Criteri di rilevamento anomalie di Cloud Discovery

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Questo articolo offre riferimenti dettagli sui criteri. Sono elencate le spiegazioni relative a ogni tipo di criterio e i campi che possono essere configurati per ogni criterio.

Informazioni di riferimento sui criteri Cloud Discovery di rilevamento di anomalie

Un criterio di rilevamento anomalie di Cloud Discovery consente di configurare e configurare il monitoraggio continuo di aumenti insoliti nell'utilizzo delle applicazioni cloud. Per ogni applicazione cloud, vengono considerati gli incrementi relativi alla quantità di dati scaricati e caricati, le transazioni e gli utenti. Ogni incremento viene confrontato con il modello di utilizzo normale dell'applicazione, definito in base all'utilizzo precedente. In caso di incrementi molto rilevanti vengono generati avvisi di sicurezza.

Per ogni criterio, vengono impostati filtri che consentono di monitorare in modo selettivo l'utilizzo dell'applicazione. Sono inclusi un filtro dell'applicazione, visualizzazioni dati selezionati e una data di inizio selezionata. È anche possibile impostare l'importanza, che consente di stabilire il numero di avvisi che il criterio dovrà generare.

  1. Nel portale Defender per il cloud App passare a Controlla>criteri>SHADOW IT.

  2. Selezionare Crea criteri e selezionare Criteri di rilevamento anomalie di Cloud Discovery.

    Create a Cloud Discovery policy.

Verrà visualizzata la pagina Crea criteri di rilevamento anomalie di Cloud Discovery .

Per ogni criterio, impostare i parametri seguenti:

  1. Decidere se si vuole basare il criterio su un modello. Un modello di criteri pertinente è Comportamento anomalo negli utenti individuati. Genera un avviso quando viene rilevato un comportamento anomalo per gli utenti e le app individuate, ad esempio il caricamento di grandi quantità di dati rispetto ad altri utenti o transazioni utente di grandi dimensioni rispetto alla cronologia dell'utente stesso. È anche possibile selezionare il modello Comportamento anomalo degli indirizzi IP individuati. Questo modello genera un avviso quando viene rilevato un comportamento anomalo per gli indirizzi IP e le app individuate, ad esempio il caricamento di grandi quantità di dati rispetto ad altri indirizzi IP o transazioni app di grandi dimensioni rispetto alla cronologia dell'indirizzo IP stesso.

    Select policy template.

  2. Specificare un Nome criterio e una Descrizione.

    Select policy name and description.

  3. Creare un filtro per le app da monitorare selezionando Seleziona un filtro. È possibile selezionare un filtro per tag app, app e dominio, categoria, vari fattori di rischio o punteggio di rischio. Per creare filtri aggiuntivi, selezionare Aggiungi un filtro.

    Select filter for apps.

  4. In Apply to (Applica a) impostare la modalità di filtro dell'utilizzo. I dati relativi all'utilizzo monitorato possono essere filtrati in due modi diversi:

    • Report continui : selezionare se monitorare tutti i report continui (impostazione predefinita) o scegliere Report continui specifici da monitorare.

      • Se si seleziona All continuous reports (Tutti i report continui), ogni incremento dell'utilizzo viene confrontato con il modello di utilizzo normale, definito in base a tutte le visualizzazioni dati.
      • Se si seleziona Report continui specifici, ogni incremento dell'utilizzo viene confrontato con il modello di utilizzo normale, definito in base alle stesse visualizzazioni dati nelle quali è stato rilevato l'incremento.
    • Utenti e indirizzi IP: ogni utilizzo dell'applicazione cloud è associato a un utente, a un indirizzo IP o a entrambi.

      • Se si seleziona Utenti, l'associazione dell'utilizzo dell'applicazione agli indirizzi IP viene ignorata.

      • Se si seleziona Indirizzi IP, l'associazione dell'utilizzo dell'applicazione agli utenti viene ignorata.

      • La selezione di utenti e indirizzi IP (impostazione predefinita) considera entrambe le associazioni, ma può generare avvisi duplicati quando è presente una corrispondenza stretta tra gli utenti e gli indirizzi IP.

    • Genera avvisi solo per attività sospette che si verificano dopo : qualsiasi aumento dell'utilizzo dell'applicazione prima che la data selezionata venga ignorata. Viene tuttavia acquisita l'attività prima della data selezionata per determinare il modello di utilizzo normale.

      Select usage to apply.

  5. In Avvisi è possibile impostare la riservatezza degli avvisi. Esistono diversi modi per controllare il numero di avvisi attivati dai criteri:

    • Dispositivo di scorrimento Select anomaly detection sensitivity (Seleziona sensibilità rilevamento anomalie): genera avvisi per le prime X attività anomale per 1.000 utenti alla settimana. Vengono generati avvisi per le attività a più alto rischio.

    • Selezionare Crea un avviso per ogni evento corrispondente con la gravità del criterio per impostare parametri aggiuntivi per l'avviso:

      • Inviare un avviso come posta elettronica : se si seleziona questa casella, immettere eventuali indirizzi di posta elettronica che devono ricevere l'avviso. Un massimo di 500 messaggi di posta elettronica verrà inviato per indirizzo di posta elettronica, al giorno (reimpostazione a mezzanotte nel fuso orario UTC).
      • Invia avviso come messaggio di testo : se si seleziona questa casella, immettere tutti i numeri di telefono che devono ricevere l'avviso tramite messaggio di testo. Un massimo di 10 messaggi di testo verrà inviato per numero di telefono, al giorno (reimpostazione a mezzanotte nel fuso orario UTC).
      • Limite di avviso giornaliero : è possibile scegliere di limitare il numero di avvisi generati in un singolo giorno.
      • Inviare avvisi a Power Automate: se si seleziona questa casella, è possibile scegliere un playbook per eseguire azioni quando viene generato un avviso.
    • Se si seleziona Salva come impostazioni predefinite, le opzioni per il limite di avvisi giornalieri, la posta elettronica e le impostazioni del messaggio di testo diventano le impostazioni predefinite dell'organizzazione. Per compilare queste impostazioni predefinite per un nuovo criterio, selezionare Ripristina impostazioni predefinite.

      Select alert settings.

  6. Selezionare Crea.

  7. Come per tutti i criteri, è possibile modificare, disabilitare e abilitare il criterio facendo clic sui tre punti alla fine della riga nella pagina Criteri. Per impostazione predefinita, un criterio appena creato è abilitato.

Passaggi successivi

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.