建立 適用於雲端的 Microsoft Defender Apps 活動原則
活動原則可讓您使用應用程式提供者的 API 強制執行各種不同的自動化程式。 這些原則可讓您監視由不同使用者執行的特定活動,或是追蹤意外高比率的某種特定類型活動。
設定活動偵測原則之後,就會開始產生警示 - 只有建立原則之後發生的活動才會產生警示。
注意
- 系統可能會自動停用每天觸發超過 200,000 個相符項目的原則,或每 3 小時觸發 100,000 個相符項目的原則。 您可以嘗試藉由新增其他篩選來精簡原則,或者,如果您將原則用於報告用途,請考慮 改為將它們儲存為查詢 。
- 設定新原則到部署可能需要 15 分鐘的時間。
自訂警示
活動原則可在偵測到使用者活動時傳送自訂警示或採取動作。 例如,您想要知道每次:
- 使用者嘗試登入並在一分鐘內失敗 70 次
- 使用者下載 7,000 個檔案
- 使用者從不熟悉的國家/地區登入
您可以設定在這些事件發生時,傳送活動警示給您自己或使用者。 您甚至可以暫時將使用者停權,直到您完成調查發生了什麼事。
若要建立新的活動原則,請遵循此程序︰
在 Microsoft Defender 入口網站的 [Cloud Apps] 下,移至 [原則 -> 原則管理]。 然後選取 [ 威脅偵測] 索引標籤 。
按一下 [建立原則],然後選取 [活動原則]。
為您的原則命名並描述,如果希望,也可以範本為依據;如需原則範本的詳細資訊,請參閱 Control cloud apps with policies (使用原則控制雲端應用程式)。
若要設定觸發此原則的動作或其他計量,請使用 [活動篩選]。
為了確保您只包含指定之篩選欄位具有值的結果,建議您再次使用 設定 測試來新增相同的欄位。 例如,依 [位置] 篩選不等於指定的國家/地區清單時,也會設定 [位置] 的篩選。 您也可以選取 [編輯] 和 [預覽結果] 來預覽篩選結果。 例如:
當篩選設定為 不相等 且屬性不存在於事件時,將不會篩選掉事件。例如,篩選 裝置標籤不等於 Microsoft Entra 混合式聯結 不會篩選出不包含 裝置捲標的事件,即使裝置已Microsoft已加入 Entra 也一樣。
在來賓用戶的情況下,可能有使用者從群組篩選無法依其網域辨識帳戶的情況。 若要確定包含所有來賓使用者,如果符合原則的需求,請使用 外部使用者 作為群組。
在 [建立原則篩選] 底下,選取何時觸發原則違規。 選擇在單一 活動 符合篩選條件時觸發,或只有在偵測到指定數目的 重複活動 時才會觸發。
- 若您選擇 [重複的活動],可以設定 [在單一應用程式中]。 僅當重複的活動發生在同一應用程式時,此設定才會觸發原則比對。 例如,在 30 分鐘內從 Box 下載五次會觸發原則比對。
設定找到相符項目時應該採取的 [動作]。
看看這些範例︰
多次失敗的登入
您可以設定原則,以便在短時間內發生大量登入失敗時,收到警示。 若要設定這類原則,請在 [新增活動原則] 頁面中選擇適當的活動篩選。
在 [活動篩選] 欄位下方,設定觸發警示的參數。
高下載率
您可以設定原則,以便在非預期或無法定性層級的下載活動出現時,收到警示。 若要設定這類原則,請在 [速率] 參數下,選擇觸發警示的參數。
活動原則參考
本節提供原則的參考詳細資料,並說明每種原則類型和您可以針對每項原則設定的欄位。
[活動原則] 是一種 API 型原則,可讓您監視雲端中的組織活動。 此原則將 20 多個檔案中繼資料篩選 (包括裝置類型和位置) 納入考量。 系統會根據原則結果產生通知,並可能讓使用者暫停使用雲端應用程式。 每個原則皆由下列部分組成:
活動篩選 - 讓您可以根據中繼資料建立細微條件。
活動比對參數 – 可讓您設定活動要重複幾次才會被視為符合原則的臨界值。 指定將活動視為符合原則前的必要重複次數。 例如,您可設定原則,以在使用者於 2 分鐘的時間範圍內執行 10 次失敗登入時提出警示。 根據預設, 活動比對參數 會針對符合所有活動篩選的每個單一活動引發相符專案。
- 您可以使用 [重複的活動] 來設定重複的活動數量、計算活動數量的持續時間範圍。 您也可以指定相同使用者和相同雲端應用程式內應該執行的所有活動。
動作 – 此原則提供一組可在偵測到違規時自動套用的治理動作。
下一步
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。