Vytvoření zásad aktivit v programu Microsoft Defender for Cloud Apps
Zásady aktivit umožňují vynucovat širokou škálu automatizovaných procesů pomocí rozhraní API poskytovatele aplikací. Díky těmto zásadám můžete sledovat konkrétní aktivity prováděné různými uživateli nebo neočekávaně vysoký objem jednoho konkrétního druhu aktivity.
Po nastavení zásad detekce aktivit se začnou generovat upozornění – upozornění se generují jenom u aktivit, ke kterým dojde po vytvoření zásad.
Poznámka:
- Zásady, které aktivují více než 200 000 shod za den nebo 100 000 shod za 3 hodiny, se můžou zakázat automaticky. Můžete zkusit upřesnit zásady přidáním dalších filtrů nebo, pokud používáte zásady pro účely vytváření sestav, zvažte jejich uložení jako dotazy .
- Nastavení nové zásady pro nasazení může trvat až 15 minut.
Vlastní upozornění
Zásady aktivit umožňují odesílat vlastní výstrahy nebo provádět akce, když se zjistí aktivita uživatele. Například chcete vědět pokaždé:
- Uživatel se pokusí přihlásit a za jednu minutu selže 70krát
- Uživatel stáhne 7 000 souborů
- Uživatel je přihlášený z neznámé země nebo oblasti.
Upozornění na aktivity můžete nastavit tak, aby se posílala sami sobě nebo uživateli, když k těmto událostem dojde. Uživatele můžete dokonce pozastavit, dokud nedokončíte vyšetřování toho, co se stalo.
Pokud budete chtít vytvořit novou zásadu aktivit, postupujte takto:
Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Pak vyberte kartu Detekce hrozeb.
Klikněte na Vytvořit zásadu a vyberte Zásady aktivit.
Zadejte název a popis zásady. Pokud chcete, můžete ji založit na šabloně. Další informace o šablonách zásad najdete v tématu Řízení cloudových aplikací pomocí zásad.
Akce nebo jiné metriky, které budou tuto zásadu aktivovat, můžete nastavit pomocí filtrů aktivit.
Abyste měli jistotu, že zahrnete jenom výsledky, ve kterých má zadané pole filtru hodnotu, doporučujeme přidat stejné pole znovu pomocí testu sady . Například při filtrování podle umístění se nerovná zadaný seznam zemí nebo oblastí, přidá se také filtr pro umístění. Náhled výsledků filtru můžete zobrazit také tak, že vyberete Upravit a zobrazit náhled výsledků. Příklad:
Pokud je filtr nastaven tak, aby se nerovnal a atribut v události neexistuje, událost nebude odfiltrována. Například filtrování na značce zařízení se nerovná hybridnímu připojení Microsoft Entra, nefiltruje události, které neobsahují značku zařízení, i když je zařízení připojeno k Microsoft Entra.
V případě uživatele typu host může docházet k případům, kdy filtr User From Group (Uživatel ze skupiny ) nerozpozná účet podle své domény. Pokud chcete zajistit, aby všichni uživatelé typu host byli zahrnuti, použijte externí uživatele jako skupinu, pokud splňuje vaše požadavky na zásadu.
V části Vytvořit filtry pro zásadu vyberte, kdy se aktivuje porušení zásad. Zvolte, že se aktivuje, když jedna aktivita odpovídá filtrům, nebo pouze v případech, kdy se zjistí zadaný počet opakovaných aktivit .
- Pokud zvolíte Opakovanou aktivitu, můžete ji nastavit v jedné aplikaci. Toto nastavení aktivuje shodu zásad pouze v případě, že opakované aktivity probíhají ve stejné aplikaci. Například pět stažení za 30 minut z Boxu aktivuje shodu zásad.
Nakonfigurujte akce, které se mají provést v případě zjištění shody.
Prohlédněte si tyto příklady:
Několik neúspěšných přihlášení
Zásady můžete nastavit tak, abyste dostali upozornění, když během krátkého časového období dojde k velkému počtu neúspěšných přihlášení. Chcete-li nakonfigurovat tento druh zásad, zvolte na stránce Nové zásady aktivity odpovídající filtr aktivit.
V části Filtry aktivity nakonfigurujte parametry, pro které se upozornění aktivují.
Vysoká míra stahování
Zásady si můžete nastavit tak, aby se vám zobrazilo upozornění, když bude zjištěna neočekávaná nebo neobvyklá úroveň aktivit stahování. Pokud chcete tento druh zásad nakonfigurovat, v části Parametry rychlosti zvolte parametry, které mají výstrahu aktivovat.
Referenční informace k zásadám aktivity
Tato část obsahuje podrobné informace o zásadách, vysvětlení jednotlivých typů zásad a polích, která je možné pro každou zásadu nakonfigurovat.
Zásady aktivit jsou zásady založené na rozhraní API, které umožňují monitorovat aktivity vaší organizace v cloudu. Zásady berou v úvahu více než 20 filtrů metadat souborů, včetně typu a umístění zařízení. Na základě výsledků zásad mohou být vygenerována oznámení a používání cloudové aplikace může být pro uživatele pozastaveno. Každá zásada se skládá z následujících částí:
Filtry aktivit – Umožňují vytvářet podrobné podmínky na základě metadat.
Parametry shody aktivity – Umožňují nastavit prahovou hodnotu pro počet opakování aktivity, aby byla vyhodnocena jako odpovídající zásadám. Zadejte počet opakovaných aktivit, které se mají shodovat se zásadami. Pokud má uživatel například 10 neúspěšných pokusů o přihlášení v 2minutovém časovém rámci, nastavte zásadu, která má výstrahu. Ve výchozím nastavení parametry shody aktivity vyvolávají shodu pro každou jednu aktivitu, která splňuje všechny filtry aktivit.
- Pomocí opakované aktivity můžete nastavit počet opakovaných aktivit, dobu trvání časového rámce, ve kterém se aktivity počítají. Můžete také určit, že všechny aktivity by měly provádět stejný uživatel a ve stejné cloudové aplikaci.
Akce – Zásady poskytují sadu akcí zásad správného řízení, které mohou být automaticky použity, pokud jsou rozpoznána narušení.
Další kroky
Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.