Megosztás a következőn keresztül:

Tevékenység-szabályzatok

  • Cikk

A tevékenységszabályzatok segítségével számos automatizált folyamatot kényszeríthet ki az alkalmazásszolgáltató API-ival. Ezek a házirendek lehetővé teszik a különböző felhasználók által végzett meghatározott tevékenységek figyelését, vagy bizonyos váratlanul nagy arányban előforduló tevékenységek követését.

Miután beállított egy tevékenységdetektálási szabályzatot, az elkezd riasztásokat generálni – de csak az olyan tevékenységekre vonatkozóan, amelyekre a szabályzat létrehozása után került sor.

Feljegyzés

  • A naponta több mint 200 000 egyezést vagy 3 óránként 100 000 egyezést aktiváló házirendek automatikusan le lesznek tiltva. A szabályzatok finomításához további szűrőket adhat hozzá, vagy ha jelentéskészítési célokra használ házirendeket, érdemes lehet inkább lekérdezésként menteni őket.
  • Az új szabályzat üzembe helyezésének beállítása akár 15 percet is igénybe vehet.

Egyéni riasztások

A tevékenységszabályzatok lehetővé teszik az egyéni riasztások küldését vagy a felhasználói tevékenység észlelésekor végrehajtott műveleteket. Például minden alkalommal tudni szeretné:

  • Egy felhasználó egy perc alatt 70 alkalommal próbál bejelentkezni, és 70-szer meghiúsul
  • A felhasználó 7000 fájlt tölt le
  • A felhasználó ismeretlen országból/régióból van bejelentkezve

Beállíthatja, hogy a tevékenységriasztások elküldhetők legyenek saját magának vagy a felhasználónak az ilyen események bekövetkezésekor. Akár felfüggesztheti is a felhasználót, amíg be nem fejezi a történtek kivizsgálását.

Új tevékenység-szabályzat létrehozásához kövesse az alábbi lépéseket:

  1. A Microsoft Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>. Ezután válassza a Fenyegetésészlelések lapot.

  2. Kattintson a Szabályzat létrehozása lehetőségre, majd válassza a Tevékenységszabályzat lehetőséget.

    Create a Threat Detection policy.

  3. Nevezze el a szabályzatot, és írjon hozzá leírást. Igény szerint sablon alapján is létrehozhatja a szabályzatot. A szabályzatsablonokkal kapcsolatos további információkért tekintse meg a Felhőalkalmazások szabályozása szabályzatokkal című részt.

  4. A szabályzatot aktiváló műveletek és más metrikák beállításához alkalmazzon Tevékenységszűrőket.

    Annak érdekében, hogy csak olyan eredményeket adjon meg, amelyekben a megadott szűrőmező értéke van, javasoljuk, hogy a beállított teszttel adja hozzá ismét ugyanazt a mezőt. Ha például a Helyszerinti szűrés nem egyenlő az országok/régiók megadott listájával, akkor a Hely beállításhoz is adjon hozzá szűrőt. A szűrőeredmények előnézetét a Szerkesztés és az eredmények előnézete lehetőséget választva is megtekintheti. Példa:

    Screenshot of filter settings, showing location field is set.

    Ha egy szűrő értéke nem egyenlő, és az attribútum nem létezik az eseményen, az esemény nem lesz szűrve. Az eszközcímkére való szűrés például nem egyenlő a Microsoft Entra hibrid csatlakoztatásával, nem szűri ki az eszközcímkét nem tartalmazó eseményeket, még akkor sem, ha az eszköz a Microsoft Entra-hoz csatlakozik.

    Vendégfelhasználó esetén előfordulhat, hogy a Felhasználó csoportból szűrő nem ismeri fel a fiókot a tartománya alapján. Ha meg szeretné győződni arról, hogy az összes vendégfelhasználó megtalálható, használja a külső felhasználókat csoportként, ha az megfelel a szabályzat igényeinek.

  5. A Szabályzat szűrőinek létrehozása csoportban válassza ki, hogy mikor aktiválódik egy szabályzatsértés. Válassza ki az aktiválást, ha egyetlen tevékenység megfelel a szűrőknek, vagy csak akkor, ha a rendszer meghatározott számú ismétlődő tevékenységet észlel.

    • Ha az Ismétlődő tevékenység lehetőséget választja, egyetlen alkalmazásban is beállíthatja. Ez a beállítás csak akkor aktiválja a szabályzategyezést, ha az ismétlődő tevékenységek ugyanabban az alkalmazásban történnek. Például a Boxtól 30 perc alatt öt letöltés aktivál egy szabályzategyezést.

  6. Állítsa be, milyen műveleteket hajtson végre a rendszer, amikor egyezést talál.

Vessen egy pillantást az alábbi példákra:

  • Több sikertelen bejelentkezés

    Beállíthatja a szabályzatot, hogy riasztást kapjon, ha rövid időn belül nagy számú sikertelen bejelentkezés történik. Az ilyen típusú szabályzat konfigurálásához válassza ki a megfelelő tevékenységszűrőt az Új tevékenységszabályzat lapon.

    A Tevékenységszűrők mező alatt adja meg azokat a paramétereket, amelyek teljesülésekor aktiválódik a riasztás.

    Policy example for multiple failed sign-in attempts.

  • Magas letöltési arány

    Beállíthatja úgy a szabályzatot, hogy riasztást kapjon, amikor váratlanul vagy szokatlanul magas számban fordulnak elő letöltések. Az ilyen típusú szabályzat konfigurálásához a Díjparaméterek csoportban válassza ki a riasztást aktiváló paramétereket.

    high download rate example.

Tevékenységszabályzat áttekintése

Ez a szakasz a szabályzatokkal kapcsolatos referenciaadatokat, az egyes szabályzattípusok magyarázatát és az egyes szabályzatokhoz konfigurálható mezőket tartalmazza.

A tevékenységszabályzat egy API-alapú szabályzat, amely lehetővé teszi a szervezet tevékenységeinek monitorozását a felhőben. A szabályzat több mint 20 fájl metaadatszűrőt vesz figyelembe, beleértve az eszköz típusát és helyét. A szabályzat eredményei alapján értesítések generálhatók, illetve felhasználók zárhatók ki ideiglenesen a felhőalkalmazásból. Az egyes szabályzatok a következő részekből tevődnek össze:

  • Tevékenységszűrők – Lehetővé teszi részletes feltételek létrehozását metaadatok alapján.

  • Tevékenységmegfeleltetési paraméterek – Beállíthat egy küszöbértéket, hogy egy adott tevékenységnek hányszor kell megismétlődnie ahhoz, hogy az szabályzat érvénybe lépjen. Adja meg a szabályzatnak megfelelő ismétlődő tevékenységek számát. Beállíthat például egy szabályzatot riasztásra, ha egy felhasználó 10 sikertelen bejelentkezési kísérlettel rendelkezik 2 perces időkeretben. Alapértelmezés szerint a tevékenységegyeztetési paraméterek egyezést adnak minden olyan tevékenységhez, amely megfelel az összes tevékenységszűrőnek.

    • Ismétlődő tevékenységek használatával megadhatja az ismétlődő tevékenységek számát, a tevékenységek megszámlálásának időtartamát. Azt is megadhatja, hogy az összes tevékenységet ugyanaz a felhasználó és ugyanabban a felhőalkalmazásban végezze el.

  • Műveletek – A szabályzat számos olyan irányítási műveletet kínál, melyet szabálysértés észlelése esetén a rendszer automatikusan elvégez.

Következő lépések

Adatvédelmi szabályzatok

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.