Dela via

Skapa Microsoft Defender for Cloud Apps aktivitetsprinciper

  • Artikel

Med aktivitetsprinciper kan du framtvinga en mängd olika automatiserade processer med appleverantörens API:er. Med de här principerna kan du övervaka specifika aktiviteter som utförs av olika användare eller följa oväntat höga frekvenser för en viss typ av aktivitet.

När du har angett en aktivitetsidentifieringsprincip börjar den generera aviseringar – aviseringar genereras bara för aktiviteter som inträffar när du har skapat principen.

Obs!

  • Principer som utlöser fler än 200 000 matchningar per dag, eller 100 000 matchningar per 3 timmar, kan inaktiveras automatiskt. Du kan prova att förfina principer genom att lägga till ytterligare filter eller, om du använder principer i rapporteringssyfte, överväga att spara dem som frågor i stället.
  • Det kan ta upp till 15 minuter från konfigurationen av en ny princip till distributionen.

Anpassade aviseringar

Aktivitetsprinciper tillåter att anpassade aviseringar skickas eller åtgärder som vidtas när användaraktivitet identifieras. Du vill till exempel veta varje gång:

  • En användare försöker logga in och misslyckas 70 gånger på en minut
  • En användare laddar ned 7 000 filer
  • En användare loggas in från ett okänt land/en okänd region

Du kan ange att aktivitetsaviseringar ska skickas till dig själv eller till användaren när dessa händelser inträffar. Du kan till och med inaktivera användaren tills du är klar med att undersöka vad som hände.

Följ den här proceduren om du vill skapa en ny aktivitetsprincip:

  1. I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Välj sedan fliken Hotidentifieringar .

  2. Klicka på Skapa princip och välj Aktivitetsprincip.

    Skapa en princip för hotidentifiering.

  3. Ge principen ett namn och en beskrivning. Om du vill kan du basera den på en mall. Mer information om principmallar finns i Kontrollera molnappar med principer.

  4. Om du vill ange vilka åtgärder eller andra mått som ska utlösa den här principen arbetar du med aktivitetsfiltren.

    För att säkerställa att du bara inkluderar resultat där det angivna filterfältet har ett värde rekommenderar vi att du lägger till samma fält igen med hjälp av is set-testet . Om filtrering efter plats till exempel inte är lika med en angiven lista över länder/regioner, lägger du även till ett filter för Platshar angetts. Du kan också förhandsgranska filterresultaten genom att välja Redigera och förhandsgranska resultat. Till exempel:

    Skärmbild av filterinställningar som visar att platsfältet har angetts.

    När ett filter är inställt på är inte lika med och attributet inte finns på händelsen filtreras inte händelsen bort. Filtrering på enhetstaggen är till exempel inte lika med Microsoft Entra hybridanslutning inte filtrerar bort händelser som inte innehåller enhetstaggen, även om enheten är Microsoft Entra ansluten.

    Om det gäller en gästanvändare kan det finnas fall där filtret Användare från grupp inte känner igen kontot av dess domän. Om du vill se till att alla gästanvändare ingår använder du externa användare som grupp om de uppfyller dina behov för principen.

  5. Under Skapa filter för principen väljer du när en principöverträdelse ska utlösas. Välj att utlösa när en enskild aktivitet matchar filtren eller bara när ett angivet antal upprepade aktiviteter identifieras.

    • Om du väljer Upprepad aktivitet kan du ange I en enda app. Den här inställningen utlöser endast en principmatchning när upprepade aktiviteter sker i samma app. Till exempel utlöser fem nedladdningar på 30 minuter från Box en principmatchning.

  6. Konfigurera de åtgärder som ska vidtas när en matchning hittas.

Ta en titt på följande exempel:

  • Flera misslyckade inloggningar

    Du kan ange en princip så att du får en avisering när ett stort antal misslyckade inloggningar inom en kort tidsperiod inträffar. Om du vill konfigurera den här typen av princip väljer du lämpligt aktivitetsfilter på sidan Ny aktivitetsprincip .

    Under fältet Aktivitetsfilter konfigurerar du de parametrar som aviseringen ska utlösas för.

    Principexempel för flera misslyckade inloggningsförsök.

  • Hög nedladdningshastighet

    Du kan ange principen så att du får en avisering när det har uppstått en oväntad eller okarakteristisk nivå av nedladdningsaktivitet. Om du vill konfigurera den här typen av princip går du till Frekvensparametrar och väljer de parametrar som ska utlösa aviseringen.

    exempel på hög nedladdningshastighet.

Referens för aktivitetsprincip

Det här avsnittet innehåller referensinformation om principer, förklaringar för varje principtyp och de fält som kan konfigureras för varje princip.

En aktivitetsprincip är en API-baserad princip som gör att du kan övervaka organisationens aktiviteter i molnet. Principen tar hänsyn till över 20 filmetadatafilter, inklusive enhetstyp och plats. Baserat på principresultaten kan meddelanden genereras och användare kan inaktiveras från molnappen. Varje princip består av följande delar:

  • Aktivitetsfilter – Gör att du kan skapa detaljerade villkor baserat på metadata.

  • Parametrar för aktivitetsmatchning – Gör att du kan ange ett tröskelvärde för hur många gånger en aktivitet upprepas för att anses matcha principen. Ange antalet upprepade aktiviteter som krävs för att matcha principen. Ange till exempel en princip som aviserar när en användare har 10 misslyckade inloggningsförsök inom en tidsram på 2 minuter. Som standard genererar aktivitetsmatchningsparametrar en matchning för varje enskild aktivitet som uppfyller alla aktivitetsfilter.

    • Med upprepad aktivitet kan du ange antalet upprepade aktiviteter, varaktigheten för den tidsperiod då aktiviteterna räknas. Du kan också ange att alla aktiviteter ska utföras av samma användare och i samma molnapp.

  • Åtgärder – Principen innehåller en uppsättning styrningsåtgärder som kan tillämpas automatiskt när överträdelser identifieras.

Nästa steg

Dataskyddsprinciper

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.