Dela via


Skapa aktivitetsprinciper för Microsoft Defender för Cloud Apps

Med aktivitetsprinciper kan du tillämpa en mängd olika automatiserade processer med appleverantörens API:er. Du kan övervaka specifika aktiviteter som utförs av olika användare eller följa oväntat höga nivåer av en viss typ av aktivitet.

När du ställer in en princip för identifiering av aktiviteter börjar den att skapa aviseringar. Aviseringar skapas endast om aktiviteter inträffar efter att du har skapat principen.

Kommentar

  • Principer som utlöser fler än 200 000 matchningar per dag, eller 100 000 matchningar per 3 timmar, kan inaktiveras automatiskt. Du kan prova att förfina principer genom att lägga till ytterligare filter eller, om du använder principer för rapporteringsändamål, överväga att spara dem som frågor i stället.
  • Det kan ta upp till 15 minuter från det att du konfigurerar en ny princip för distribution.

Anpassade aviseringar

Aktivitetsprinciper tillåter att anpassade aviseringar skickas eller åtgärder vidtas när användaraktivitet identifieras. Du vill till exempel veta varje gång:

  • En användare försöker logga in och misslyckas 70 gånger på en minut
  • En användare laddar ned 7 000 filer
  • En användare loggas in från ett okänt land/en okänd region

Du kan ange att aktivitetsaviseringar ska skickas till dig själv eller till användaren när dessa händelser inträffar. Du kan till och med pausa användaren tills du har undersökt vad som hände.

Följ den här proceduren om du vill skapa en ny aktivitetsprincip:

  1. I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Välj sedan fliken Hotidentifieringar .

  2. Klicka på Skapa princip och välj sedan Aktivitetsprincip.

    Skapa en princip för hotidentifiering.

  3. Ange ett namn och en beskrivning för principen. Om du vill kan du basera den på en principmall. Mer information om principmallar finns i Kontrollera molnappar med principer.

  4. Ange vilka åtgärder eller andra mått som ska utlösa principen genom att arbeta med Aktivitetsfilter.

    För att säkerställa att du endast inkluderar resultat där det angivna filterfältet har ett värde rekommenderar vi att du lägger till samma fält igen med hjälp av is set-testet . Om filtrering efter plats till exempel inte är lika med en angiven lista över länder/regioner, läggs även ett filter för Plats in. Du kan också förhandsgranska filterresultatet genom att välja Redigera och förhandsgranska resultat. Till exempel:

    Skärmbild av filterinställningar som visar att platsfältet har angetts.

    När ett filter är inställt på är inte lika med och attributet inte finns på händelsen filtreras inte händelsen bort. Filtrering på enhetstagg är till exempel inte lika med Microsoft Entra-hybridanslutningar filtrerar inte bort händelser som inte innehåller enhetstaggen, även om enheten är Microsoft Entra-ansluten.

    Om det gäller en gästanvändare kan det finnas fall där filtret Användare från grupp inte känner igen kontot av sin domän. Om du vill se till att alla gästanvändare inkluderas använder du externa användare som grupp om den uppfyller dina behov för principen.

  5. Under Skapa filter för principen väljer du när en principöverträdelse ska utlösas. Välj att utlösa när en enskild aktivitet matchar filtren eller bara när ett angivet antal upprepade aktiviteter identifieras.

    • Om du väljer Upprepad aktivitet kan du ange I en enda app. Den här inställningen utlöser endast en principmatchning när upprepade aktiviteter inträffar i samma app. Till exempel utlöser fem nedladdningar på 30 minuter från Box en principmatchning.
  6. Konfigurera de Åtgärder som ska vidtas när en matchning hittas.

Ta en titt på de här exemplen:

  • Flera misslyckade inloggningar

    Du kan ange en princip så att du får en avisering när ett stort antal misslyckade inloggningar inträffar inom en kort tidsperiod. Om du vill konfigurera den här typen av princip väljer du lämpligt aktivitetsfilter på sidan Ny aktivitetsprincip .

    Under fältet Aktivitetsfilter kan du konfigurera parametrarna som ska utlösa aviseringen.

    Principexempel för flera misslyckade inloggningsförsök.

  • Hög hämtningshastighet

    Du kan konfigurera principen så att du får en avisering när hämtningsaktiviteten har nått en oväntad eller okaraktäristisk nivå. Om du vill konfigurera den här typen av princip under Frekvensparametrar väljer du parametrarna för att utlösa aviseringen.

    exempel på hög nedladdningshastighet.

Referens till aktivitetsprinicp

Det här avsnittet innehåller referensinformation om principer, förklaringar för varje principtyp och de fält som kan konfigureras för varje princip.

En aktivitetsprincip är en API-baserad princip som gör att du kan övervaka organisationens aktiviteter i molnet. Principen tar hänsyn till över 20 filmetadatafilter, inklusive enhetstyp och plats. Baserat på principresultaten kan aviseringar genereras och användare kan stängas av från molnappen. Varje princip består av följande delar:

  • Aktivitetsfilter – Gör att du kan skapa detaljerade villkor baserat på metadata.

  • Aktivitetsmatchningsparametrar - Ger dig möjlighet att ange ett tröskelvärde för antalet gånger en aktivitet kan upprepas för att anses matcha principen. Ange antalet upprepade aktiviteter som krävs för att matcha principen. Ange till exempel en princip för avisering när en användare har 10 misslyckade inloggningsförsök inom en tidsram på 2 minuter. Som standard genererar parametrar för aktivitetsmatchning en matchning för varje enskild aktivitet som uppfyller alla aktivitetsfilter.

    • Med upprepad aktivitet kan du ange antalet upprepade aktiviteter, varaktigheten för den tidsperiod då aktiviteterna räknas. Du kan också ange att alla aktiviteter ska utföras av samma användare och i samma molnapp.
  • Åtgärder – Principen innehåller en uppsättning styrningsåtgärder som kan tillämpas automatiskt när överträdelser identifieras.

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.