云发现异常检测策略

  • 项目

本文介绍有关策略的引用详细信息。 列出了可对每个策略配置的每个策略类型和字段的说明。

Cloud Discovery 异常情况检测策略 - 弃用时间表

我们将在 2024 年 7 月停用 Microsoft Defender for Cloud Apps 提供的“Cloud Discovery 异常”支持。

经过仔细的分析和考虑,我们决定弃用它,因为与此警报相关的误报率很高,我们发现这对你组织的整体安全没有有效的贡献。

我们的研究表明,这一功能没有增加重大价值,也不符合我们提供高质量、可靠安全解决方案的战略重点。

我们致力于不断改进我们的服务,并确保满足你的需求和期望。

对于想要继续使用此警报的用户,我们建议使用应用发现策略,并在如果在同一天发生以下所有项,则触发策略匹配下设置相应的筛选器。

Cloud Discovery 异常检测策略参考

使用 Cloud Discovery 异常情况检测策略,可以设置和配置对云应用程序使用情况异常增加的持续监视。 针对每个云应用程序,需考虑下载数据量、上传数据量、事务数和用户数的增加。 每一项增加都会与根据过往使用情况得出的应用程序正常使用模式进行比较。 最极端的增加会触发安全警报。

对于每个策略,可设置筛选器,使你可以选择性地监视应用程序使用情况。 筛选器包括应用程序筛选器、所选的数据视图和所选的开始日期。 还可以设置敏感性,使你能够设置策略应该触发的警报数。

  1. 在 Microsoft Defender 门户的“云应用”下,转到“策略”->“策略管理”。 然后选择“影子 IT”选项卡。

  2. 选择“创建策略”,然后选择“Cloud Discovery 异常情况检测策略”

    创建 Cloud Discovery 策略。

这样会转到“创建 Cloud Discovery 异常情况检测策略”页。

对每个策略,请设置以下参数:

  1. 决定是否希望使策略基于某个模板。 “在发现的用户中检测到的异常行为”模板就是一个相关的策略模板。 它会在发现的用户或应用中检测到异常行为时(例如:相较于其他用户而言的大量上传数据、相较于用户历史记录而言的较大用户事务数)发出警报。 此外,还可以选择“在发现的 IP 地址中检测到的异常行为”模板。 此模板会在发现的 IP 地址或应用中检测到异常行为时(例如:相较于其他 IP 地址而言的大量上传数据、相较于 IP 地址历史记录而言的较大用户事务数)发出警报。

    选择策略模板。

  2. 提供策略名称说明

    选择策略名称和描述。

  3. 选择“选择筛选器”,为你要监视的应用创建筛选器。 可以按应用标记应用和域类别和各种风险因素风险分数来选择筛选器。若要创建其他筛选器,请选择“添加筛选器”

    为应用选择筛选器。

  4. 在“应用对象”下,设置使用情况的筛选方式。 可以通过两种方式筛选正在监视的使用情况:

    • 连续报表 - 选择是监视“所有连续报表”(默认)还是“特定连续报表”

      • 如果选择“所有连续报表”,每一项使用量增加都会与根据所有数据视图得出的正常使用模式进行比较。
      • 如果选择“特定连续报表”,每一项使用量的增加都会与正常使用模式进行比较。 该模式是从观察到增加的同一个数据视图中学到的。

    • 用户和 IP 地址 - 每个云应用程序使用情况与用户和/或 IP 地址关联。

      • 选择“用户”忽略应用使用情况与 IP 地址的关联

      • 选择“IP 地址”忽略应用使用情况与用户的关联

      • 选择“用户和 IP 地址”(默认)会将这两种关联都考虑在内,但如果用户和 IP 地址之间紧密对应,可能会生成重复警报。

    • 仅针对此后发生的可疑活动触发警报 - 选定日期之前增加的应用使用情况都会被忽略。 不过,将学习选定日期之前的活动,以确定正常使用模式。

      选择要应用的使用情况。

  5. 在“警报”下,可以设置警报敏感度。 有几种控制策略触发的警报数的方法:

    • 选择异常检测敏感度滑块 - 每周对每 1,000 个用户的前 X 异常活动触发警报。 触发警报所针对的活动不会超过风险上限。

    • 选择“为每个具有策略严重性的匹配事件创建警报”,为警报设置其他参数:

      • 通过电子邮件发送警报 - 如果选中此框,请输入接收警报的任何电子邮件地址。 每个电子邮件地址每天最多发送 500 封电子邮件(在 UTC 时区午夜重置)。
      • 每日警报限制 - 你可以选择限制一天内引发的警报数。
      • 将警报发送到 Power Automate - 如果选中此框,则可以选择一个剧本,在引发警报时运行操作。

    • 如果选择“另存为默认设置”,则每日警报限制和电子邮件设置的选择将成为组织的默认设置。 若要为新策略填写这些默认设置,请选择“还原默认设置”

      选择警报设置。

  6. 选择创建

  7. 与所有策略一样,可以在“策略”页中单击行末尾的三个点,对策略进行编辑、禁用和启用。 默认情况下,创建新策略后即启用它。

后续步骤

保护组织的最佳做法

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证