Dela via

Skapa principer för molnidentifiering

  • Artikel

Du kan skapa appidentifieringsprinciper som varnar dig när nya appar identifieras. Defender for Cloud Apps söker också igenom alla loggar i din molnidentifiering efter avvikelser.

Skapa en appidentifieringsprincip

Med identifieringsprinciper kan du ange aviseringar som meddelar dig när nya appar identifieras i din organisation.

  1. I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Välj sedan fliken Skugg-IT .

  2. Välj Skapa princip och välj sedan Appidentifieringsprincip.

    Skapa en princip för molnidentifiering.

  3. Ge principen ett namn och en beskrivning. Om du vill kan du basera den på en mall. Mer information om principmallar finns i Kontrollera molnappar med principer.

  4. Ange principens allvarlighetsgrad .

  5. Om du vill ange vilka identifierade appar som utlöser den här principen lägger du till filter.

  6. Du kan ange ett tröskelvärde för hur känslig principen ska vara. Aktivera Utlösa en principmatchning om alla följande inträffar samma dag. Du kan ange kriterier som appen måste överskrida dagligen för att matcha principen. Välj något av följande kriterier:

    • Daglig trafik
    • Nedladdade data
    • Antal IP-adresser
    • Antal transaktioner
    • Antal användare
    • Uppladdade data

  7. Ange en daglig aviseringsgräns under Aviseringar. Välj om aviseringen ska skickas som ett e-postmeddelande. Ange sedan e-postadresser efter behov.

    • Om du väljer Spara aviseringsinställningar som standard för din organisation kan framtida principer använda inställningen.
    • Om du har en standardinställning kan du välja Använd din organisations standardinställningar.

  8. Välj Styrningsåtgärder som ska tillämpas när en app matchar den här principen. Den kan tagga principer som sanktionerade, icke sanktionerade, övervakade eller en anpassad tagg.

  9. Välj Skapa.

Obs!

  • Nyligen skapade identifieringsprinciper (eller principer med uppdaterade kontinuerliga rapporter) utlöser en avisering en gång på 90 dagar per app per kontinuerlig rapport, oavsett om det finns befintliga aviseringar för samma app. Om du till exempel skapar en princip för att identifiera nya populära appar kan det utlösa ytterligare aviseringar för appar som redan har identifierats och aviseras.
  • Data från ögonblicksbildsrapporter utlöser inte aviseringar i appidentifieringsprinciper.

Om du till exempel är intresserad av att identifiera riskfyllda värdappar som finns i din molnmiljö anger du principen på följande sätt:

Ange principfiltren för att identifiera alla tjänster som finns i kategorin värdtjänster och som har riskpoängen 1, vilket indikerar att de är mycket riskfyllda.

Ange de tröskelvärden som ska utlösa en avisering för en viss identifierad app längst ned. Avisera till exempel bara om över 100 användare i miljön använde appen och om de laddade ned en viss mängd data från tjänsten. Dessutom kan du ange gränsen för dagliga aviseringar som du vill få.

exempel på appidentifieringsprincip.

Avvikelseidentifiering för molnidentifiering

Defender for Cloud Apps söker i alla loggar i din molnidentifiering efter avvikelser. Till exempel när en användare, som aldrig använt Dropbox tidigare, plötsligt laddar upp 600 GB till den, eller när det finns många fler transaktioner än vanligt i en viss app. Principen för avvikelseidentifiering är aktiverad som standard. Det är inte nödvändigt att konfigurera en ny princip för att den ska fungera. Du kan dock finjustera vilka typer av avvikelser som du vill få aviseringar om i standardprincipen.

  1. I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Välj sedan fliken Skugg-IT .

  2. Välj Skapa princip och välj Cloud Discovery-princip för avvikelseidentifiering.

    principmeny för avvikelseidentifiering för molnidentifiering.

  3. Ge principen ett namn och en beskrivning. Om du vill kan du basera den på en mall. Mer information om principmallar finns i Kontrollera molnappar med principer.

  4. Om du vill ange vilka identifierade appar som utlöser den här principen väljer du Lägg till filter.

    Filtren väljs från listrutorna. Om du vill lägga till filter väljer du Lägg till ett filter. Om du vill ta bort ett filter väljer du "X".

  5. Under Använd för att välja om den här principen ska gälla Alla kontinuerliga rapporter eller Specifika kontinuerliga rapporter. Välj om principen gäller för användare, IP-adresser eller båda.

  6. Välj de datum då den avvikande aktiviteten inträffade för att utlösa aviseringen under Skapa endast aviseringar för misstänkta aktiviteter som inträffar efter datum.

  7. Ange en daglig aviseringsgräns under Aviseringar. Välj om aviseringen ska skickas som ett e-postmeddelande. Ange sedan e-postadresser efter behov.

    • Om du väljer Spara aviseringsinställningar som standard för din organisation kan framtida principer använda inställningen.
    • Om du har en standardinställning kan du välja Använd din organisations standardinställningar.

  8. Välj Skapa.

    ny avvikelseprincip för identifiering.

Webbseminariet för konfiguration av appidentifiering och logginsamlare

Nästa steg

Användaraktivitetsprinciper

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.