Zásady aktivit

Poznámka

  • Přejmenovali jsme Microsoft Cloud App Security. Teď se jí říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovek a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Společnosti Microsoft najdete na blogu Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps je teď součástí Microsoft 365 Defender. Portál Microsoft 365 Defender umožňuje správcům zabezpečení provádět své úlohy zabezpečení na jednom místě. To zjednoduší pracovní postupy a přidá funkce ostatních služeb Microsoft 365 Defender. Microsoft 365 Defender bude domovem pro monitorování a správu zabezpečení napříč identitami, daty, zařízeními, aplikacemi a infrastrukturou Microsoftu. Další informace o těchto změnách najdete v tématu Microsoft Defender for Cloud Apps v Microsoft 365 Defender.

Zásady aktivit umožňují vynutit širokou škálu automatizovaných procesů pomocí rozhraní API poskytovatele aplikací. Díky těmto zásadám můžete sledovat konkrétní aktivity prováděné různými uživateli nebo neočekávaně vysoký objem jednoho konkrétního druhu aktivity.

Po nastavení zásad detekce aktivit se začnou generovat upozornění – upozornění se generují jenom u aktivit, ke kterým dojde po vytvoření zásad.

Poznámka

Zásady, které aktivují více než 50 000 shod za den, se po dobu 3 z posledních 7 dnů automaticky deaktivují. Zásady můžete zkusit upřesnit přidáním dalších filtrů, nebo pokud používáte zásady pro účely vytváření sestav, zvažte jejich uložení jako dotazy .

Vlastní výstrahy

Zásady aktivit umožňují odesílat vlastní upozornění nebo provádět akce, když se zjistí aktivita uživatele. Například chcete vědět pokaždé:

  • Uživatel se pokusí přihlásit a za minutu selže 70krát
  • Uživatel stáhne 7 000 souborů
  • Uživatel je přihlášený z neznámé země nebo oblasti.

Upozornění na aktivity můžete nastavit tak, aby se odesílala sami sobě nebo uživateli, když k těmto událostem dojde. Můžete dokonce pozastavit uživatele, dokud nedokončíte vyšetřování toho, co se stalo.

Pokud budete chtít vytvořit novou zásadu aktivit, postupujte takto:

  1. Přejděte kdetekci hrozebzásad>řízení>.

  2. Klikněte na Vytvořit zásadu a vyberte Zásady aktivit.

    Create a Threat Detection policy.

  3. Zadejte název a popis zásady. Pokud chcete, můžete ji založit na šabloně. Další informace o šablonách zásad najdete v tématu Řízení cloudových aplikací pomocí zásad.

  4. Akce nebo jiné metriky, které budou tuto zásadu aktivovat, můžete nastavit pomocí filtrů aktivit.

    Poznámka

    Abyste měli jistotu, že zahrnete jenom výsledky, ve kterých má zadané pole filtru hodnotu, doporučujeme přidat stejné pole znovu pomocí nastaveného testu. Pokud se například filtrování podle umístěnínerovná zadanému seznamu zemí nebo oblastí, přidá se také filtr pro umístění. Výsledky filtru můžete zobrazit také výběrem možnosti Upravit a zobrazit náhled výsledků.

    Screenshot of filter settings, showing location field is set.

  5. V části Parametry shody aktivity vyberte, kdy se aktivuje porušení zásad. Zvolte, že se má aktivovat, když jedna aktivita odpovídá filtrům, nebo pouze v případech, kdy se zjistí zadaný počet opakovaných aktivit .

    • Pokud zvolíte Opakovanou aktivitu, můžete nastavit v jedné aplikaci. Toto nastavení aktivuje shodu zásad pouze v případě, že se opakované aktivity vyskytují ve stejné aplikaci. Například pět stažení za 30 minut z Boxu aktivuje shodu zásad.
  6. Nakonfigurujte akce, které se mají provést v případě zjištění shody.

Prohlédněte si tyto příklady:

  • Několik neúspěšných přihlášení

    Zásady můžete nastavit tak, abyste dostali upozornění, když během krátkého časového období dojde k velkému počtu neúspěšných přihlášení. Chcete-li nakonfigurovat tento druh zásad, zvolte na stránce Nová zásada aktivity příslušný filtr aktivit.

    V části Filtry aktivity nakonfigurujte parametry, pro které se upozornění aktivují.

    Policy example for multiple failed sign-in attempts.

  • Vysoká míra stahování

    Zásady si můžete nastavit tak, aby se vám zobrazilo upozornění, když bude zjištěna neočekávaná nebo neobvyklá úroveň aktivit stahování. Pokud chcete nakonfigurovat tento druh zásad, zvolte v části Parametry rychlosti parametry, které mají výstrahu aktivovat.

    high download rate example.

Referenční informace k zásadám aktivity

Tato část obsahuje podrobné informace o zásadách, vysvětleních jednotlivých typů zásad a polích, která lze pro každou zásadu nakonfigurovat.

Zásady aktivit jsou zásady založené na rozhraní API, které umožňují monitorovat aktivity vaší organizace v cloudu. Tato zásada bere v úvahu více než 20 filtrů metadat souborů, včetně typu a umístění zařízení. Na základě výsledků zásad mohou být vygenerována oznámení a používání cloudové aplikace může být pro uživatele pozastaveno. Každá zásada se skládá z následujících částí:

  • Filtry aktivit – Umožňují vytvářet podrobné podmínky na základě metadat.

  • Parametry shody aktivity – Umožňují nastavit prahovou hodnotu pro počet opakování aktivity, aby byla vyhodnocena jako odpovídající zásadám. Zadejte počet opakovaných aktivit, které se mají shodovat se zásadami. Pokud má uživatel například 10 neúspěšných pokusů o přihlášení v 2minutovém časovém rámci, nastavte zásadu, která bude upozorňovat. Ve výchozím nastavení parametry shody aktivity zvyšují shodu pro každou jednu aktivitu, která splňuje všechny filtry aktivit.

    • Pomocí opakující se aktivity můžete nastavit počet opakovaných aktivit, dobu trvání časového rámce, ve kterém se aktivity počítají. Můžete také určit, že všechny aktivity by měly provádět stejný uživatel a ve stejné cloudové aplikaci.
  • Akce – Zásady poskytují sadu akcí zásad správného řízení, které mohou být automaticky použity, pokud jsou rozpoznána narušení.

Další kroky

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.