Aktivitätsrichtlinien

  • Artikel

Mit Aktivitätsrichtlinien können Sie über die APIs des App-Anbieters eine Vielzahl von automatisierten Prozessen durchsetzen. Mit diesen Richtlinien können Sie bestimmte Aktivitäten überwachen, die von verschiedenen Benutzern durchgeführt werden, oder unerwartet hohe Raten eines bestimmten Aktivitätstyps verfolgen.

Nachdem Sie eine Aktivitätserkennungsrichtlinie festgelegt haben, beginnt diese mit der Generierung von Warnungen. Warnungen werden nur für Aktivitäten generiert, die nach der Erstellung der Richtlinie aufgetreten sind.

Hinweis

  • Richtlinien, die mehr als 200.000 Übereinstimmungen pro Tag auslösen, oder 100.000 Übereinstimmungen pro drei Stunden werden möglicherweise automatisch deaktiviert. Sie können versuchen, Richtlinien zu verfeinern, indem Sie zusätzliche Filter hinzufügen oder wenn Sie Richtlinien für Berichtszwecke verwenden, sie stattdessen als Abfragen speichern.
  • Es kann bis zu 15 Minuten dauern, bis eine neue Richtlinie für die Bereitstellung eingerichtet wird.

Benutzerdefinierte Warnungen

Mit Aktivitätsrichtlinien können Sie benutzerdefinierte Warnungen senden oder Aktionen ausführen werden, wenn bestimmte Benutzeraktivitäten erkannt werden. Sie möchten beispielsweise jedes Mal informiert werden, wenn eine der folgenden Aktionen stattfindet:

  • Ein Benutzer versucht sich anzumelden und scheitert 70 Mal in einer Minute
  • Ein Benutzer lädt 7.000 Dateien herunter
  • Ein Benutzer ist von einem unbekannten Land/einer unbekannten Region angemeldet

Sie können festlegen, dass Aktivitätswarnungen an Sie selbst oder an den Benutzer gesendet werden, wenn diese Ereignisse eintreten. Sie können den Benutzer sogar sperren, bis Sie die untersucht haben, was passiert ist.

Um eine neue Richtlinie für die Aktivität zu erstellen, führen Sie die folgenden Schritte aus:

  1. Gehen Sie im Microsoft Defender Portal unter Cloud Apps zu Richtlinien und wählen Sie dann Richtlinienverwaltung aus. Wählen Sie dann die Registerkarte Bedrohungserkennungen aus.

  2. Klicken Sie auf Richtlinie erstellen, und wählen Sie Aktivitätsrichtlinie.

    Create a Threat Detection policy.

  3. Benennen Sie die Richtlinie, und geben Sie eine Beschreibung an. Die Richtlinie kann auch auf einer Vorlage basieren. Weitere Informationen zu Richtlinienvorlagen finden Sie unter Control cloud apps with policies (Steuern von Cloud-Apps mit Richtlinien).

  4. Um festzulegen, welche Aktionen oder sonstige Metriken diese Richtlinie auslösen, arbeiten Sie mit den Aktivitätsfiltern.

    Um sicherzustellen, dass Sie nur Ergebnisse einschließen, bei denen das angegebene Filterfeld einen Wert aufweist, empfehlen wir, dasselbe Feld erneut mithilfe des Settests hinzuzufügen. Wenn das Filtern nach Standortbeispielsweise keiner angegebenen Liste von Ländern/Regionen entspricht, fügen Sie auch einen Filter für Standortfestgelegt hinzu. Sie können auch eine Vorschau der Filterergebnisse anzeigen, indem Sie Ergebnisse bearbeiten und voranzeigen auswählen. Beispiel:

    Screenshot of filter settings, showing location field is set.

    Wenn ein Filter nicht gleich ist und das Attribut für das Ereignis nicht vorhanden ist, wird das Ereignis nicht herausgefiltert. Die Filterung auf "Device Tag" entspricht beispielsweise nicht der in Microsoft Entra hybrid eingebundenen Ereignisse, die kein Device-Tag enthalten, auch wenn das Gerät mit Microsoft Entra verbunden ist.

    Bei einem Gastbenutzer kann es fälle geben, in denen der Filter "Benutzer aus Gruppe" das Konto nicht anhand seiner Aufgaben erkennt Standard. Um sicherzustellen, dass alle Gastbenutzer eingeschlossen sind, verwenden Sie die externen Benutzer als Gruppe, wenn sie Ihren Anforderungen für die Richtlinie entspricht.

  5. Wählen Sie unter Filter für die Richtlinie erstellen aus, wann eine Richtlinienverletzung ausgelöst wird. Wählen Sie die Auslösung aus, wenn eine einzelne Aktivität mit den Filtern übereinstimmt oder nur dann, wenn eine bestimmte Anzahl von wiederholten Aktivitäten erkannt wird.

    • Wenn Sie Wiederholte Aktivität ausgewählt haben, können Sie In einer einzelnen App festlegen. Durch diese Einstellung wird nur dann eine Richtlinienübereinstimmung ausgelöst, wenn die wiederholten Aktivitäten in derselben App auftreten. Fünf Downloads innerhalb von 30 Minuten aus Box lösen beispielsweise eine Richtlinienübereinstimmung aus.

  6. Konfigurieren Sie die Aktionen, die durchgeführt werden sollten, wenn eine Übereinstimmung gefunden wird.

Betrachten Sie diese Beispiele:

  • Mehrere fehlerhafte Anmeldungen

    Sie können Richtlinien so festlegen, dass Sie eine Warnung erhalten, wenn eine große Anzahl von fehlgeschlagenen Anmeldungen innerhalb eines kurzen Zeitraums auftritt. Um eine derartige Richtlinie zu konfigurieren, wählen Sie den entsprechenden Aktivitätsfilter auf der Seite Neue Aktivitätsrichtlinie aus.

    Konfigurieren Sie unterhalb des Felds Aktivitätsfilter die Parameter, für die die Warnung ausgelöst wird.

    Policy example for multiple failed sign-in attempts.

  • Hohe Downloadrate

    Sie können Ihre Richtlinie so festlegen, dass Sie eine Warnung erhalten, wenn ein unerwartetes oder uncharakteristisches Maß an Downloadaktivität auftritt. Um eine derartige Richtlinie zu konfigurieren, wählen Sie unter den Rate-Parametern die Parameter aus, die die Warnung auslösen sollen.

    high download rate example.

Aktivitätsrichtlinienreferenz

Dieser Abschnitt enthält die Referenzdetails zu Richtlinien und bietet Erklärungen zu jedem Richtlinientyp und den Feldern, die für jede Richtlinie konfiguriert werden können.

Ein Aktivitätsrichtlinie ist eine API-basierte Richtlinie, die es Ihnen ermöglicht, die Aktivitäten Ihrer Organisation in der Cloud zu überwachen. Die Richtlinie berücksichtigt über 20 Dateimetadatenfilter einschließlich Gerätetyp und Standort. Anhand der Richtlinienergebnisse können Benachrichtigungen generiert werden, und Benutzer können für die Cloud-App gesperrt werden. Jede Richtlinie besteht aus folgenden Teilen:

  • Aktivitätsfilter: Ermöglichen Ihnen anhand von Metadaten das Festlegen genauer Bedingungen.

  • Parameter für Aktivitätsübereinstimmung – Ermöglichen Ihnen, einen Schwellenwert für die Häufigkeit festzulegen, mit der festgestellt wird, ob eine Aktivität mit der Richtlinie übereinstimmt. Geben Sie die Anzahl der wiederholten Aktivitäten an, die erforderlich ist, um mit der Richtlinie übereinzustimmen. Legen Sie beispielsweise eine Richtlinie fest, die Sie warnt, wenn ein Benutzer 10 erfolglose Anmeldeversuche in einem Zeitraum von 2 Minuten ausführt. Die Einstellung Parameter für Aktivitätsübereinstimmung löst standardmäßig eine Übereinstimmung für jede einzelne Aktivität aus, die allen Aktivitätsfiltern entspricht.

    • Mit Wiederholte Aktivität können Sie die Anzahl der wiederholten Aktivitäten und die Dauer des Zeitraums, in dem die Aktivitäten gezählt werden, festlegen. Sie können auch festlegen, dass alle Aktivitäten von demselben Benutzer und in derselben Cloud-App durchgeführt werden sollen.

  • Aktionen – Die Richtlinie stellt einen Satz von Governanceaktionen bereit, die automatisch angewendet werden können, wenn Verstöße erkannt werden.

Nächste Schritte

Datenschutzrichtlinien

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.