Etkinlik ilkeleri

  • Makale

Dekont

Bulut için Microsoft Defender Uygulamaları artık Microsoft Defender paketinden gelen sinyalleri ilişkilendiren ve olay düzeyinde algılama, araştırma ve güçlü yanıt özellikleri sağlayan Microsoft 365 Defender. Daha fazla bilgi için bkz. Microsoft 365 Defender'da uygulamalar Bulut için Microsoft Defender.

Etkinlik ilkeleri, uygulama sağlayıcısının API'lerini kullanarak çok çeşitli otomatik işlemleri zorunlu kılmanıza olanak sağlar. Bu ilkeler çeşitli kullanıcılar tarafından yürütülen belirli etkinlikleri izlemenize veya belirli tek bir etkinlik türünün beklenmedik düzeyde yükselen oranlarını izlemenize olanak tanır.

Bir etkinlik algılama ilkesi ayarladığınızda, bu ilke uyarı oluşturmaya başlar. Yalnızca ilkeyi oluşturmanızdan sonra gerçekleşen olaylar için uyarı verilir.

Dekont

  • Günde 200.000'den fazla eşleşme veya 3 saatte 100.000 eşleşme tetikleyen ilkeler otomatik olarak devre dışı bırakılabilir. Ek filtreler ekleyerek ilkeleri iyileştirmeyi deneyebilir veya raporlama amacıyla ilkeler kullanıyorsanız, bunları sorgu olarak kaydetmeyi göz önünde bulundurun.
  • Yeni bir ilkenin ayarlanmasından dağıtıma kadar 15 dakika kadar sürebilir.

Özel uyarılar

Etkinlik ilkeleri, özel uyarıların gönderilmesine veya kullanıcı etkinliği algılandığında gerçekleştirilecek eylemlere izin verir. Örneğin, her seferinde bilmek istersiniz:

  • Kullanıcı oturum açmaya çalışır ve bir dakikada 70 kez başarısız olur
  • Kullanıcı 7.000 dosya indirir
  • Kullanıcı, yabancı bir ülkeden/bölgeden oturum açmış

Bu olaylar gerçekleştiğinde kendinize veya kullanıcıya gönderilecek etkinlik uyarıları ayarlayabilirsiniz. Hatta ne olduğunu araştırmayı bitirene kadar kullanıcıyı askıya alabilirsiniz.

Yeni etkinlik ilkesi oluşturmak için bu yordamı izleyin:

  1. Microsoft 365 Defender portalında, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Ardından Tehdit algılamaları sekmesini seçin.

  2. İlke oluştur’a tıklayın ve Etkinlik ilkesi’ni seçin.

    Create a Threat Detection policy.

  3. İlkeniz için ad ve açıklama sağlayın. İsterseniz bunun için bir şablonu temel alabilirsiniz. İlke şablonları hakkında daha fazla bilgi için bkz. Bulut uygulamalarını ilkelerle denetleme.

  4. Bu ilkeyi hangi eylemlerin veya başka ölçümlerin tetikleyeceğini ayarlamak için, Etkinlik filtreleri ile çalışın.

    Dekont

    • Yalnızca belirtilen filtre alanının değeri olan sonuçları eklediğinizden emin olmak için, set testini kullanarak aynı alanı yeniden eklemenizi öneririz. Örneğin, Konumagöre filtreleme belirtilen bir ülke/bölge listesine eşit değilse, Konumiçin de bir filtre ayarlanır. Ayrıca, Sonuçları düzenle ve önizle'yi seçerek filtre sonuçlarının önizlemesini de görebilirsiniz.

      Screenshot of filter settings, showing location field is set.

    • Bir filtre eşit değil olarak ayarlandığında ve özniteliği olayda mevcut değilse, olay filtrelenmez. Örneğin, Cihaz Etiketi'nde filtreleme "Karma Azure AD'ye katılmış" değerine eşit değildir, cihaz Azure AD'ye katılmış olsa bile Cihaz etiketi içermeyen olayları filtrelemez.

  5. İlke için filtre oluştur'un altında, ilke ihlalinin ne zaman tetikleneceğini seçin. Tek bir etkinlik filtrelerle eşleştiğinde veya yalnızca belirtilen sayıda Yinelenen etkinlik algılandığında tetiklemeyi seçin.

    • Yinelenen etkinlik'i seçerseniz, Tek bir uygulamada seçeneğini belirleyebilirsiniz. Bu ayar yalnızca aynı uygulamada yinelenen etkinlikler gerçekleştiğinde bir ilke eşleşmesi tetikler. Örneğin, Box'tan 30 dakikada beş indirme bir ilke eşleşmesi tetikler.

  6. Eşleşme bulunduğunda gerçekleştirilmesi gereken Eylemler’i yapılandırın.

Aşağıdaki örnekleri gözden geçirin:

  • Birden çok başarısız oturum açma girişimi

    İlkeyi, kısa bir süre içinde çok sayıda başarısız oturum açma işlemi gerçekleştiğinde uyarı alacak şekilde ayarlayabilirsiniz. Bu tür bir ilkeyi yapılandırmak için Yeni Etkinlik İlkesi sayfasında uygun etkinlik filtresini seçin.

    Etkinlik filtreleri alanının altında, uyarıyı tetikleyecek parametreleri yapılandırın.

    Policy example for multiple failed sign-in attempts.

  • Yüksek indirme oranı

    İlkenizi, beklenmedik veya normal olmayan düzeyde indirme etkinliği olduğunda uyarı alacak şekilde ayarlayabilirsiniz. Bu tür bir ilkeyi yapılandırmak için, Hız parametreleri'nin altında uyarıyı tetikleyen parametreleri seçin.

    high download rate example.

Etkinlik ilkesi başvurusu

Bu bölümde ilkeler hakkında başvuru ayrıntıları, her ilke türü için açıklamalar ve her ilke için yapılandırılabilir alanlar bulunur.

Etkinlik ilkesi, kuruluşunuzun buluttaki etkinliklerini izlemenizi sağlayan API tabanlı bir ilkedir. İlke, cihaz türü ve konumu dahil olmak üzere 20'den fazla dosya meta veri filtresini dikkate alır. İlke sonuçları temelinde, bildirimler oluşturulabilir ve kullanıcılar bulut uygulamasında askıya alınabilir. Her ilke şu bölümlerden oluşur:

  • Etkinlik filtreleri – Meta verileri temel alan ayrıntılı koşullar oluşturmanıza olanak tanır.

  • Etkinlik eşleştirme parametreleri – Etkinliğin ilkeyle eşleştiğini kabul etmek için kaç kez yinelenmesi gerektiğini gösteren eşiği ayarlamanıza olanak tanır. İlkeyle eşleşmesi için gereken yinelenen etkinliklerin sayısını belirtin. Örneğin, bir kullanıcının 2 dakikalık bir zaman diliminde 10 başarısız oturum açma girişimi olduğunda uyarı vermek için bir ilke ayarlayın. Varsayılan olarak, Etkinlik eşleştirme parametreleri tüm etkinlik filtrelerini karşılayan her etkinlik için bir eşleşme oluşturur.

    • Yinelenen etkinliği kullanarak yinelenen etkinliklerin sayısını, etkinliklerin sayıldığı zaman diliminin süresini ayarlayabilirsiniz. Tüm etkinliklerin aynı kullanıcı tarafından ve aynı bulut uygulamasında gerçekleştirilmesi gerektiğini de belirtebilirsiniz.

  • Eylemler – İlke, ihlaller algılandığında otomatik olarak uygulanabilecek bir dizi idare eylemi sağlar.

Sonraki adımlar

Veri koruma ilkeleri

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.