Skapa principer för molnidentifiering

Du kan skapa appidentifieringsprinciper för att varna dig när nya appar identifieras. Defender för Cloud Apps söker också i alla loggar i din molnidentifiering efter avvikelser.

Skapa en princip för appidentifiering

Med identifieringsprinciper kan du ställa in aviseringar så att du får meddelanden när nya appar identifieras i din organisation.

  1. I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Välj sedan fliken Skugg-IT.

  2. Välj Skapa princip och välj sedan Appidentifieringsprincip.

    Skapa en molnidentifieringsprincip.

  3. Ge principen ett namn och en beskrivning. Om du vill kan du basera den på en mall. Mer information om principmallar finns i Kontrollera molnappar med principer.

  4. Ange principens allvarlighetsgrad.

  5. Om du vill ange vilka identifierade appar som utlöser den här principen lägger du till filter.

  6. Du kan ange ett tröskelvärde för hur känslig principen ska vara. Aktivera Utlösa en principmatchning om alla följande inträffar samma dag. Du kan ange kriterier som appen måste överskrida dagligen för att matcha principen. Välj något av följande villkor:

    • Daglig trafik
    • Nedladdade data
    • Antal IP-adresser
    • Antal transaktioner
    • Antal användare
    • Uppladdade data
  7. Ange en daglig aviseringsgräns under Aviseringar. Välj om aviseringen ska skickas som ett e-postmeddelande. Ange sedan e-postadresser efter behov.

    • Om du väljer Spara aviseringsinställningar som standard för din organisation kan framtida principer använda inställningen.
    • Om du har en standardinställning kan du välja Använd din organisations standardinställningar.
  8. Välj Styrningsåtgärder som ska tillämpas när en app matchar den här principen. Den kan tagga principer som sanktionerade, osanktionerade, övervakade eller en anpassad tagg.

  9. Välj Skapa.

Kommentar

  • Nyligen skapade identifieringsprinciper (eller principer med uppdaterade kontinuerliga rapporter) utlöser en avisering en gång på 90 dagar per app per kontinuerlig rapport, oavsett om det finns befintliga aviseringar för samma app. Om du till exempel skapar en princip för att identifiera nya populära appar kan det utlösa ytterligare aviseringar för appar som redan har identifierats och aviseras.
  • Data från ögonblicksbildrapporter utlöser inte aviseringar i appidentifieringsprinciper.

Om du till exempel är intresserad av att upptäcka riskfyllda värdappar som finns i din molnmiljö anger du din princip på följande sätt:

Ange principfiltren för att identifiera alla tjänster som finns i kategorin värdtjänster och som har riskpoängen 1, vilket indikerar att de är mycket riskfyllda.

Ange de tröskelvärden som ska utlösa en avisering för en viss identifierad app längst ned. Till exempel aviseringar endast om över 100 användare i miljön använde appen och om de laddade ned en viss mängd data från tjänsten. Dessutom kan du ange en gräns för hur många aviseringar du vill få per dag.

exempel på appidentifieringsprincip.

Avvikelseidentifiering för molnidentifiering

Defender för Cloud Apps söker igenom alla loggar i din molnidentifiering efter avvikelser. Till exempel när en användare, som aldrig använt Dropbox tidigare, plötsligt laddar upp 600 GB till den, eller när det finns många fler transaktioner än vanligt i en viss app. Principen för avvikelseidentifiering är aktiverad som standard. Det är inte nödvändigt att konfigurera en ny princip för att den ska fungera. Du kan dock finjustera vilka typer av avvikelser som du vill få aviseringar om i standardprincipen.

  1. I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Välj sedan fliken Skugg-IT.

  2. Välj Skapa princip och välj Cloud Discovery-princip för avvikelseidentifiering.

    principmeny för molnidentifiering av avvikelseidentifiering.

  3. Ge principen ett namn och en beskrivning. Om du vill kan du basera den på en mall. Mer information om principmallar finns i Kontrollera molnappar med principer.

  4. Om du vill ange vilka identifierade appar som utlöser den här principen väljer du Lägg till filter.

    Filtren väljs från listrutor. Om du vill lägga till filter väljer du Lägg till ett filter. Om du vill ta bort ett filter väljer du "X".

  5. Under Använd för att välja om den här principen ska tillämpas på Alla kontinuerliga rapporter eller Specifika kontinuerliga rapporter. Välj om principen ska gälla för användare, IP-adresser eller båda.

  6. Under Varna enbart för misstänkta aktiviteter som inträffar efter datumet väljer du datumet då de avvikande aktiviteterna ägt rum.

  7. Ange en daglig aviseringsgräns under Aviseringar. Välj om aviseringen ska skickas som ett e-postmeddelande. Ange sedan e-postadresser efter behov.

    • Om du väljer Spara aviseringsinställningar som standard för din organisation kan framtida principer använda inställningen.
    • Om du har en standardinställning kan du välja Använd din organisations standardinställningar.
  8. Välj Skapa.

    ny identifieringsavvikelseprincip.

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.