Richtlinie zur Anomalieerkennung von Cloud DiscoveryCloud Discovery anomaly detection policy

Gilt für: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich.Threat protection product names from Microsoft are changing. Weitere Informationen zu diesem und anderen Updates finden Sie hier.Read more about this and other updates here. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.We'll be updating names in products and in the docs in the near future.

In diesem Artikel erhalten Sie Referenzdetails zu Richtlinien.This article gives you reference details about policies. Es werden einzelne Richtlinientypen und Felder erläutert, die für die Richtlinien konfiguriert werden können.Explanations for each policy type and fields that can be configured for each policy are listed.

Richtlinien Referenz zur Cloud Discovery AnomalieerkennungCloud Discovery anomaly detection policy reference

Mit einer Cloud Discovery Richtlinie zur Anomalieerkennung können Sie die kontinuierliche Überwachung ungewöhnlicher Steigerungen bei der Nutzung von cloudanwendungen einrichten und konfigurieren.A Cloud Discovery anomaly detection policy enables you to set up and configure continuous monitoring of unusual increases in cloud application usage. Für jede Cloudanwendung werden Anstiege des Umfangs herunter- und hochgeladener Daten, der Anzahl der Transaktionen und der Anzahl der Benutzer berücksichtigt.Increases in downloaded data, uploaded data, transactions, and users are considered for each cloud application. Jeder Anstieg wird mit dem normalen Nutzungsmuster der Anwendung gemäß bisheriger Nutzung verglichen.Each increase is compared to the normal usage pattern of the application as learned from past usage. Die extremsten Anstiege lösen Sicherheitswarnungen aus.The most extreme increases trigger security alerts.

Legen Sie für jede Richtlinie Filter fest, mit denen Sie die Anwendungsnutzung im Detail überwachen können.For each policy, you set filters that enable you to selectively monitor application usage. Sie können z. B. nach Anwendungen, ausgewählten Datenansichten und einem ausgewählten Startdatum filtern.Filters include an application filter, selected data views, and a selected start date. Außerdem können Sie die Empfindlichkeit festlegen. Damit können Sie definieren, wie viele Warnungen die Richtlinie auslösen soll.You can also set the sensitivity, which enables you to set how many alerts the policy should trigger.

  1. Wechseln Sie zu Steuerungs > Richtlinien > Schatten-IT.Go to Control > Policies > Shadow IT.

  2. Klicken Sie auf Richtlinie erstellen, und wählen Sie Richtlinie zur Cloud Discovery-Anomalieerkennung.Click Create policy and select Cloud Discovery anomaly detection policy.

    Erstellen einer Cloud Discovery-Richtlinie

Legen Sie für jede Richtlinie folgende Parameter fest:For each policy, set the following parameters:

  1. Entscheiden Sie, ob die Richtlinie auf einer Vorlage basieren soll.Decide if you want to base the policy on a template. Sie können z. B. die Richtlinienvorlage Anomalous behavior in discovered users (Anormales Verhalten der erkannten Benutzer) verwenden.One relevant policy template is the Anomalous behavior in discovered users template. Diese löst eine Warnung aus, wenn anormales Verhalten bei erkannten Benutzern und Apps festgestellt wird, z. B. eine große Menge an hochgeladenen Daten im Vergleich zu anderen Benutzern oder umfangreiche Benutzertransaktionen im Vergleich zum Verlauf des Benutzers.It alerts when anomalous behavior is detected in discovered users and apps, such as: large amounts of uploaded data compared to other users, large user transactions compared to the user's history. Außerdem können Sie die Vorlage Anomalous behavior of discovered IP addresses (Anormales Verhalten von erkannten IP-Adressen) auswählen.You can also select the Anomalous behavior of discovered IP addresses template. Diese löst eine Warnung aus, wenn anormales Verhalten von erkannten IP-Adressen und Apps erkannt wird: große Mengen an hochgeladenen Daten im Vergleich zu anderen IP-Adressen oder umfangreiche App-Transaktionen im Vergleich zum Verlauf der IP-Adresse.This template alerts when anomalous behavior is detected in discovered IP addresses and apps, such as: large amounts of uploaded data compared to other IP addresses, large app transactions compared to the IP address's history.

  2. Füllen Sie die Felder Richtlinienname und Beschreibung aus.Provide a Policy name and Description.

  3. Erstellen Sie einen Filter für die Apps, die Sie überwachen möchten, indem Sie auf Filter hinzufügen klicken.Create a filter for the apps you want to monitor by clicking Add filter. Sie können eine bestimmte APP oder eine APP- Kategorie auswählen oder nach Name, Domäne und Risikofaktor Filtern und dann auf Speichern klicken.You can select a specific app, an app Category, or filter by Name, Domain, and Risk factor, and click Save.

  4. Legen Sie unter Übernehmen für fest, wie die Nutzung gefiltert werden soll.Under Apply to, set how you want the usage to be filtered. Die überwachte Nutzung kann auf zwei verschiedene Arten gefiltert werden:The usage being monitored can be filtered in two different ways:

    • Fortlaufende Berichte: Wählen Sie aus, ob Sie All continuous reports (Alle fortlaufenden Berichte, Standardeinstellung) oder Specific continuous reports (Bestimmte fortlaufenden Berichte) überwachen möchten.Continuous reports – Select whether to monitor All continuous reports (default), or choose Specific continuous reports to monitor.

      • Wenn Sie All continuous reports (Alle kontinuierlichen Berichte) auswählen, wird jeder Anstieg der Nutzung mit dem normalen Nutzungsmuster verglichen, das auf der Grundlage aller Datenansichten ermittelt wird.When selecting All continuous reports, each usage increase is compared to the normal usage pattern as learned from all the data views.
      • Wenn Sie Specific continuous reports (Bestimmte fortlaufenden Berichte) auswählen, wird jeder Anstieg der Nutzung mit dem normalen Nutzungsmuster verglichen.When selecting Specific continuous reports, each usage increase is compared to the normal usage pattern. Dieses Muster basiert auf der Datenansicht, in der der Anstieg verzeichnet wurde.The pattern is learned from the same data view as the increase was observed in.
    • Benutzer und IP-Adressen: Jede Nutzung einer Cloudanwendung ist entweder mit einem Benutzer, einer IP-Adresse oder beidem verknüpft.Users and IP addresses –Every cloud application usage is associated either with a user, an IP address, or both.

      • Wenn Sie Benutzer auswählen, werden Zuordnungen der Anwendungsnutzung zu IP-Adressen ignoriert.Selecting Users ignores the association of application usage with IP addresses.

      • Wenn Sie IP-Adressen auswählen, werden Zuordnungen der Anwendungsnutzung zu Benutzern ignoriert.Selecting IP addresses ignores the association of application usage with users.

      • Bei Auswahl von Benutzer und IP-Adressen (Standardeinstellung) werden beide Zuordnungen berücksichtigt. Dies führt jedoch möglicherweise zu doppelten Warnungen, wenn eine enge Korrespondenz zwischen Benutzern und IP-Adressen besteht.Selecting Users and IP addresses (default) considers both associations, but may produce duplicate alerts when there is a tight correspondence between users and IP addresses.

    • Nur Warnungen für verdächtige Aktivitäten auslösen, die nach diesem Datum stattfinden: Anstiege der Anwendungsnutzung vor dem ausgewählten Datum werden ignoriert.Trigger alerts only for suspicious activities occurring after date – Any increase in application usage before the selected date is ignored. Allerdings wird die vor dem ausgewählten Datum stattfindende Aktivität zur Ermittlung des normalen Nutzungsmusters verwendet.However, activity from before the selected date is learned to establish the normal usage pattern.

  5. Unter Warnungen können Sie die Empfindlichkeit der Warnung festlegen.Under Alerts, you can set the alert sensitivity. Es gibt mehrere Möglichkeiten, die Anzahl der Warnungen zu steuern, die von der Richtlinie ausgelöst werden:There are a number of ways to control the number of alerts triggered by the policy:

    • Schieberegler Select anomaly detection sensitivity (Empfindlichkeit der Anomalieerkennung auswählen): Lösen Sie Warnungen für die Top X der ungewöhnlichen Aktivitäten für 1.000 Benutzer pro Woche aus.The Select anomaly detection sensitivity slider – Trigger alerts for the top X anomalous activities per 1,000 users per week. Die Warnungen werden für die Aktivitäten mit dem höchsten Risiko ausgelöst.The alerts are triggered for the activities with the highest risk.

    • Limit für tägliche Warnungen – beschränken Sie die Anzahl der Warnungen, die an einem einzelnen Tag ausgelöst werden.Daily alert limit – restrict the number of alerts raised on a single day. Sie können Send alert as email (Warnung als E-Mail senden) oder Send alert as text message or both (Warnung als SMS oder beides senden) auswählen.You can select whether to Send alert as email, Send alert as text message or both. Die Anzahl der als SMS gesendeten Nachrichten ist für die UTC-Zeitzone auf zehn pro Tag beschränkt. Dies bedeutet, dass das Limit von zehn Nachrichten in der UTC-Zeitzone um Mitternacht zurückgesetzt wird.Messages sent by text message are limited to 10 per day, for the UTC time zone, meaning that the 10 message limit resets at midnight in the UTC time zone.

    • Sie können auch die Option Use your organization's default settings (Standardeinstellungen Ihrer Organisation verwenden) auswählen.You can also select the option to Use your organization's default settings. Dann werden ein Limit für tägliche Warnungen sowie die Einstellungen für E-Mails und SMS aus den Standardeinstellungen Ihres Unternehmens übernommen.This option fills in the Daily alert limit, email, and text message settings from your organization's default settings. Um die Standardeinstellung festzulegen, geben Sie Werte unter Warnungskonfiguration ein, und klicken Sie auf Save these alert settings as the default for your organization (Warnungseinstellungen als Standard für Ihre Organisation festlegen).To set the default, fill out the Alert configuration settings and click Save these alert settings as the default for your organization.

  6. Klicken Sie auf Erstellen.Click Create.

  7. Wie bei allen Richtlinien können Sie die Richtlinie Bearbeiten, Deaktivieren und aktivieren , indem Sie auf der Seite Richtlinien auf die drei Punkte am Ende der Zeile klicken.Like with all policies, you can Edit, Disable, and Enable the policy by clicking the three dots at the end of the row in the Policies page. Standardmäßig werden neue Richtlinien immer aktiviert, sobald Sie diese erstellen.By default, when you create a policy it's enabled.

Nächste SchritteNext steps

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter.If you run into any problems, we're here to help. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.To get assistance or support for your product issue, please open a support ticket.