Bulut için Microsoft Defender Uygulamaları etkinlik ilkeleri oluşturma

Etkinlik ilkeleri, uygulama sağlayıcısının API'lerini kullanarak çok çeşitli otomatik işlemleri zorunlu kılmanıza olanak sağlar. Bu ilkeler çeşitli kullanıcılar tarafından yürütülen belirli etkinlikleri izlemenize veya belirli tek bir etkinlik türünün beklenmedik düzeyde yükselen oranlarını izlemenize olanak tanır.

Bir etkinlik algılama ilkesi ayarladığınızda, bu ilke uyarı oluşturmaya başlar. Yalnızca ilkeyi oluşturmanızdan sonra gerçekleşen olaylar için uyarı verilir.

Not

  • Günde 200.000'den fazla eşleşme veya 3 saatte 100.000 eşleşme tetikleyen ilkeler otomatik olarak devre dışı bırakılabilir. Ek filtreler ekleyerek ilkeleri iyileştirmeyi deneyebilir veya raporlama amacıyla ilkeler kullanıyorsanız, bunları sorgu olarak kaydetmeyi göz önünde bulundurun.
  • Yeni bir ilkenin ayarlanmasından dağıtıma kadar 15 dakika kadar sürebilir.

Özel uyarılar

Etkinlik ilkeleri, özel uyarıların gönderilmesine veya kullanıcı etkinliği algılandığında gerçekleştirilecek eylemlere izin verir. Örneğin, her seferinde bilmek istersiniz:

  • Kullanıcı oturum açmaya çalışır ve bir dakikada 70 kez başarısız olur
  • Kullanıcı 7.000 dosya indirir
  • Kullanıcı, yabancı bir ülkeden/bölgeden oturum açmış

Bu olaylar gerçekleştiğinde kendinize veya kullanıcıya gönderilecek etkinlik uyarıları ayarlayabilirsiniz. Hatta ne olduğunu araştırmayı bitirene kadar kullanıcıyı askıya alabilirsiniz.

Yeni etkinlik ilkesi oluşturmak için bu yordamı izleyin:

  1. Microsoft Defender Portalı'nda, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Ardından Tehdit algılamaları sekmesini seçin.

  2. İlke oluştur’a tıklayın ve Etkinlik ilkesi’ni seçin.

    Tehdit Algılama ilkesi oluşturun.

  3. İlkeniz için ad ve açıklama sağlayın. İsterseniz bunun için bir şablonu temel alabilirsiniz. İlke şablonları hakkında daha fazla bilgi için bkz. Bulut uygulamalarını ilkelerle denetleme.

  4. Bu ilkeyi hangi eylemlerin veya başka ölçümlerin tetikleyeceğini ayarlamak için, Etkinlik filtreleri ile çalışın.

    Yalnızca belirtilen filtre alanının değeri olan sonuçları eklediğinizden emin olmak için, ayarlanmış testi kullanarak aynı alanı yeniden eklemenizi öneririz. Örneğin, Konuma göre filtreleme belirtilen bir ülke/bölge listesine eşit değilse, Konum için de bir filtre ayarlanır. Ayrıca, Sonuçları düzenle ve önizle'yi seçerek filtre sonuçlarının önizlemesini de görebilirsiniz. Örneğin:

    Konum alanının ayarlandığını gösteren filtre ayarlarının ekran görüntüsü.

    Bir filtre eşit değil olarak ayarlandığında ve özniteliği olayda mevcut değilse, olay filtrelenmez. Örneğin, Cihaz Etiketi'nde filtreleme, Microsoft Entra karma katılmış değerine eşit değildir, cihaz Microsoft Entra'ya katılmış olsa bile Cihaz etiketi içermeyen olayları filtrelemez.

    Konuk kullanıcı söz konusu olduğunda, Gruptan Kullanıcı filtresinin hesabı etki alanına göre tanımadığı durumlar olabilir. Tüm konuk kullanıcıların dahil olduğundan emin olmak için, ilke gereksinimlerinizi karşılıyorsa grup olarak Dış kullanıcılar'ı kullanın.

  5. İlke için filtre oluştur'un altında, ilke ihlalinin ne zaman tetikleneceğini seçin. Tek bir etkinlik filtrelerle eşleştiğinde veya yalnızca belirtilen sayıda Yinelenen etkinlik algılandığında tetiklemeyi seçin.

    • Yinelenen etkinlik'i seçerseniz, Tek bir uygulamada seçeneğini belirleyebilirsiniz. Bu ayar yalnızca aynı uygulamada yinelenen etkinlikler gerçekleştiğinde bir ilke eşleşmesi tetikler. Örneğin, Box'tan 30 dakikada beş indirme bir ilke eşleşmesi tetikler.
  6. Eşleşme bulunduğunda gerçekleştirilmesi gereken Eylemler’i yapılandırın.

Aşağıdaki örnekleri gözden geçirin:

  • Birden çok başarısız oturum açma girişimi

    İlkeyi, kısa bir süre içinde çok sayıda başarısız oturum açma işlemi gerçekleştiğinde uyarı alacak şekilde ayarlayabilirsiniz. Bu tür bir ilkeyi yapılandırmak için Yeni Etkinlik İlkesi sayfasında uygun etkinlik filtresini seçin.

    Etkinlik filtreleri alanının altında, uyarıyı tetikleyecek parametreleri yapılandırın.

    Birden çok başarısız oturum açma girişimi için ilke örneği.

  • Yüksek indirme oranı

    İlkenizi, beklenmedik veya normal olmayan düzeyde indirme etkinliği olduğunda uyarı alacak şekilde ayarlayabilirsiniz. Bu tür bir ilkeyi yapılandırmak için, Hız parametreleri'nin altında uyarıyı tetikleyen parametreleri seçin.

    yüksek indirme oranı örneği.

Etkinlik ilkesi başvurusu

Bu bölümde ilkeler hakkında başvuru ayrıntıları, her ilke türü için açıklamalar ve her ilke için yapılandırılabilir alanlar bulunur.

Etkinlik ilkesi, kuruluşunuzun buluttaki etkinliklerini izlemenizi sağlayan API tabanlı bir ilkedir. İlke, cihaz türü ve konumu dahil olmak üzere 20'den fazla dosya meta veri filtresini dikkate alır. İlke sonuçları temelinde, bildirimler oluşturulabilir ve kullanıcılar bulut uygulamasında askıya alınabilir. Her ilke şu bölümlerden oluşur:

  • Etkinlik filtreleri – Meta verileri temel alan ayrıntılı koşullar oluşturmanıza olanak tanır.

  • Etkinlik eşleştirme parametreleri – Etkinliğin ilkeyle eşleştiğini kabul etmek için kaç kez yinelenmesi gerektiğini gösteren eşiği ayarlamanıza olanak tanır. İlkeyle eşleşmesi için gereken yinelenen etkinliklerin sayısını belirtin. Örneğin, bir kullanıcının 2 dakikalık bir zaman diliminde 10 başarısız oturum açma girişimi olduğunda uyarı vermek için bir ilke ayarlayın. Varsayılan olarak, Etkinlik eşleştirme parametreleri tüm etkinlik filtrelerini karşılayan her etkinlik için bir eşleşme oluşturur.

    • Yinelenen etkinliği kullanarak yinelenen etkinliklerin sayısını, etkinliklerin sayıldığı zaman diliminin süresini ayarlayabilirsiniz. Tüm etkinliklerin aynı kullanıcı tarafından ve aynı bulut uygulamasında gerçekleştirilmesi gerektiğini de belirtebilirsiniz.
  • Eylemler – İlke, ihlaller algılandığında otomatik olarak uygulanabilecek bir dizi idare eylemi sağlar.

Sonraki adımlar

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.