Microsoft Defender for Cloud Apps etkinlik ilkeleri oluşturma
Etkinlik ilkeleri, uygulama sağlayıcısının API'lerini kullanarak çok çeşitli otomatik işlemleri zorunlu kılmanıza olanak sağlar. Bu ilkeler, çeşitli kullanıcılar tarafından gerçekleştirilen belirli etkinlikleri izlemenize veya belirli bir etkinlik türünün beklenmedik şekilde yüksek hızlarını izlemenize olanak tanır.
Bir etkinlik algılama ilkesi ayarladıktan sonra, uyarılar oluşturulmaya başlar. Uyarılar yalnızca ilkeyi oluşturduktan sonra gerçekleşen etkinliklerde oluşturulur.
Not
- Günde 200.000'den fazla eşleşme veya 3 saatte 100.000 eşleşme tetikleyen ilkeler otomatik olarak devre dışı bırakılabilir. Ek filtreler ekleyerek ilkeleri iyileştirmeyi deneyebilir veya raporlama amacıyla ilkeler kullanıyorsanız , bunları sorgu olarak kaydetmeyi düşünebilirsiniz.
- Yeni ilkenin ayarlanmasından dağıtıma kadar 15 dakika sürebilir.
Özel uyarılar
Etkinlik ilkeleri, özel uyarıların gönderilmesine veya kullanıcı etkinliği algılandığında gerçekleştirilen eylemlere izin verir. Örneğin, her seferinde bilmek istersiniz:
- Kullanıcı oturum açmayı dener ve bir dakikada 70 kez başarısız olur
- Kullanıcı 7.000 dosya indirir
- Kullanıcı tanınmayan bir ülkeden/bölgeden oturum açmış
Bu olaylar gerçekleştiğinde kendinize veya kullanıcıya gönderilecek etkinlik uyarıları ayarlayabilirsiniz. Hatta ne olduğunu araştırmayı bitirene kadar kullanıcıyı askıya alabilirsiniz.
Yeni bir etkinlik ilkesi oluşturmak için şu yordamı izleyin:
Microsoft Defender Portalı'ndaki Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Ardından Tehdit algılamaları sekmesini seçin.
İlke oluştur'a tıklayın ve Etkinlik ilkesi'ni seçin.
İlkenize bir ad ve açıklama verin; isterseniz bir şablona dayandırabilirsiniz. İlke şablonları hakkında daha fazla bilgi için bkz. İlkelerle bulut uygulamalarını denetleme.
Bu ilkeyi tetikleyecek eylemleri veya diğer ölçümleri ayarlamak için Etkinlik filtreleri ile çalışın.
Yalnızca belirtilen filtre alanının değeri olan sonuçları eklediğinizden emin olmak için, ayarlanmış testini kullanarak aynı alanı yeniden eklemenizi öneririz. Örneğin, Konuma göre filtreleme belirtilen ülke/bölge listesine eşit olmadığında, Konum için bir filtre de ayarlanır. Ayrıca , Sonuçları düzenle ve önizle'yi seçerek filtre sonuçlarının önizlemesini de görebilirsiniz. Örneğin:
Bir filtre eşit değil olarak ayarlandığında ve özniteliği olayda mevcut olmadığında, olay filtrelenmez. Örneğin, Cihaz Etiketi'nde filtreleme eşit değildir Microsoft Entra karma katılmış, cihaz Microsoft Entra katılmış olsa bile Cihaz etiketi içermeyen olayları filtrelemez.
Konuk kullanıcı söz konusu olduğunda, Gruptan Kullanıcı filtresinin hesabı etki alanı tarafından tanımadığı durumlar olabilir. Tüm konuk kullanıcıların dahil olduğundan emin olmak için, ilke gereksinimlerinizi karşılıyorsa grup olarak Dış kullanıcılar'ı kullanın.
İlke için filtre oluştur'un altında, ilke ihlalinin ne zaman tetikleneceğini seçin. Tek bir etkinlik filtrelerle eşleştiğinde veya yalnızca belirtilen sayıda Yinelenen etkinlik algılandığında tetiklemeyi seçin.
- Yinelenen etkinlik'i seçerseniz Tek bir uygulamada ayarlayabilirsiniz. Bu ayar, yalnızca yinelenen etkinlikler aynı uygulamada gerçekleştiğinde bir ilke eşleşmesi tetikler. Örneğin, Box'tan 30 dakikada beş indirme bir ilke eşleşmesi tetikler.
Eşleşme bulunduğunda gerçekleştirilecek Eylemleri yapılandırın.
Şu örneklere göz atın:
Birden çok başarısız oturum açma işlemi
İlkeyi, kısa bir süre içinde çok sayıda başarısız oturum açma işlemi gerçekleştiğinde uyarı alacak şekilde ayarlayabilirsiniz. Bu tür bir ilkeyi yapılandırmak için Yeni Etkinlik İlkesi sayfasında uygun etkinlik filtresini seçin.
Etkinlik filtreleri alanının altında, uyarının tetiklendiği parametreleri yapılandırın.
Yüksek indirme oranı
İlkenizi, beklenmeyen veya ücrete tabi olmayan bir indirme etkinliği olduğunda uyarı alacak şekilde ayarlayabilirsiniz. Bu tür bir ilkeyi yapılandırmak için , Hız parametreleri'nin altında uyarıyı tetikleyen parametreleri seçin.
Etkinlik ilkesi başvurusu
Bu bölümde ilkelerle ilgili başvuru ayrıntıları, her ilke türü için açıklamalar ve her ilke için yapılandırılabilir alanlar bulunur.
Etkinlik ilkesi, kuruluşunuzun buluttaki etkinliklerini izlemenizi sağlayan API tabanlı bir ilkedir. İlke, cihaz türü ve konumu da dahil olmak üzere 20'den fazla dosya meta veri filtresini dikkate alır. İlke sonuçlarına bağlı olarak bildirimler oluşturulabilir ve kullanıcılar bulut uygulamasından askıya alınabilir. Her ilke aşağıdaki bölümlerden oluşur:
Etkinlik filtreleri – Meta verileri temel alan ayrıntılı koşullar oluşturmanızı sağlar.
Etkinlik eşleştirme parametreleri – Bir etkinliğin ilkeyle eşleşecek şekilde değerlendirilmek üzere kaç kez yinelenmek üzere bir eşik ayarlamanızı sağlar. İlkeyle eşleşmesi için gereken yinelenen etkinliklerin sayısını belirtin. Örneğin, bir kullanıcının 2 dakikalık bir zaman diliminde 10 başarısız oturum açma girişimi olduğunda uyarı vermek için bir ilke ayarlayın. Varsayılan olarak, Etkinlik eşleştirme parametreleri tüm etkinlik filtrelerini karşılayan her etkinlik için bir eşleşme oluşturur.
- Yinelenen etkinliği kullanarak yinelenen etkinliklerin sayısını, etkinliklerin sayıldığı zaman çerçevesinin süresini ayarlayabilirsiniz. Tüm etkinliklerin aynı kullanıcı tarafından ve aynı bulut uygulamasında gerçekleştirilmesi gerektiğini de belirtebilirsiniz.
Eylemler – İlke, ihlaller algılandığında otomatik olarak uygulanabilecek bir dizi idare eylemi sağlar.
Sonraki adımlar
Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.