Anomáliadetektálási szabályzatAnomaly detection policy

Ez a cikk a szabályzatokkal kapcsolatos információkat tartalmaz, bemutatja az egyes szabályzattípusokat, illetve az egyes szabályzatoknál konfigurálható mezőket.This article provides reference details about policies, providing explanations for each policy type and the fields that can be configured for each policy.

Miután szervezetét az Cloud App Security szolgáltatással védetté tette, minden felhőtevékenység pontszámot kap az előre meghatározott kockázati tényezők alapján.After your organization is protected by Cloud App Security, all cloud activity is scored according to various pre-defined risk factors. A Cloud App Security minden felhasználói munkamenetet megvizsgál a felhőben az itt beállított kockázati tényezők alapján, hogy riasztást küldjön, ha olyan esemény történik, amely eltér a szervezetnél megszokottól vagy a felhasználó szokásos tevékenységétől.Cloud App Security looks at every user session on your cloud and then takes into consideration the risk factors you set here to alert you when something happens that is different from either the baseline of your organization or from the user's regular activity. Az anomáliadetektálási szabályzat oldalán lehetővé teszi, hogy konfigurálja és testre szabhatja, milyen kockázatitényező-családokat veszi figyelembe a kockázat pontszámításakor.The anomaly detection policy page allows you to configure and customize which risk factor families are considered in the risk scoring process. A szabályzatokat eltérő módon lehet betarttatni különböző felhasználóknál, helyeken és szervezeti szektorokban.The policies can be enforced differently for different users, locations, and organizational sectors. Létrehozhat például egy olyan szabályzatot, amely riasztást küld, ha az informatikai csapat tagjai az irodán kívül is aktívak.For example, you can create a policy that alerts you when members of your IT team are active from outside your offices.

A cloud App Security kezdeti tanulási időszaka hét nap során, ami azt nem ez a jelző bármely új felhasználók, a tevékenység, az eszközök vagy a helyek rendellenes tevékenységként ismeri.Cloud App Security has an initial learning period of seven days during which it does not flag any new users, activity, devices, or locations as anomalous. A későbbiekben minden munkamenetet összevet az elmúlt egy hónapban észlelt tevékenységekkel, az aktivitás idejével, IP-címével, az eszközökkel, illetve ezeknek a tevékenységeknek a kockázati pontszámával.After that, each session is compared to the activity, when users were active, IP addresses, devices, etc. detected over the past month and the risk score of these activities. A házirend az érzékenység csúszkája segítségével állítsa be a figyelmeztetéseket, amelyből minimális kockázati pontszámot.Use the sensitivity slider in the policy to set the minimum risk score from which alerts are triggered. Javasoljuk, hogy az anomáliadetektálási szabályzat létrehozásakor, használja az alapértelmezett érzékenységi küszöbérték hetente, mielőtt módosítaná az értesítések kapott, akkor több vagy kevesebb riasztások különböző kockázati pontszámaihoz, ha a Cloud App Security küld száma szerinti meg az érzékenységi módosítása.It is recommended that when you create an anomaly policy, use the default sensitivity threshold for a week, before you change it in accordance with the number of alerts you received, Cloud App Security sends you more or fewer alerts for various risk scores when you change the sensitivity.

Érzékenység csúszka

Anomáliadetektálási szabályzat beállítása:To configure an anomaly detection policy:

  1. Kattintson a konzolon a Vezérlés, majd pedig a Szabályzatok lehetőségre.In the console, click on Control followed by Policies.

  2. Kattintson a Szabályzat létrehozása gombra, és válassza az Anomáliadetektálási szabályzat lehetőséget.Click Create policy and select Anomaly detection policy.

    Anomáliadetektálási szabályzat menüjeAnomaly detection policy menu

  3. Adja meg a szabályzat nevét és leírását, majd lépjen tovább a Tevékenységszűrők mezőre, ahol kiválaszthatja azt a tevékenységet, amelyikre alkalmazni szeretné a szabályzatot.Fill in the policy's name and description, and continue to the Activity filters field where you can choose the activity for which you wish to apply the policy.

  4. Nevezze el a szabályzatot, és adja meg a leírását. Igény szerint a szabályzatot sablon alapján is létrehozhatja. A szabályzatsablonokkal kapcsolatos további információkért tekintse meg a Felhőalkalmazások szabályozása szabályzatokkal című részt.Give your policy a name and description, if you want you can base it on a template, for more information on policy templates, see Control cloud apps with policies.

  5. Ha a felhőkörnyezet összes tevékenységére alkalmazni szeretné a szabályzatot, válassza a Minden figyelt tevékenység lehetőséget.To apply the policy to all activities in your cloud environment, select All monitored activity. Ha a szabályzatot meghatározott tevékenységtípusokra szeretné korlátozni, válassza a Kijelölt tevékenység lehetőséget.To limit the policy to specific types of activities, choose Selected activity. Kattintson a Szűrők hozzáadása pontra, és állítsa be a megfelelő paramétereket a tevékenység szűréséhez.Click on Add filters and set the appropriate parameters by which to filter the activity. Ha például csak a Salesforce-rendszergazdák által végzett tevékenységeknél szeretné kényszeríteni a szabályzatot, válassza ezt a felhasználói címkét.For example, to enforce the policy only on activity performed by Salesforce admins, choose this user tag.

  6. Ez alatt a mező alatt állítsa be a Kockázati tényezőket.Underneath this field set the Risk factors. Kiválaszthatja, mely kockázatcsaládok figyelembevételével számítsa ki a rendszer a kockázati pontszámot.You can choose which risk families you want to consider while calculating the risk score. A sor jobb oldali az On-és kikapcsolása gomb segítségével engedélyezheti vagy letilthatja a különböző kockázatok.On the right of the row, you can use the On/Off button to enable and disable the various risks. Ezenkívül részletesebb beállításra is van lehetősége, ha kiválasztja a tevékenységet, amelyhez engedélyezi az egyes konkrét kockázatcsaládokat.Additionally, for greater granularity, you can choose the activity on which to enable each particular risk family.

    A kockázati tényezők az alábbiak:Risk factors are as follows:

    • Bejelentkezési hibák: Rövid időn belül többször próbálnak bejelentkezni a felhasználók, de sikertelenül?Login failures: Are users attempting to log in and failing multiple times over a short period?

    • Felügyeleti tevékenység: A rendszergazdák a kiemelt jogosultságú fiókjukkal szokatlan helyekről és időben próbálnak bejelentkezni?Admin activity: Are admins using their privileged accounts to log in from unusual locations or at strange hours?

    • Inaktív fiókok: Hirtelen olyan fiókban is tevékenység észlelhető, amelyet már egy ideje nem használtak?Inactive accounts: Is there suddenly activity on an account that hasn't been in use for some time?

    • Hely: szokatlan, gyanús vagy új helyen van a tevékenység?Location: Is there activity in an unusual, suspicious, or new location?

    • Lehetetlen odautazás: a felhasználó bejelentkezik-e az jelenti, és 10 perc múlva, később pedig Párizsból?Impossible travel: Is a user logging in from Denver and 10 minutes later logging in from Paris?

    • Eszköz és felhasználói ügynök: Fel nem ismert vagy nem felügyelt eszközről végzett tevékenység észlelhető?Device and user agent: Is there activity from an unrecognized or unmanaged device?

    • Tevékenységarány: Hirtelen sok tevékenység észlelhető egy adott alkalmazástól?Activity rate: Is there suddenly a lot of activity on a particular app? Nagyméretű letöltések vagy törlések, illetve tömeges fájlmegosztás vagy nagyszámú váratlan felügyeleti tevékenység észlelhető?Are there large downloads or deletes, or mass number of files shared or a lot of unexpected admin activity?

      Ezeket a paramétereket összetett forgatókönyvek meghatározására használhatja, például anomáliadetektáláskor az iroda IP-címtartományának a megfontolandó kockázati tényezők közüli kizárásához létrehozhat egy meghatározott „irodai IP” címkét, és kiszűrheti a tartományt a figyelembe vett paraméterek közül.You can use these parameters to define complex scenarios, for example, to exclude your office's IP range from the considered risk factors for anomaly detection, create a specific "office IP" tag and filter the range out of the considered parameters. Ezután kizárhatja a tartományhoz, amely a rendszergazdai tevékenységek rendellenességeinek észlelésekor létrehozott:To then exclude the range that you created from the admin activity anomaly detection:

    • A Kockázattípus kategóriában keresse meg a Felügyeleti tevékenységet.Within Risk type, find Admin activity.

    • Módosítsa az Alkalmaz beállítását a Kijelölt tevékenység lehetőségre.Change Apply to to Selected Activity.

    • A Tevékenységszűrők alatt állítsa be az Alkalmaz értékének a Kijelölt tevékenység lehetőséget, és Az összes következőnek megfelelő tevékenység alatt válassza a Rendszergazdai tevékenység beállításhoz az Igaz értéket.Under Activity filters, set Apply to to Selected activity and under Activities matching all of the following, choose Administrative activity is True.

    • Kattintson a + ikonra, és jelölje ki az IP tag does not equal (IP-címke nem egyezik) lehetőséget, majd válassza ki az Irodai IP címkét.Click on the + icon and select IP tag does not equal and select the Office IP tag.

  7. Az Érzékenység alatt válassza ki, hogy milyen gyakran szeretne riasztásokat kapni.Under Sensitivity, select how often you want to receive alerts.

    Az érzékenység értéke határozza meg, hány heti riasztás 1000 felhasználónként átlagban aktiválódnak.The sensitivity value determines how many weekly alerts are triggered on average for every 1,000 users.

    anomáliadetektálási IP-címekanomaly detection IPs

  8. Kattintson a Create (Létrehozás) gombra.Click Create.

Az anomáliadetektálási szabályzatok áttekintéseAnomaly detection policy reference

Az anomáliadetektálási szabályzatok beállítását, és kiszűri a tevékenységbeli anomáliákat felhasználói tevékenység folyamatos figyelését teszi lehetővé.An anomaly detection policy enables you to set up and configure continuous monitoring of user activity for behavioral anomalies. Az anomáliák kiszűrése a felhasználói tevékenység vizsgálatával történik.Anomalies are detected by scanning user activity. A kockázatok kiértékelése 30 különböző kockázati mutató figyelembevételével történik, amelyeket 6 kockázati tényezőbe csoportosítunk.The risk is evaluated by looking at over 30 different risk indicators, grouped into 6 risk factors. A szabályzat eredményei alapján biztonsági riasztások aktiválódnak.Based on the policy results, security alerts are triggered.
Az egyes szabályzatok a következő részekből tevődnek össze:Each policy is composed of the following parts:

  • Tevékenységszűrők – Az anomáliák vizsgálatát leszűkítheti szűrt felhasználói tevékenységre.Activity filters – Enable you to selectively scan only filtered user activity for anomalies.

  • Kockázati tényezők – Kiválaszthatja, hogy mely kockázati tényezők legyenek figyelembe véve a kockázatok kiértékelésekor.Risk factors – Enable you to choose which risk factors to include when evaluating risk.

  • Érzékenység – Beállíthatja, hogy a szabályzat hány riasztást aktiváljon.Sensitivity – Enable you to set how many alerts the policy should trigger.

TevékenységszűrőkActivity filters

A tevékenységszűrők listáját ebben a cikkben találja.For a list of Activity filters, see enter link description here.

Kockázati tényezőkRisk factors

Alább felsoroljuk azokat a kockázati tényezőket, amelyek a felhasználói tevékenység kockázatának kiértékelésekor minősülnek.Below is a list of the risk factors that are considered when evaluating the risk of user activity. Minden kockázati tényező be- és kikapcsolható.Each risk factor can be toggled on or off. Minden kockázati tényező esetén két lehetőség közül választhat a Hatókör mező alatt, ez határozza meg, hogy a kockázati tényező figyelembe legyen-e véve a felhasználói tevékenység kockázatának kiértékelésekor:For each risk factor there are two options under the Apply to field, which determine whether to include it when evaluating the risk of user activity:

  • Minden figyelt tevékenység – figyelembevétel minden olyan felhasználói tevékenység, amelyet továbbküld a szabályzat tevékenységszűrőjén.All monitored activity – include it for all user activity that passes the policy activity filter.

  • Kiválasztott tevékenység – figyelembevétel olyan felhasználói tevékenység, amelyet továbbküld a szabályzat tevékenységszűrőin és a kockázati tényező alatt megjelenő tevékenységszűrőkön is.Selected activity – include it for user activity that passes both the policy activity filters and the activity filters that appear under this risk factor. Ha ezt a lehetőséget választja, megjelenik egy tevékenységszűrő-választó, amely ugyanúgy működik mint a szabályzat tevékenységszűrője.When this option is selected an activity filter selector appears under the risk factor, which works exactly the same as the policy activity filter.

Miden, a kockázat kiértékelésekor figyelembe vett kockázati tényező, rendelkezik olyan kiváltó okokkal, amelyek a felhasználói tevékenység kiértékelt kockázati szintjének emelkedéséhez vezetnek:Each risk factor, when included in the risk evaluation, has its own triggers that cause an increase in the evaluated risk of user activity:

  • Sikertelen bejelentkezések – nagy számú sikertelen bejelentkezés, vagy csak sikertelen bejelentkezésekből álló tevékenység.Login failures – a high number of login failures or activity comprised entirely of login failures.

  • Rendszergazdai tevékenység - rendszergazdai tevékenység, amelyet egy váratlan felhasználó, vagy végrehajtani egy IP, Internetszolgáltatótól vagy helyről, amely új, vagy a szervezet bármely más felhasználó nem használt.Admin activity - administrative activity performed by an unexpected user, or performed from an IP, ISP, or location that are new, or not used by any other user in the organization.

  • Inaktív fiókok - nem volt aktív hosszú ideig felhasználó által végrehajtott tevékenység.Inactive accounts - activity performed by a user that was not active for a long time.

  • Hely -, egy IP, Internetszolgáltatótól vagy helyét, vagy soha nem semmilyen más felhasználó által használt, soha nem az adott felhasználó által használt, soha nem használták, vagy csak a sikertelen bejelentkezések korábban használt végrehajtott tevékenység.Location - activity performed from an IP, ISP, or location that were either never used by any other user, never used by this particular user, never used at all, or used only for login failures in the past.

  • Lehetetlen odautazás – tevékenység távoli helyekről rövid időn belül.Impossible travel - activity from remote locations within a short time.

  • Eszköz- és felhasználói ügynök – olyan felhasználói ügynököt vagy eszközt, vagy semmilyen más felhasználó nem használt soha, az adott felhasználó nem használt soha, vagy soha nem használt minden használó felhasználó által végrehajtott tevékenység.Device and user agent - activity performed by a user using a user agent or device that was either never used by any other user, never used by this particular user, or never used at all.

  • Tevékenységarány - a felhasználó által rövid idő alatt végrehajtott ismétlődő tevékenységek.Activity rate - repeated activities performed by a user within a short period.

ÉrzékenységSensitivity

A szabályzat által aktivált riasztások számát kétféleképpen szabályozhatja:There are two ways to control the number of alerts triggered by the policy:

  • Érzékenység csúszkája – válassza ki, hogy hetente 1000 felhasználónként hány riasztás legyen aktiválható.Sensitivity slider – choose how many alerts to trigger per 1,000 users per week. A figyelmeztetéseket a legmagasabb kockázattal rendelkező tevékenységek.The alerts are triggered of the activities with the highest risk.

  • Riasztások napi korlátja – a szabályzat által naponta aktiválható riasztások maximális számának korlátozása.Daily alert limit – restrict the number of alerts raised on a single day.

Lásd még:See Also

A felhőkörnyezet védelmét célzó mindennapi tevékenységek Daily activities to protect your cloud environment
Technikai támogatásért látogasson el a Cloud App Security személyes támogatási oldalára. For technical support, visit the Cloud App Security assisted support page.
A Premier ügyfelek a Premier portálról közvetlenül is kiválaszthatják a Cloud App Security szolgáltatást.Premier customers can also choose Cloud App Security directly from the Premier Portal.