共用方式為

雲端探索異常偵測原則

  • 發行項

雲端探索異常偵測原則可讓您設定和設定持續監視雲端應用程式使用量異常增加的情況。 每個雲端應用程式的下載資料、上傳資料、交易和使用者的增加都會納入考量。 系統會將每次的增加量和應用程式的標準使用模式 (從過去使用量學習而得) 進行比較。 最極端的增加量會觸發安全性警示。

本文說明如何在 適用於雲端的 Microsoft Defender Apps 中建立和設定雲端探索異常偵測原則。

重要

從 2024 年 8 月開始,適用於雲端的 Microsoft Defender Apps 的雲端探索異常支援已淘汰。 因此,本文中提供的舊版程式僅供參考之用。 如果您想要接收類似異常偵測的安全性警示,請完成建立應用程式探索原則中的步驟。

建立應用程式探索原則

雖然已淘汰雲端探索異常偵測的支援,但您可以藉由建立應用程式探索原則來接收類似的安全性警示:

  1. 在 Microsoft Defender 入口網站中,展開左側功能表上的 [Cloud Apps 原則>] 區段,然後選取 [原則管理]。

  2. 在 [ 原則] 頁面上,選取 [ 陰影 IT] 索引卷標。

  3. 展開 [ 建立原則] 下拉功能表,然後選取 [ 應用程式探索原則 ] 選項。

  4. 如果下列所有專案都在同一天發生,請選取 [觸發原則比對] 選項:

    此螢幕快照顯示如何針對應用程式探索原則選取 [如果下列所有專案都在同一天發生時觸發原則相符] 選項。

  5. 設定相關聯的篩選和設定,如建立異常偵測原則中所述

(舊版)建立異常偵測原則

針對每個異常偵測原則,您可以設定篩選條件,讓您選擇性地監視應用程式使用狀況。 篩選可用於應用程式、選取的數據檢視,以及選取的開始日期。 您也可以設定敏感度,並指定要觸發原則的警示數量。

請遵循下列步驟來建立雲端探索異常偵測原則:

  1. 在 Microsoft Defender 入口網站中,展開左側功能表上的 [Cloud Apps 原則>] 區段,然後選取 [原則管理]。

  2. 在 [ 原則] 頁面上,選取 [ 陰影 IT] 索引卷標。

  3. 展開 [ 建立原則] 下拉功能表,然後選取 [ Cloud Discovery 異常偵測原則 ] 選項:

    顯示如何選取選項以建立新的雲端探索異常偵測原則的螢幕快照。

    [ 建立 Cloud Discovery 異常偵測原則 ] 頁面隨即開啟,您可以在其中設定要建立原則的參數。

  4. 在 [ 建立 Cloud Discovery 異常偵測原則 ] 頁面上,[ 原則範本 ] 選項會提供範本清單,您可以選擇做為原則的基底。 根據預設,此選項會設定為 [無範本]。

    如果您想要以範本為基礎原則,請展開下拉功能表並選取範本:

    • 探索到使用者中的異常行為:在探索到的使用者和應用程式中偵測到異常行為時警示。 您可以使用此範本來檢查與其他使用者相比的大量數據,或與使用者歷程記錄相比的大型使用者交易。

    • 探索到IP位址的異常行為:在探索到的IP位址和應用程式中偵測到異常行為時警示。 您可以使用此範本來檢查相較於其他IP位址的上傳數據量,或相較於IP位址歷程記錄的大型應用程式交易。

    下圖顯示如何在 Microsoft Defender 入口網站中選取要作為新原則基底的範本:

    顯示如何選取範本作為新原則基底的螢幕快照。

  5. 輸入新原則的原則名稱和描述

  6. 使用 [ 選取篩選] 選項,為您想要監視的應用程式建立篩選

    • 展開下拉功能表,然後選擇依應用程式標籤、應用程式與網域、類別各種風險因素風險分數篩選所有相符的應用程式。

    • 若要建立更多篩選,請選取 [新增篩選]。

    下圖顯示如何選取要套用至 Microsoft Defender 入口網站中所有相符應用程式的原則篩選:

    顯示如何選取要套用至所有相符應用程式之原則篩選條件的螢幕快照。

  7. 在 [ 套用至] 區段中設定應用程式使用篩選:

    1. 使用第一個下拉功能表來選擇如何監視持續使用量的報告:

      • 所有連續報告 (預設值):比較每個使用量增加與從所有數據檢視學習的一般使用模式。

      • 特定連續報告:比較每個使用量增加與一般使用模式。 模式會從觀察到增加的相同數據檢視中學習。

    2. 使用第二個下拉選單來指定每個雲端應用程式使用量的受監視關聯:

      • 使用者:忽略應用程式使用與IP位址的關聯。

      • IP 位址:忽略應用程式使用量與用戶的關聯。

      • 使用者、IP 位址 (預設):監視使用者和IP位址的應用程式使用量關聯。 當使用者與IP位址之間有緊密的對應時,此選項可能會產生重複的警示。

    下圖顯示如何在 Microsoft Defender 入口網站中設定應用程式使用篩選條件和引發使用量警示的開始日期:

    此螢幕快照顯示如何設定應用程式使用量篩選條件和引發使用量警示的開始日期。

  8. 針對 [只針對在之後發生的可疑活動引發警示] 選項,請輸入開始引發應用程式使用警示的日期。

    忽略指定開始日期之前應用程式使用量的任何增加。 不過,會了解開始日期之前的使用活動數據,以建立一般使用模式。

  9. 在 [警示]段中,設定警示敏感度和通知。 有數種方式可以控制原則所觸發的警示數目:

    • 使用 [ 選取異常偵測敏感度 ] 滑桿,針對每 1,000 位使用者每周的前 X 個異常活動觸發警示。 具有最高風險之活動的警示觸發程式。

    • 選取 [ 使用原則嚴重性 ] 選項為每個相符事件建立警示,並設定警示的其他參數:

      • 以電子郵件傳送警示:輸入警示訊息的電子郵件位址。 每天最多可以傳送 500 封郵件。 計數會在 UTC 時區午夜重設。

      • 每個原則的每日警示限制:使用下拉功能表並選取所需的限制。 此選項會將單一天引發的警示數目限制為指定的值。

      • 將警示傳送至 Power Automate:選擇劇本以在警示觸發時執行動作。 您也可以選取 [在 Power Automate 中建立劇本] 來開啟新的劇本。

    • 若要將組織的預設設定設定為使用每日警示限制和電子郵件設置的值,請選取 [另存新檔] 作為預設設定

    • 若要使用您組織的每日警示限制和電子郵件設置的預設設定,請選取 [還原預設設定]。

    下圖顯示如何設定原則的警示,包括敏感度、電子郵件通知,以及 Microsoft Defender 入口網站中的每日限制:

    顯示如何設定警示的螢幕快照,包括敏感度、電子郵件和每日限制。

  10. 確認您的設定選項,然後選取 [ 建立]。

使用現有的原則

當您建立原則時,預設會啟用該原則。 您可以停用原則並執行其他動作,例如 編輯刪除

  1. 在 [ 原則] 頁面上,找出原則清單中要更新的原則。

  2. 在原則清單中,捲動到原則數據列的右側,然後選取 [更多選項 ][...]。

  3. 在彈出視窗功能表上,選取要對原則執行的動作。

後續步驟

探索保護貴組織的最佳做法

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證