-специалистов".

  3. Разверните раскрывающееся меню "Создать политику" и выберите параметр политики обнаружения аномалий Cloud Discovery:

    Снимок экрана, на котором показано, как выбрать параметр для создания новой политики обнаружения аномалий облачного обнаружения.

    Откроется страница политики обнаружения аномалий Cloud Discovery, в которой вы настраиваете параметры для создаваемой политики.

  4. На странице политики обнаружения аномалий Create Cloud Discovery параметр шаблона политики содержит список шаблонов, которые можно выбрать в качестве базы для политики. По умолчанию параметр имеет значение No template.

    Если вы хотите создать политику в шаблоне, разверните раскрывающееся меню и выберите шаблон:

    • Аномальное поведение в обнаруженных пользователях: оповещения при обнаружении аномального поведения в обнаруженных пользователях и приложениях. Этот шаблон можно использовать для проверки больших объемов отправленных данных по сравнению с другими пользователями или большими транзакциями пользователей по сравнению с историей пользователя.

    • Аномальное поведение обнаруженных IP-адресов: оповещения при обнаружении аномального поведения в обнаруженных IP-адресах и приложениях. Этот шаблон можно использовать для проверки больших объемов отправленных данных по сравнению с другими IP-адресами или большими транзакциями приложений по сравнению с журналом IP-адресов.

    На следующем рисунке показано, как выбрать шаблон для использования в качестве основы для новой политики на портале Microsoft Defender:

    Снимок экрана: выбор шаблона для использования в качестве основы для новой политики.

  5. Введите имя политики и описание новой политики.

  6. Создайте фильтр для приложений, которые вы хотите отслеживать, с помощью параметра "Выбрать фильтр ".

    • Разверните раскрывающееся меню и выберите фильтровать все соответствующие приложения по тегу приложения, приложениям и домену, категории, различным факторам риска или оценке риска.

    • Чтобы создать дополнительные фильтры, нажмите кнопку "Добавить фильтр".

    На следующем рисунке показано, как выбрать фильтр для политики для применения ко всем соответствующим приложениям на портале Microsoft Defender:

    Снимок экрана: выбор фильтра для политики для применения ко всем соответствующим приложениям.

  7. Настройте фильтры использования приложения в разделе "Применить к разделу"

    1. Используйте первое раскрывающееся меню, чтобы выбрать, как отслеживать отчеты о непрерывном использовании:

      • Все непрерывные отчеты (по умолчанию): сравните каждое увеличение использования с обычным шаблоном использования, как показано на основе всех представлений данных.

      • Конкретные непрерывные отчеты: сравнивайте каждое увеличение использования с обычным шаблоном использования. Шаблон научился из того же представления данных, где наблюдалось увеличение.

    2. Используйте второе раскрывающееся меню, чтобы указать отслеживаемые связи для каждого использования облачных приложений:

      • Пользователи: игнорируйте связь использования приложений с IP-адресами.

      • IP-адреса. Игнорируйте связь использования приложений с пользователями.

      • Пользователи , IP-адреса (по умолчанию): мониторинг связи использования приложений пользователями и IP-адресами. Этот параметр может создавать повторяющиеся оповещения, если между пользователями и IP-адресами существует жесткое соответствие.

    На следующем рисунке показано, как настроить фильтры использования приложений и дату начала для повышения оповещений об использовании на портале Microsoft Defender:

    Снимок экрана, на котором показано, как настроить фильтры использования приложения и дату начала для создания оповещений об использовании.

  8. Для оповещений о вызове оповещений только для подозрительных действий, возникающих после параметра, введите дату начала создания оповещений об использовании приложения.

    Любое увеличение использования приложения до указанной даты начала игнорируется. Однако данные об активности использования с даты начала научились устанавливать обычный шаблон использования.

  9. В разделе "Оповещения" настройте конфиденциальность оповещений и уведомления. Существует несколько способов управления количеством оповещений, инициируемых политикой:

    • Используйте ползунок "Выбор конфиденциальности обнаружения аномалий", чтобы активировать оповещения для лучших аномальных действий X на 1000 пользователей в неделю. Триггер оповещений для действий с наибольшим риском.

    • Выберите оповещение для каждого соответствующего события с параметром серьезности политики и задайте другие параметры для оповещения:

      • Отправьте оповещение в виде электронной почты: введите адреса электронной почты для сообщений оповещений. Не более 500 сообщений можно отправлять по адресу электронной почты в день. Счетчик сбрасывается в полночь в часовом поясе UTC.

      • Ежедневное ограничение оповещений для каждой политики: используйте раскрывающееся меню и выберите требуемое ограничение. Этот параметр ограничивает количество оповещений, вызванных в один день, указанным значением.

      • Отправка оповещений в Power Automate: выберите сборник схем для выполнения действий при активации оповещений. Вы также можете открыть новую книгу схем, выбрав "Создать сборник схем" в Power Automate.

    • Чтобы задать параметры вашей организации по умолчанию, чтобы использовать значения для ограничения ежедневного оповещения и параметров электронной почты, нажмите кнопку "Сохранить в качестве параметров по умолчанию".

    • Чтобы использовать параметры по умолчанию вашей организации для ограничения ежедневных оповещений и параметров электронной почты, выберите "Восстановить параметры по умолчанию".

    На следующем рисунке показано, как настроить оповещения для политики, включая конфиденциальность, Уведомления по электронной почте и ежедневное ограничение на портале Microsoft Defender:

    Снимок экрана: настройка оповещений, включая конфиденциальность, электронную почту и ежедневное ограничение.

  10. Подтвердите варианты конфигурации и нажмите кнопку "Создать".

Работа с существующей политикой

При создании политики она включена по умолчанию. Вы можете отключить политику и выполнить другие действия, такие как изменение и удаление.

  1. На странице "Политики" найдите политику для обновления в списке политик.

  2. В списке политик прокрутите страницу справа в строке политики и выберите дополнительные параметры (...).

  3. В всплывающем меню выберите действие для выполнения политики.

Следующий шаг

Ознакомьтесь с рекомендациями по защите организации

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.