Zásady detekce anomálií Cloud Discovery

Tento článek obsahuje referenční informace o zásadách. Zobrazí se vysvětlení jednotlivých typů zásad a polí, která je možné nakonfigurovat pro každou zásadu.

Zásady detekce anomálií Cloud Discovery – časová osa vyřazení

Do srpna 2024 vyřazujeme podporu "anomálií Cloud Discovery" z Programu Microsoft Defender for Cloud Apps.

Po pečlivé analýze a zvážení jsme se rozhodli ji vyřadit z důvodu vysoké míry falešně pozitivních výsledků spojených s tímto upozorněním, které jsme zjistili, nepřispívá efektivně k celkovému zabezpečení vaší organizace.

Náš výzkum ukázal, že tato funkce nepřidávala významnou hodnotu a nebyla v souladu s naším strategickým zaměřením na poskytování vysoce kvalitních a spolehlivých řešení zabezpečení.

Zavázali jsme se neustále zlepšovat naše služby a zajistit, aby splňovaly vaše potřeby a očekávání.

Pro ty, kteří chtějí pokračovat v používání této výstrahy, doporučujeme použít zásadu zjišťování aplikací a v části Aktivovat shodu zásad, pokud ve stejný den dojde ke všem následujícím akcím, nastavte filtry akordinaly.

Referenční informace k zásadám detekce anomálií Cloud Discovery

Zásady detekce anomálií Cloud Discovery umožňují nastavit a nakonfigurovat průběžné monitorování neobvyklých nárůstů využití cloudových aplikací. Nárůst stažených dat, nahraných dat, transakcí a uživatelů se pro každou cloudovou aplikaci zvažuje. Každý nárůst se porovnává se vzorem normálního využití aplikace vytvořeným na základě předchozího využívání. Extrémní nárůst aktivuje upozornění zabezpečení.

Pro každou zásadu nastavíte filtry, které umožňují selektivně monitorovat využití aplikací. Filtry zahrnují filtr aplikace, vybraná zobrazení dat a vybrané počáteční datum. Nastavit můžete také citlivost, která umožňuje zadat, kolik upozornění mají zásady aktivovat.

1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Pak vyberte kartu Stínová IT .

2. Vyberte Vytvořit zásadu a vyberte Zásady detekce anomálií Cloud Discovery.

   

Tím se dostanete na stránku zásad detekce anomálií Služby Cloud Discovery.

Pro každou zásadu nastavte následující parametry:

1. Rozhodněte se, jestli chcete zásadu založit na šabloně. Jednou z relevantních šablon zásad je neobvyklé chování v šabloně zjištěných uživatelů . Upozorní na neobvyklé chování zjištěných uživatelů a aplikací, například: velké objemy nahraných dat v porovnání s jinými uživateli, velké uživatelské transakce v porovnání s historií uživatele. Můžete také vybrat neobvyklé chování šablony zjištěných IP adres . Tato šablona upozorní, když se zjistí neobvyklé chování ve zjištěných IP adresách a aplikacích, například: velké objemy nahraných dat v porovnání s jinými IP adresami, velké transakce aplikací v porovnání s historií IP adres.

   

2. Zadejte Název zásady a Popis.

   

3. Výběrem možnosti Vybrat filtr vytvořte filtr pro aplikace, které chcete monitorovat. Můžete vybrat filtr podle značky aplikace, aplikace a domény, kategorie, různých rizikových faktorů nebo skóre rizika. Pokud chcete vytvořit další filtry, vyberte Přidat filtr.

   

4. V části Platí pro zadejte, jak chcete filtrovat použití. Monitorované využití lze filtrovat dvěma různými způsoby:

   • Průběžné sestavy – Vyberte, jestli chcete monitorovat všechny průběžné sestavy (výchozí), nebo zvolte Konkrétní průběžné sestavy , které chcete monitorovat.

     • Pokud vyberete možnost Všechny průběžné sestavy, bude se každý nárůst použití porovnávat se vzorem normálního použití vytvořeným ze všech zobrazení dat.
     • Při výběru konkrétních průběžných sestav se každé zvýšení využití porovná se vzorem normálního využití. Vzor se učí ze stejného zobrazení dat, ve které bylo zjištěno zvýšení.

   • Uživatelé a IP adresy – Každé použití cloudové aplikace je přidružené buď k uživateli, IP adrese, nebo k oběma.

     • Výběr možnosti Uživatelé ignoruje přidružení využití aplikace k IP adresám.

     • Výběr IP adres ignoruje přidružení využití aplikace k uživatelům.

     • Výběr uživatelů a IP adres (výchozí) považuje obě přidružení, ale může vést k duplicitním upozorněním v případě, že existuje úzká korespondence mezi uživateli a IP adresami.

   • Vyvolání výstrah pouze pro podezřelé aktivity, ke kterým dochází po – jakékoli zvýšení využití aplikace před vybraným datem se ignoruje. Aktivita před vybraným datem se ale naučí stanovit vzor normálního použití.

     

5. V části Výstrahy můžete nastavit citlivost upozornění. Existuje několik způsobů, jak řídit počet upozornění aktivovaných zásadou:

   • Posuvník Vyberte citlivost detekce anomálií – Vyvolá upozornění pro prvních X neobvyklých aktivit na 1000 uživatelů za týden. Výstrahy se aktivují pro aktivity s nejvyšším rizikem.

   • Výběrem možnosti Vytvořit výstrahu pro každou odpovídající událost se závažností zásady nastavíte další parametry pro výstrahu:

     • Odeslat upozornění jako e-mail – Pokud toto políčko zaškrtnete, zadejte všechny e-mailové adresy, které by měly upozornění obdržet. Na e-mailovou adresu se odešle maximálně 500 e-mailových zpráv za den (resetování o půlnoci v časovém pásmu UTC).)
     • Denní limit upozornění – Můžete se rozhodnout omezit počet výstrah vyvolaných na jeden den.
     • Odesílání upozornění do Power Automate – Pokud toto políčko zaškrtnete, můžete při vyvolání výstrahy vybrat playbook, který bude spouštět akce.

   • Pokud vyberete Možnost Uložit jako výchozí nastavení, vaše volby denního limitu upozornění a nastavení e-mailu se stanou výchozími nastaveními vaší organizace. Pokud chcete vyplnit tato výchozí nastavení pro novou zásadu, vyberte Obnovit výchozí nastavení.

     

6. Vyberte Vytvořit.

7. Stejně jako u všech zásad můžete zásadu upravit, zakázat a povolit kliknutím na tři tečky na konci řádku na stránce Zásady . Když ve výchozím nastavení vytvoříte zásadu, je povolená.

Další kroky

Osvědčené postupy pro ochranu vaší organizace

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.