Princip för Cloud Discovery-avvikelseidentifiering

  • Artikel

Den här artikeln innehåller referensinformation om principer. Förklaringar för varje principtyp och fält som kan konfigureras för varje princip visas.

Cloud Discovery-princip för avvikelseidentifiering – Tidslinje för utfasning

Vi kommer att dra tillbaka stödet för "Cloud Discovery-avvikelse" från Microsoft Defender för molnet Apps i juli 2024.

Efter noggrann analys och övervägande har vi beslutat att inaktuella den på grund av den höga andelen falska positiva identifieringar som är associerade med den här aviseringen, som vi upptäckte inte bidrog effektivt till organisationens övergripande säkerhet.

Vår forskning visade att den här funktionen inte tillförde betydande värde och inte var i linje med vårt strategiska fokus på att leverera högkvalitativa och tillförlitliga säkerhetslösningar.

Vi strävar efter att kontinuerligt förbättra våra tjänster och se till att de uppfyller dina behov och förväntningar.

För dem som vill fortsätta att använda den här aviseringen föreslår vi att du använder "Appidentifieringsprincip" och under "Utlösa en principmatchning om alla följande inträffar samma dag" anger du filtren på ett lämpligt sätt.

Principreferens för Cloud Discovery-avvikelseidentifiering

Med en princip för avvikelseidentifiering i Cloud Discovery kan du konfigurera kontinuerlig övervakning av ovanliga ökningar av användningen av molnprogram. Ökningar av nedladdade data, uppladdade data, transaktioner och användare beaktas för varje molnprogram. Varje ökning jämförs med det vanliga användningsmönstret för appen som registrerats från tidigare användning. Extrema ökningar utlöser säkerhetsaviseringar.

För varje princip anger du filter som gör att du selektivt kan övervaka programanvändningen. Filter inkluderar ett programfilter, valda datavyer och ett valt startdatum. Du kan även ange känslighet, som gör det möjligt att ange hur många aviseringar som ska utlösas av principen.

  1. I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Välj sedan fliken Skugg-IT.

  2. Välj Skapa princip och välj Cloud Discovery-princip för avvikelseidentifiering.

    Skapa en Cloud Discovery-princip.

Då kommer du till sidan Skapa princip för avvikelseidentifiering i Cloud Discovery.

Ange följande parametrar för varje princip:

  1. Bestäm om du vill basera principen på en mall. En relevant principmall är mallen Avvikande beteende i identifierade användare . Den varnar när avvikande beteende identifieras i identifierade användare och appar, till exempel: stora mängder uppladdade data jämfört med andra användare, stora användartransaktioner jämfört med användarens historik. Du kan också välja mallen Avvikande beteende för identifierade IP-adresser . Den här mallen aviserar när avvikande beteende identifieras i identifierade IP-adresser och appar, till exempel: stora mängder uppladdade data jämfört med andra IP-adresser, stora apptransaktioner jämfört med IP-adressens historik.

    Välj principmall.

  2. Ange Principnamn och Beskrivning.

    Välj principnamn och beskrivning.

  3. Skapa ett filter för de appar som du vill övervaka genom att välja Välj ett filter. Du kan välja ett filter efter apptagg, appar och domän, kategori, olika riskfaktorer eller riskpoäng. Om du vill skapa ytterligare filter väljer du Lägg till ett filter.

    Välj filter för appar.

  4. Under Verkställ för, anger du hur användningen ska filtreras. Du kan filtrera användningen som övervakas på två olika sätt:

    • Kontinuerliga rapporter – Välj om du vill övervaka Alla kontinuerliga rapporter (standard) eller välj Specifika kontinuerliga rapporter att övervaka.

      • Om du väljer All continuous reports (Alla kontinuerliga rapporter) jämförs varje användningsökning med det vanliga användningsmönstret som registrerats från alla datavisningar.
      • När du väljer Specifika kontinuerliga rapporter jämförs varje användningsökning med det normala användningsmönstret. Mönstret lärs från samma datavy som ökningen observerades i.

    • Användare och IP-adresser – Varje användning av molnprogram associeras antingen med en användare, en IP-adress eller både och.

      • Om du väljer Användare ignoreras associationen av programanvändning med IP-adresser.

      • Om du väljer IP-adresser ignoreras associationen mellan programanvändning och användare.

      • Att välja Användare och IP-adresser (standard) tar hänsyn till båda associationerna, men kan generera dubbletter av aviseringar när det finns en nära korrespondens mellan användare och IP-adresser.

    • Skapa endast aviseringar för misstänkta aktiviteter som inträffar efter – Eventuell ökning av programanvändningen innan det valda datumet ignoreras. Aktiviteten från före det valda datumet lärs dock att upprätta det normala användningsmönstret.

      Välj användning som ska användas.

  5. Under Aviseringar kan du ange aviseringskänsligheten. Det finns flera sätt att styra antalet aviseringar som utlöses av principen:

    • Skjutreglaget för att välja avvikelseidentifieringskänslighet – Utlöser aviseringar för de X främsta avvikande aktiviteterna per 1 000 användare per vecka. Aviseringarna utlöses för aktiviteter med den högsta risken.

    • Välj Skapa en avisering för varje matchande händelse med principens allvarlighetsgrad för att ange ytterligare parametrar för aviseringen:

      • Skicka avisering som e-post – Om du markerar den här kryssrutan anger du alla e-postadresser som ska ta emot aviseringen. Högst 500 e-postmeddelanden skickas per e-postadress per dag (återställs vid midnatt i UTC-tidszonen.)
      • Daglig aviseringsgräns – Du kan välja att begränsa antalet aviseringar som genereras en enda dag.
      • Skicka aviseringar till Power Automate – Om du markerar den här kryssrutan kan du välja en spelbok för att köra åtgärder när en avisering aktiveras.

    • Om du väljer Spara som standardinställningar blir dina val för daglig aviseringsgräns och e-postinställningar organisationens standardinställningar. Om du vill fylla i standardinställningarna för en ny princip väljer du Återställ standardinställningar.

      Välj aviseringsinställningar.

  6. Välj Skapa.

  7. Precis som med alla principer kan du redigera, inaktivera och aktivera principen genom att klicka på de tre punkterna i slutet av raden på sidan Principer . När du skapar en princip är den aktiverad som standard.

Nästa steg

Metodtips för att skydda din organisation

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.