Cloud Discovery 異常偵測原則

  • 發行項

本文提供您原則的參考詳細資料。 說明所列每項原則可以設定的每個原則類型和欄位。

Cloud Discovery 異常偵測原則 - 淘汰時程表

我們將在 2024 年 7 月前淘汰 適用於雲端的 Microsoft Defender Apps 的「Cloud Discovery 異常」支援。

經過仔細分析和考慮,我們決定因為與此警示相關聯的誤判率很高而淘汰,我們發現該警示並未有效地為您的組織整體安全性做出貢獻。

我們的研究表明,這項功能沒有增加顯著價值,而且不符合我們在提供高品質、可靠安全性解決方案的戰略重點。

我們致力於持續改善我們的服務,並確保它們符合您的需求和期望。

對於想要繼續使用此警示的人,我們建議使用「應用程式探索原則」,並在「如果同一天發生下列所有情況時觸發原則相符」底下,設定篩選條件。

Cloud Discovery 異常偵測原則參考

Cloud Discovery 異常偵測原則可讓您設定和設定持續監視雲端應用程式使用量異常增加的情況。 每個雲端應用程式的下載資料、上傳資料、交易和使用者的增加都會納入考量。 系統會將每次的增加量和應用程式的標準使用模式 (從過去使用量學習而得) 進行比較。 最極端的增加量會觸發安全性警示。

您為每項原則設定的篩選,可讓您選擇性地監視應用程式使用量。 篩選包括應用程式篩選、所選資料檢視和所選開始日期。 您也可以設定敏感度,以讓您設定原則應觸發多少警示。

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [原則 -> 原則管理]。 然後選取 [ 陰影 IT] 索引標籤。

  2. 選取 [建立原則 ],然後選取 [ Cloud Discovery 異常偵測原則]。

    建立 Cloud Discovery 原則。

這會帶您前往 [ 建立 Cloud Discovery 異常偵測原則 ] 頁面。

針對每個原則,請設定下列參數:

  1. 決定是否根據範本使用原則。 [找到的使用者有異常行為] 範本是相關的原則範本。 它會在找到的使用者及應用程式中偵測到異常行為時發出警示,例如:相較於其他使用者上傳了大量的資料、相較於使用者歷程記錄出現大量的使用者交易。 您也可以選取 [找到的 IP 位址有異常行為] 範本。 此範本會在找到的 IP 位址及應用程式中偵測到異常行為時發出警示,例如:相較於其他 IP 位址上傳了大量的資料、相較於 IP 位址歷程記錄出現大量的應用程式交易。

    選取原則範本。

  2. 提供 [原則名稱] 和 [描述]

    選取原則名稱和描述。

  3. 選取 [ 選取篩選條件],以建立您想要監視之應用程式的篩選。 您可以依應用程式標籤、應用程式與網域類別各種風險因素風險分數來選取篩選。若要建立其他篩選,請選取 [新增篩選]。

    選取應用程式的篩選。

  4. 在 [套用至] 下,設定您想要如何篩選使用量。 您可使用下列兩種不同方式,篩選受監視的使用量:

    • 連續報告 - 選擇監視 [所有連續報告] (預設),或選擇監視 [特定的連續報告]

      • 選取 「All continuous reports」 (所有連續報告) 時,系統會將每個增加的使用量和一般使用模式 (從所有資料檢視學習而得) 進行比較。
      • 選取 [特定的連續報告] 時,每個使用量的增量都會和一般使用模式進行比較。 模式是學習自與所觀察增量相同的資料檢視。

    • 使用者與 IP 位址 - 每個雲端應用程式使用量都會與使用者、IP 位址或兩者建立關聯。

      • 選取 [使用者] 會忽略應用程式使用量和 IP 位址之間的關聯。

      • 選取 [IP 位址] 會忽略應用程式使用量和使用者之間的關聯。

      • 選取 [使用者] 和 [IP 位址 ] 會同時考慮這兩個關聯,但在使用者與IP位址之間有緊密的對應時,可能會產生重複的警示。

    • 只針對之後 發生的可疑活動引發警示 – 忽略選取日期之前的應用程式使用量增加。 不過,系統會學習所選日期之前的活動來建立常態使用量模式。

      選取要套用的使用量。

  5. 在 [警示] 下,您可以設定警示敏感度。 有數種方式可以控制原則所觸發的警示數目:

    • 「Select anomaly detection sensitivity」 (選取異常偵測敏感度) 滑桿 – 針對每週每 1,000 位使用者的前 X 個異常活動觸發警示。 系統會針對具有最高風險的活動觸發警示。

    • 針對具有原則嚴重性的每個相符事件選取 [建立警示],以設定警示的其他參數:

      • 以電子郵件 傳送警示 - 如果您核取此方塊,請輸入任何應接收警示的電子郵件位址。 每個電子郵件位址最多會傳送 500 封電子郵件(在 UTC 時區午夜重設)。
      • 每日警示限制 - 您可以選擇限制單一天引發的警示數目。
      • 將警示傳送至 Power Automate - 如果您核取此方塊,您可以選擇劇本,以在引發警示時執行動作。

    • 如果您選取 [另存新檔] 預設設定,則 [每日警示限制] 和 [電子郵件設定] 的選項將會成為您組織的預設設定。 若要填入新原則的這些預設設定,請選取 [ 還原預設設定]。

      選取 [警示設定]。

  6. 選取 建立

  7. 與所有原則相同,您可以按一下 [原則] 頁面中資料列結尾的三個點,來 [編輯]、[停用] 和 [啟用] 原則。 當您建立原則時,其預設為啟用。

下一步

保護貴組織的最佳做法

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證