Creare criteri di Cloud Discovery

  • Articolo

È possibile creare i criteri di individuazione app per ricevere un avviso quando vengono rilevate nuove app. Defender per il cloud App esegue anche ricerche in tutti i log in Cloud Discovery per rilevare anomalie.

Creazione di un criterio di individuazione delle app

I criteri di individuazione consentono di impostare avvisi che segnalano il rilevamento di nuove app all'interno dell'organizzazione.

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Selezionare quindi la scheda Shadow IT .

  2. Selezionare Crea criterio e quindi criteri di individuazione delle app.

    Create a Cloud Discovery policy.

  3. Specificare un nome e una descrizione per il criterio. Se si desidera, è possibile basarlo su un modello. Per altre informazioni sui modelli di criteri, vedere Controllare le app cloud con i criteri.

  4. Impostare la gravità del criterio.

  5. Per stabilire quali app individuate attivano questo criterio, aggiungere i filtri.

  6. È possibile impostare una soglia per la sensibilità del criterio. Abilitare Attiva una corrispondenza di criteri se tutti gli eventi seguenti si verificano nello stesso giorno. È possibile impostare valori che l'app deve superare ogni giorno per attivare il criterio. Selezionare una delle opzioni seguenti:

    • Traffico giornaliero
    • Dati scaricati
    • Numero di indirizzi IP
    • Numero di transazioni
    • Numero di utenti
    • Dati caricati

  7. Impostare un Limite di avvisi giornaliero sotto Avvisi. Selezionare se l'avviso viene inviato come messaggio di posta elettronica. Specificare quindi gli indirizzi di posta elettronica in base alle esigenze.

    • Se si seleziona Salva impostazioni avviso come impostazione predefinita per l'organizzazione , i criteri futuri possono usare l'impostazione .
    • Se si dispone di un'impostazione predefinita, è possibile selezionare Usa le impostazioni predefinite dell'organizzazione.

  8. Selezionare le azioni di governance da applicare quando un'app soddisfa questo criterio. Può contrassegnare i criteri come Approvato, Non approvato, Monitorato o un tag personalizzato.

  9. Seleziona Crea.

Nota

  • I nuovi criteri di individuazione (o i criteri con report continui aggiornati) attivano un avviso una volta in 90 giorni per ogni app per ogni report continuo, indipendentemente dal fatto che siano presenti avvisi esistenti per la stessa app. Ad esempio, se si crea un criterio per l'individuazione di nuove app popolari, potrebbe attivare avvisi aggiuntivi per le app già individuate e avvisate.
  • I dati dei report snapshot non attivano avvisi nei criteri di individuazione delle app.

Se ad esempio si è interessati a individuare app di hosting rischiose trovate nell'ambiente cloud, impostare i criteri come indicato di seguito:

Impostare i filtri per i criteri in modo da individuare eventuali servizi nella categoria Servizi di hosting che hanno un punteggio di rischio 1, corrispondente a un fattore di rischio elevato.

Impostare nella parte inferiore le soglie che genereranno un avviso per il rilevamento di una determinata app. Ad esempio, è possibile impostare la restituzione un avviso solo se oltre 100 utenti dell'ambiente hanno usato l'app e se hanno scaricato una certa quantità di dati dal servizio. È inoltre è possibile impostare il limite di avvisi giornalieri che si vogliono ricevere.

app discovery policy example.

Rilevamento di anomalie di Cloud Discovery

Defender per il cloud App cerca le anomalie in tutti i log in Cloud Discovery. Sono esempi il caso in cui un utente che non ha mai usato Dropbox carica improvvisamente 600 GB in Dropbox oppure il caso in cui si verificano più transazioni del solito in una particolare app. I criteri di rilevamento anomalie sono abilitati per impostazione predefinita. Non è necessario configurare nuovi criteri per farli funzionare. È tuttavia possibile definire con precisione i tipi di anomalie di cui si desidera essere avvisati nei criteri predefiniti.

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Selezionare quindi la scheda Shadow IT .

  2. Selezionare Crea criterio e selezionare Criteri di rilevamento anomalie di Cloud Discovery.

    cloud discovery anomaly detection policy menu.

  3. Specificare un nome e una descrizione per il criterio. Se lo si desidera è possibile basarsi su un modello. Per altre informazioni sui modelli di criteri, vedere Controllare le app cloud mediante criteri.

  4. Per impostare le app individuate che attivano questo criterio, selezionare Aggiungi filtri.

    I filtri vengono scelti da elenchi a discesa. Per aggiungere filtri, selezionare Aggiungi un filtro. Per rimuovere un filtro, selezionare "X".

  5. In Applica a scegliere se questi criteri si applicano a Tutti i report continui o a Report continui specifici. Selezionare se i criteri si applicano a Utenti, Indirizzi IP o a entrambi.

  6. Selezionare le date in cui è avvenuta l'attività anomala per generare l'avviso in Genera gli avvisi solo per le attività sospette che si verificano dopo la data.

  7. Impostare un Limite di avvisi giornaliero sotto Avvisi. Selezionare se l'avviso viene inviato come messaggio di posta elettronica. Specificare quindi gli indirizzi di posta elettronica in base alle esigenze.

    • Se si seleziona Salva impostazioni avviso come impostazione predefinita per l'organizzazione , i criteri futuri possono usare l'impostazione .
    • Se si dispone di un'impostazione predefinita, è possibile selezionare Usa le impostazioni predefinite dell'organizzazione.

  8. Seleziona Crea.

    new discovery anomaly policy.

Webinar sulla configurazione dell'agente di raccolta log e individuazione delle app

Passaggi successivi

Criteri attività utente

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.