Del via

Opprett aktivitetspolicyer for Microsoft Defender for Cloud Apps

  • Artikkel

Med aktivitetspolicyer kan du håndheve en rekke automatiserte prosesser ved hjelp av API-ene til appleverandøren. Disse policyene lar deg overvåke bestemte aktiviteter som utføres av ulike brukere, eller følge uventet høye forekomster av én bestemt type aktivitet.

Når du har angitt en policy for aktivitetsregistrering, begynner den å generere varsler – varsler genereres bare på aktiviteter som oppstår etter at du har opprettet policyen.

Obs!

  • Policyer som utløser mer enn 200 000 kamper per dag, eller 100 000 treff per 3 timer, kan deaktiveres automatisk. Du kan prøve å begrense policyer ved å legge til flere filtre, eller, hvis du bruker policyer til rapporteringsformål, bør du vurdere å lagre dem som spørringer i stedet.
  • Det kan ta opptil 15 minutter fra du konfigurerer en ny policy til distribusjon.

Egendefinerte varsler

Aktivitetspolicyer tillater at egendefinerte varsler sendes eller handlinger utføres når brukeraktivitet oppdages. Du vil for eksempel vite det hver gang:

  • En bruker prøver å logge på og mislykkes 70 ganger på ett minutt
  • En bruker laster ned 7000 filer
  • En bruker er logget på fra et ukjent land/område

Du kan angi aktivitetsvarsler som skal sendes til deg selv eller brukeren når disse hendelsene inntreffer. Du kan til og med avbryte brukeren til du er ferdig med å undersøke hva som skjedde.

Følg denne fremgangsmåten for å opprette en ny aktivitetspolicy:

  1. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Velg deretter trusselregistreringer-fanen .

  2. Klikk Opprett policy , og velg Aktivitetspolicy.

    Opprett en policy for trusselregistrering.

  3. Gi policyen et navn og en beskrivelse hvis du vil, hvis du vil, kan du basere den på en mal hvis du vil ha mer informasjon om policymaler, se Kontrollere skyapper med policyer.

  4. Hvis du vil angi hvilke handlinger eller andre måledata som skal utløse denne policyen, kan du arbeide med aktivitetsfiltrene.

    For å sikre at du bare inkluderer resultater der det angitte filterfeltet har en verdi, anbefaler vi at du legger til det samme feltet på nytt ved hjelp av er angitt test. Når filtrering etter plassering for eksempel ikke er lik en angitt liste over land/områder, kan du også legge til et filter for Plassering. Du kan også forhåndsvise filterresultatene ved å velge Rediger og forhåndsvis resultater. Eksempel:

    Skjermbilde av filterinnstillinger som viser at plasseringsfeltet er angitt.

    Når et filter er satt til ikke er likt og attributtet ikke finnes på hendelsen, filtreres ikke hendelsen ut. Filtrering på enhetskode er for eksempel ikke lik Microsoft Entra hybrid sammenføyde filtrerer ikke ut hendelser som ikke inneholder enhetskode, selv om enheten er Microsoft Entra sammenføyd.

    Hvis det gjelder en gjestebruker, kan det være tilfeller der Bruker fra gruppe-filteret ikke gjenkjenner kontoen etter domenet. Hvis du vil sikre at alle gjestebrukere er inkludert, kan du bruke eksterne brukere som gruppen hvis den oppfyller dine behov for policyen.

  5. Velg når et policybrudd skal utløses under Opprett filtre for policyen. Velg å utløse når én enkelt aktivitet samsvarer med filtrene, eller bare når et angitt antall gjentatte aktiviteter oppdages.

    • Hvis du velger Gjentatt aktivitet, kan du angi I én enkelt app. Denne innstillingen utløser et policytreff bare når de gjentatte aktivitetene forekommer i samme app. Fem nedlastinger på 30 minutter fra Box utløser for eksempel et samsvar med policyen.

  6. Konfigurer handlingene som skal utføres når det blir funnet et treff.

Ta en titt på disse eksemplene:

  • Flere mislykkede pålogginger

    Du kan angi policy slik at du mottar et varsel når et stort antall mislykkede pålogginger innen kort tid oppstår. Hvis du vil konfigurere denne typen policy, velger du det aktuelle aktivitetsfilteret på siden Ny aktivitetspolicy .

    Under aktivitetsfiltrefeltet konfigurerer du parameterne som varselet skal utløses for.

    Policyeksempel for flere mislykkede påloggingsforsøk.

  • Høy nedlastingsfrekvens

    Du kan angi policyen slik at du mottar et varsel når det har vært et uventet eller ukarakteristisk nivå av nedlastingsaktivitet. Hvis du vil konfigurere denne typen policy, velger du parameterne under Satsparametere for å utløse varselet.

    eksempel på høy nedlastingshastighet.

Aktivitetspolicyreferanse

Denne delen har referansedetaljer om policyer, forklaringer for hver policytype og feltene som kan konfigureres for hver policy.

En aktivitetspolicy er en API-basert policy som gjør det mulig å overvåke organisasjonens aktiviteter i skyen. Policyen tar hensyn til over 20 filmetadatafiltre, inkludert enhetstype og plassering. Basert på policyresultatene kan varsler genereres, og brukere kan bli suspendert fra skyappen. Hver policy består av følgende deler:

  • Aktivitetsfiltre – gjør det mulig å opprette detaljerte betingelser basert på metadata.

  • Aktivitetssamslutningsparametere – Gjør det mulig å angi en terskel for antall ganger en aktivitet gjentas for å samsvare med policyen. Angi antall gjentatte aktiviteter som kreves for å samsvare med policyen. Du kan for eksempel angi en policy som varsler når en bruker har ti mislykkede påloggingsforsøk i en tidsramme på to minutter. Som standard opphøyer aktivitetssamselensparametere et treff for hver enkelt aktivitet som oppfyller alle aktivitetsfiltrene.

    • Ved hjelp av gjentatt aktivitet kan du angi antall gjentatte aktiviteter, varigheten av tidsrammen der aktivitetene telles. Du kan også angi at alle aktiviteter skal utføres av samme bruker og i samme skyapp.

  • Handlinger – Policyen inneholder et sett med styringshandlinger som kan brukes automatisk når brudd oppdages.

Neste trinn

Policyer for databeskyttelse

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.