创建 Microsoft Defender for Cloud Apps 活动策略
借助活动策略,可使用应用提供商的 API 强制实施各种自动化过程。 这些策略让你可以监视由各个用户执行的特定活动,或跟踪某个活动类型的意外高速率。
设置活动检测策略后,开始生成警报 - 只在创建策略后发生的活动中生成警报。
注意
- 每天触发超过 200,000 个匹配项或每 3 小时触发超过 100,000 个匹配项的策略可能会自动禁用。 可以通过添加其他筛选器来尝试优化策略,或者,如果出于报告目的使用策略,请考虑 将其另存为查询。
- 从设置新策略到部署可能最多需要 15 分钟。
自定义警报
通过使用活动策略,可以在检测到用户活动时发送自定义警报或采取操作。 例如,可以在出现以下情况时收到通知:
- 某个用户在一分钟内尝试登录并失败了 70 次
- 某个用户下载了 7,000 个文件
- 用户从陌生的国家/地区登录
可以设置活动警报,在出现这些事件时向自己或向该用户发送警报。 甚至可以在调查好具体情况之前取消该用户的访问权限。
若要新建活动策略,请执行以下步骤:
在 Microsoft Defender 门户的“云应用”下,转到“策略”->“策略管理”。 然后选择 威胁检测 选项卡。
单击“创建策略”并选择“活动策略”。
如果希望策略基于模板,请为策略提供名称和说明。有关策略模板的详细信息,请参阅使用策略控制云应用。
若要设置触发该策略的操作或其他指标,请使用活动筛选器。
若要确保仅包含指定筛选器字段具有值的结果,建议使用 is set 测试,再次添加同一字段。 例如,以位置不等于指定的国家/地区列表为条件筛选时,还要为位置添加筛选器。 还可以通过选择编辑和预览结果来预览筛选结果。 例如:
如果筛选器设置为“不等于”,并且属性在事件上不存在,则不会筛选出该事件。例如,以设备标记不等于“Microsoft Entra 混合联接”为条件进行筛选,不会筛选出不包含设备标记的事件,即便设备已联接 Microsoft Entra 也是如此。
如果是访客用户,可能存在来自组的用户筛选器无法按其域识别帐户的情况。 若要确保所有访客用户都包括在内,请使用外部用户作为组(如果满足策略需求)。
在为策略创建筛选器项下,选择何时触发策略冲突。 选择在单个活动匹配筛选条件时触发,或者仅在检测到指定数量的重复活动时触发。
- 如果选择“重复活动”,则可以设置“在单个应用中”。 该设置只有当重复活动发生在同一应用时,才会触发策略匹配。 例如,在 30 分钟内从 Box 下载 5 次会触发策略匹配。
配置找到匹配时应采取的操作。
了解这些示例:
多次登录失败
可以设置策略,当在短时间内出现大量失败登录时接收警报。 要配置此类策略,请在“新建活动策略”页中选择合适的活动筛选器。
在“活动筛选器”字段下,为要触发的警报配置参数。
高下载速率
可以对你的策略进行设置,以便在出现意外或异常的下载活动时收到警报。 若要配置此类策略,请在“速率”参数下选择触发警报的参数。
活动策略引用
本部分包含有关策略的详细参考信息、对每种策略类型的说明以及可为每个策略配置的字段。
活动策略是一种基于 API 的策略,可以在云中监视组织的活动。 该策略涵盖 20 多个文件元数据筛选器(包括设备类型和位置)。 基于策略结果,可以生成通知并可以从云应用中挂起用户。 每个策略都由以下部分组成:
活动筛选器 - 可以基于元数据创建细化的条件。
活动匹配参数 – 使你可以设置视为与策略匹配所需的活动重复次数的阈值。 指定匹配策略所需的重复活动数量。 例如,将策略设置为在某个用户 2 分钟内尝试 10 次登录未成功时发起警报。 默认情况下,活动匹配参数为每一个符合所有活动筛选器条件的活动都设置了匹配。
- 使用“重复活动”,可以设置重复活动次数、活动计数针对的时间范围期限。 还可以指定所有活动应由同一用户在同一云应用中执行。
操作 – 策略提供一系列管理操作,这些操作可在检测到违规后自动应用。
后续步骤
如果遇到任何问题,我们可随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。