Princip för avvikelseidentifiering för molnidentifiering

Med en avvikelseidentifieringsprincip för molnidentifiering kan du konfigurera kontinuerlig övervakning av ovanliga ökningar av användningen av molnprogram. Ökningar av nedladdade data, uppladdade data, transaktioner och användare beaktas för varje molnprogram. Varje ökning jämförs med det vanliga användningsmönstret för appen som registrerats från tidigare användning. Extrema ökningar utlöser säkerhetsaviseringar.

I den här artikeln beskrivs hur du skapar och konfigurerar en princip för avvikelseidentifiering i molnet i Microsoft Defender för Molnappar.

Viktigt!

Från och med augusti 2024 har avvikelsestöd för molnidentifiering för Microsoft Defender för Cloud Apps dragits tillbaka. Därför tillhandahålls det äldre förfarande som presenteras i den här artikeln endast i informationssyfte. Om du vill få säkerhetsaviseringar som liknar avvikelseidentifiering slutför du stegen i Skapa appidentifieringsprincip.

Skapa appidentifieringsprincip

Även om stödet för avvikelseidentifiering i molnet har dragits tillbaka kan du få liknande säkerhetsaviseringar genom att skapa en appidentifieringsprincip:

1. I Microsoft Defender-portalen expanderar du avsnittet Molnappars>principer på den vänstra menyn och väljer Principhantering.

2. På sidan Principer väljer du fliken Skugg-IT.

3. Expandera listrutan Skapa princip och välj alternativet Appidentifieringsprincip.

4. Välj alternativet Utlösa en principmatchning om allt följande inträffar samma dag:

   

5. Konfigurera associerade filter och inställningar enligt beskrivningen i Skapa en princip för avvikelseidentifiering.

(Äldre) Skapa princip för avvikelseidentifiering

För varje princip för avvikelseidentifiering anger du filter som gör att du selektivt kan övervaka programanvändningen. Filter är tillgängliga för programmet, valda datavyer och ett valt startdatum. Du kan också ange känsligheten och ange hur många aviseringar som principen ska utlösa.

Följ stegen för att skapa en princip för avvikelseidentifiering för molnidentifiering:

1. I Microsoft Defender-portalen expanderar du avsnittet Molnappars>principer på den vänstra menyn och väljer Principhantering.

2. På sidan Principer väljer du fliken Skugg-IT.

3. Expandera listrutan Skapa princip och välj alternativet Cloud Discovery-princip för avvikelseidentifiering:

   

   Sidan Skapa cloud discovery-princip för avvikelseidentifiering öppnas, där du konfigurerar parametrar för principen som ska skapas.

4. På sidan Skapa cloud discovery-princip för avvikelseidentifiering innehåller alternativet Principmall en lista över mallar som du kan välja mellan för att använda som bas för principen. Som standard är alternativet inställt på Ingen mall.

   Om du vill basera principen på en mall expanderar du den nedrullningsbara menyn och väljer en mall:

   • Avvikande beteende hos identifierade användare: Aviseringar när avvikande beteende identifieras i identifierade användare och appar. Du kan använda den här mallen för att söka efter stora mängder uppladdade data jämfört med andra användare eller stora användartransaktioner jämfört med användarens historik.

   • Avvikande beteende för identifierade IP-adresser: Aviseringar när avvikande beteende identifieras i identifierade IP-adresser och appar. Du kan använda den här mallen för att söka efter stora mängder uppladdade data jämfört med andra IP-adresser eller stora apptransaktioner jämfört med IP-adressens historik.

   Följande bild visar hur du väljer en mall som ska användas som bas för den nya principen i Microsoft Defender-portalen:

   

5. Ange ett principnamn och en beskrivning för den nya principen.

6. Skapa ett filter för de appar som du vill övervaka med alternativet Välj ett filter .

   • Expandera den nedrullningsbara menyn och välj att filtrera alla matchande appar efter apptagg, appar och domän, kategori, olika riskfaktorer eller riskpoäng.

   • Om du vill skapa fler filter väljer du Lägg till ett filter.

   Följande bild visar hur du väljer ett filter för principen som ska tillämpas på alla matchande program i Microsoft Defender-portalen:

   

7. Konfigurera filter för programanvändning i avsnittet Tillämpa på:

   1. Använd den första nedrullningsbara menyn för att välja hur du ska övervaka rapporter om kontinuerlig användning:

      • Alla kontinuerliga rapporter (standard): Jämför varje användningsökning med det normala användningsmönstret enligt alla datavyer.

      • Specifika kontinuerliga rapporter: Jämför varje användningsökning med det normala användningsmönstret. Mönstret lärs från samma datavy där ökningen observerades.

   2. Använd den andra listrutan för att ange övervakade associationer för varje användning av molnprogram:

      • Användare: Ignorera associationen mellan programanvändning och IP-adresser.

      • IP-adresser: Ignorera associationen mellan programanvändning och användare.

      • Användare, IP-adresser (standard): Övervaka associerad programanvändning av användare och IP-adresser. Det här alternativet kan skapa dubbletter av aviseringar när det finns en nära korrespondens mellan användare och IP-adresser.

   Följande bild visar hur du konfigurerar programanvändningsfilter och startdatumet för att skapa användningsaviseringar i Microsoft Defender-portalen:

   

8. För alternativet Skapa aviseringar endast för misstänkta aktiviteter som inträffar efter anger du datumet då programanvändningsaviseringar ska börja höjas.

   Alla ökningar av programanvändningen före det angivna startdatumet ignoreras. Men användningsaktivitetsdata från före startdatumet lärs för att upprätta det normala användningsmönstret.

9. I avsnittet Aviseringar konfigurerar du aviseringskänsligheten och aviseringarna. Det finns flera sätt att styra antalet aviseringar som utlöses av principen:

   • Använd skjutreglaget Välj känslighet för avvikelseidentifiering för att utlösa aviseringar för de främsta X-avvikande aktiviteterna per 1 000 användare per vecka. Aviseringar utlöses för aktiviteter med den högsta risken.

   • Välj alternativet Skapa en avisering för varje matchande händelse med principens allvarlighetsgrad och ange andra parametrar för aviseringen:

     • Skicka avisering som e-post: Ange e-postadresserna för aviseringsmeddelanden. Högst 500 meddelanden kan skickas per e-postadress per dag. Antalet återställs vid midnatt i UTC-tidszonen.

     • Daglig aviseringsgräns per princip: Använd den nedrullningsbara menyn och välj önskad gräns. Det här alternativet begränsar antalet aviseringar som genereras en enda dag till det angivna värdet.

     • Skicka aviseringar till Power Automate: Välj en spelbok för att köra åtgärder när en avisering utlöses. Du kan också öppna en ny spelbok genom att välja Skapa en spelbok i Power Automate.

   • Om du vill ange din organisations standardinställningar för att använda dina värden för inställningarna för daglig avisering och e-post väljer du Spara som standardinställningar.

   • Om du vill använda din organisations standardinställningar för den dagliga aviseringsgränsen och e-postinställningarna väljer du Återställ standardinställningar.

   Följande bild visar hur du konfigurerar aviseringar för principen, inklusive känslighet, e-postmeddelanden och en daglig gräns i Microsoft Defender-portalen:

   

10. Bekräfta konfigurationsalternativen och välj Skapa.

Arbeta med en befintlig princip

När du skapar en princip aktiveras den som standard. Du kan inaktivera en princip och utföra andra åtgärder som Redigera och Ta bort.

1. På sidan Principer letar du upp principen som ska uppdateras i listan över principer.

2. I listan över principer bläddrar du till höger på principraden och väljer Fler alternativ (...).

3. På popup-menyn väljer du den åtgärd som ska utföras på principen.

Gå vidare

Utforska metodtips för att skydda din organisation

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.