Condividi tramite

Creare criteri di attività Microsoft Defender for Cloud Apps

  • Articolo

I criteri di attività consentono di applicare un'ampia gamma di processi automatizzati usando le API del provider di app. Questi criteri consentono di monitorare attività specifiche eseguite da vari utenti o di seguire tassi inaspettatamente elevati di un determinato tipo di attività.

Dopo aver impostato un criterio di rilevamento attività, inizia a generare avvisi. Gli avvisi vengono generati solo nelle attività che si verificano dopo la creazione dei criteri.

Nota

  • I criteri che attivano più di 200.000 corrispondenze al giorno o 100.000 corrispondenze per 3 ore possono essere disabilitati automaticamente. È possibile provare a perfezionare i criteri aggiungendo filtri aggiuntivi oppure, se si usano criteri per la creazione di report, è consigliabile salvarli come query .
  • La configurazione di un nuovo criterio per la distribuzione può richiedere fino a 15 minuti.

Avvisi personalizzati

I criteri attività consentono l'invio di avvisi personalizzati o azioni eseguite quando viene rilevata un'attività utente. Ad esempio, si vuole sapere ogni volta:

  • Un utente prova ad accedere e non riesce 70 volte in un minuto
  • Un utente scarica 7.000 file
  • Un utente ha effettuato l'accesso da un paese o un'area geografica non familiare

È possibile impostare avvisi attività da inviare a se stessi o all'utente quando si verificano questi eventi. È anche possibile sospendere l'utente fino a quando non si è finito di analizzare ciò che è successo.

Per creare un nuovo criterio attività, seguire questa procedura:

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Selezionare quindi la scheda Rilevamenti minacce .

  2. Fare clic su Crea criterio e selezionare Criteri attività.

    Creare un criterio di rilevamento delle minacce.

  3. Assegnare un nome e una descrizione ai criteri, se si vuole basarlo su un modello, per altre informazioni sui modelli di criteri, vedere Controllare le app cloud con i criteri.

  4. Per impostare quali azioni o altre metriche attiveranno questo criterio, usare i filtri Attività.

    Per assicurarsi di includere solo i risultati in cui il campo filtro specificato ha un valore, è consigliabile aggiungere di nuovo lo stesso campo usando è impostato il test. Ad esempio, quando il filtro per localitànon è uguale a un elenco specificato di paesi/aree geografiche, è impostato anche un filtro per Località. È anche possibile visualizzare in anteprima i risultati del filtro selezionando Modifica e visualizza in anteprima i risultati. Ad esempio:

    Screenshot delle impostazioni del filtro, che mostra il campo della posizione impostato.

    Quando un filtro è impostato su non è uguale e l'attributo non esiste nell'evento, l'evento non verrà filtrato. Ad esempio, l'applicazione di filtri in base al tag del dispositivo non è uguale Microsoft Entra join ibrido non esclude gli eventi che non contengono tag Device, anche se il dispositivo è Microsoft Entra aggiunto.

    Nel caso di un utente guest, potrebbero verificarsi casi in cui il filtro User From Group non riconosce l'account in base al relativo dominio. Per assicurarsi che tutti gli utenti guest siano inclusi, usare gli utenti esterni come gruppo, se soddisfa le proprie esigenze per i criteri.

  5. In Crea filtri per i criteri selezionare quando verrà attivata una violazione dei criteri. Scegliere di attivare quando un'attività singola corrisponde ai filtri o solo quando viene rilevato un numero specificato di attività ripetute .

    • Se si sceglie Attività ripetuta, è possibile impostare In una singola app. Questa impostazione attiverà una corrispondenza dei criteri solo quando si verificano le attività ripetute nella stessa app. Ad esempio, cinque download in 30 minuti da Box attivano una corrispondenza dei criteri.

  6. Configurare le azioni da eseguire quando viene trovata una corrispondenza.

Esaminare questi esempi:

  • Più accessi non riusciti

    È possibile impostare i criteri in modo da ricevere un avviso quando si verifica un numero elevato di accessi non riusciti in un breve periodo di tempo. Per configurare questo tipo di criteri, scegliere il filtro attività appropriato nella pagina Nuovi criteri attività .

    Sotto il campo Filtri attività configurare i parametri per i quali verrà attivato l'avviso.

    Esempio di criteri per più tentativi di accesso non riusciti.

  • Velocità di download elevata

    È possibile impostare i criteri in modo da ricevere un avviso quando si è verificato un livello imprevisto o non caratteristico di attività di download. Per configurare questo tipo di criteri, in Parametri di frequenza scegliere i parametri per attivare l'avviso.

    esempio di velocità di download elevata.

Informazioni di riferimento per i criteri attività

Questa sezione contiene informazioni di riferimento sui criteri, spiegazioni per ogni tipo di criterio e i campi che possono essere configurati per ogni criterio.

Un criterio attività è un criterio basato su API che consente di monitorare le attività dell'organizzazione nel cloud. Il criterio tiene conto di oltre 20 filtri dei metadati dei file, inclusi il tipo di dispositivo e la posizione. In base ai risultati dei criteri, è possibile generare notifiche e sospendere gli utenti dall'app cloud. Ogni criterio è costituito dalle parti seguenti:

  • Filtri attività: consente di creare condizioni granulari in base ai metadati.

  • Parametri di corrispondenza attività: consente di impostare una soglia per il numero di ripetizioni di un'attività da considerare corrispondenti ai criteri. Specificare il numero di attività ripetute necessarie per soddisfare i criteri. Ad esempio, impostare un criterio per l'avviso quando un utente ha 10 tentativi di accesso non riusciti in un intervallo di tempo di 2 minuti. Per impostazione predefinita, i parametri di corrispondenza attività generano una corrispondenza per ogni singola attività che soddisfa tutti i filtri attività.

    • Usando l'attività ripetuta è possibile impostare il numero di attività ripetute, la durata dell'intervallo di tempo in cui vengono conteggiate le attività. È anche possibile specificare che tutte le attività devono essere eseguite dallo stesso utente e nella stessa app cloud.

  • Azioni: il criterio fornisce un set di azioni di governance che possono essere applicate automaticamente quando vengono rilevate violazioni.

Passaggi successivi

Criteri di protezione dei dati

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.