Aracılığıyla paylaş

Cloud Discovery anomali algılama ilkesi

  • Makale

Bu makalede, ilkeler hakkında başvuru ayrıntıları verilmektedir. Her ilke türü ve her ilke için yapılandırılabilir alanlar için açıklamalar listelenir.

Cloud Discovery anomali algılama ilkesi - Kullanımdan kaldırma zaman çizelgesi

Ağustos 2024'e kadar Bulut için Microsoft Defender Uygulamalarından "Cloud Discovery anomalisi" desteğini kaldıracağız.

Dikkatli analiz ve değerlendirmeden sonra, bu uyarıyla ilişkili hatalı pozitiflerin oranının yüksek olması nedeniyle, kuruluşunuzun genel güvenliğine etkili bir şekilde katkıda bulunmadığını belirledik.

Araştırmalarımız, bu özelliğin önemli bir değer katmadığını ve yüksek kaliteli, güvenilir güvenlik çözümleri sunmaya yönelik stratejik odağımızla uyumlu olmadığını belirtti.

Hizmetlerimizi sürekli iyileştirmeye ve ihtiyaçlarınızı ve beklentilerinizi karşılamalarını sağlamaya kararlıyız.

Bu uyarıyı kullanmaya devam etmek isteyenler için "Uygulama bulma ilkesi" kullanmanızı ve "Aşağıdakilerin tümü aynı gün gerçekleşirse ilke eşleşmesini tetikle" altında filtreleri düzgün bir şekilde ayarlamanızı öneririz.

Cloud Discovery anomali algılama ilkesi başvurusu

Cloud Discovery anomali algılama ilkesi, bulut uygulaması kullanımında olağan dışı artışların sürekli izlenmesini ayarlamanıza ve yapılandırmanıza olanak tanır. İndirilen veriler, karşıya yüklenen veriler, işlemler ve kullanıcılardaki artışlar her bulut uygulaması için dikkate alınır. Her artış, uygulamanın daha önceki kullanımlardan öğrenilmiş olan normal kullanım deseniyle karşılaştırılır. En aşırı artışlar güvenlik uyarılarını tetikler.

Her ilke için, uygulama kullanımını seçmeli olarak izlemenizi sağlayan filtreler ayarlarsınız. Filtreler bir uygulama filtresi, seçili veri görünümleri ve seçili bir başlangıç tarihi içerir. Ayrıca, ilkenin kaç uyarı tetikleyeceğini ayarlamanıza olanak tanıyan duyarlılığı da ayarlayabilirsiniz.

  1. Microsoft Defender Portalı'nda, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Ardından Gölge BT sekmesini seçin.

  2. İlke oluştur'u ve ardından Cloud Discovery anomali algılama ilkesi'ni seçin.

    Cloud Discovery ilkesi oluşturun.

Bu sizi Cloud Discovery anomali algılama ilkesi oluştur sayfasına getirir.

Her ilke için aşağıdaki parametreleri ayarlayın:

  1. İlkeyi bir şablona dayandırmak isteyip istemediğinize karar verin. İlgili ilke şablonlarından biri, bulunan kullanıcılar şablonundaki Anormal davranıştır. Bulunan kullanıcılarda ve uygulamalarda anormal davranış algılandığında uyarır; örneğin: diğer kullanıcılara kıyasla büyük miktarda karşıya yüklenen veri, kullanıcının geçmişine kıyasla büyük kullanıcı işlemleri. Ayrıca bulunan IP adreslerinin anormal davranışı şablonunu da seçebilirsiniz. Bu şablon, bulunan IP adreslerinde ve uygulamalarda anormal davranış algılandığında uyarır; örneğin: diğer IP adreslerine kıyasla büyük miktarda karşıya yüklenen veri, IP adresinin geçmişiyle karşılaştırıldığında büyük uygulama işlemleri.

    İlke şablonunu seçin.

  2. İlke adı ve Açıklama sağlayın.

    İlke adını ve açıklamasını seçin.

  3. Filtre seç'i seçerek izlemek istediğiniz uygulamalar için bir filtre oluşturun. Uygulama etiketine, Uygulamalar ve etki alanına, Kategoriye, çeşitli Risk faktörlerine veya Risk puanına göre filtre seçebilirsiniz. Ek filtreler oluşturmak için Filtre ekle'yi seçin.

    Uygulamalar için filtre'yi seçin.

  4. Uygulama yeri’nin altında, kullanımın nasıl filtrelenmesini istediğinizi ayarlayın. İzlenen kullanım, iki yolla filtrelenebilir:

    • Sürekli raporlar – Tüm sürekli raporların mı (varsayılan) izleneceğini seçin veya izlenecek belirli sürekli raporlar'ı seçin.

      • Tüm sürekli raporlar seçildiğinde, her kullanım artışı tüm veri görünümlerinden öğrenilen normal kullanım deseniyle karşılaştırılır.
      • Belirli sürekli raporlar seçildiğinde, her kullanım artışı normal kullanım düzeniyle karşılaştırılır. Desen, artışın gözlemlendiği veri görünümünden öğrenilir.

    • Kullanıcılar ve IP adresleri – Her bulut uygulaması kullanımı bir kullanıcı, bir IP adresi veya her ikisiyle de ilişkilendirilir.

      • Kullanıcılar seçildiğinde, uygulama kullanımının IP adresleriyle ilişkisi yoksayılır.

      • IP adreslerinin seçilmesi, uygulama kullanımının kullanıcılarla ilişkisini yoksayar.

      • Kullanıcılar ve IP adresleri (varsayılan) seçildiğinde her iki ilişkilendirme de dikkate alınır, ancak kullanıcılarla IP adresleri arasında sıkı bir yazışma olduğunda yinelenen uyarılar üretilebilir.

    • Yalnızca sonrasında gerçekleşen şüpheli etkinlikler için uyarı oluşturun: Seçili tarihten önce uygulama kullanımında yapılan artışlar yoksayılır. Ancak, normal kullanım desenini oluşturmak için seçilen tarihten önceki etkinlik öğrenilir.

      Uygulanacak kullanımı seçin.

  5. Uyarılar'ın altında uyarı duyarlılığını ayarlayabilirsiniz. İlke tarafından tetiklenen uyarı sayısını denetlemenin birkaç yolu vardır:

    • Anomali algılama duyarlılığını seçin kaydırıcısı – Haftalık olarak 1.000 kullanıcı başına ilk X anormal etkinlik için uyarıları tetikleyin. Uyarılar, en yüksek riskli etkinlikler için tetiklenir.

    • Uyarı için ek parametreler ayarlamak için İlkenin önem derecesiyle eşleşen her olay için uyarı oluştur'u seçin:

      • Uyarıyı e-posta olarak gönder - Bu kutuyu işaretlerseniz, uyarıyı alması gereken e-posta adreslerini girin. E-posta adresi başına günde en fazla 500 e-posta iletisi gönderilir (UTC saat diliminde gece yarısı sıfırlanır.)
      • Günlük uyarı sınırı - Tek bir günde tetiklenen uyarı sayısını kısıtlamayı seçebilirsiniz.
      • Power Automate'e uyarı gönder - Bu kutuyu işaretlerseniz, bir uyarı gönderildiğinde eylemleri çalıştırmak için bir playbook seçebilirsiniz.

    • Varsayılan ayarlar olarak kaydet'i seçerseniz, Günlük uyarı sınırı ve e-posta ayarları seçenekleriniz kuruluşunuzun varsayılan ayarları olur. Yeni ilkenin bu varsayılan ayarlarını doldurmak için Varsayılan ayarları geri yükle'yi seçin.

      Uyarı ayarlarını seçin.

  6. Oluştur'u belirleyin.

  7. Tüm ilkelerde olduğu gibi, İlkeler sayfasındaki satırın sonundaki üç noktaya tıklayarak ilkeyi Düzenleyebilir, Devre Dışı Bırakabilir ve Etkinleştirebilirsiniz. Varsayılan olarak, bir ilke oluşturduğunuzda etkinleştirilir.

Sonraki adımlar

Kuruluşunuzu korumaya yönelik en iyi yöntemler

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.