Criteri attività

Nota

  • Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

I criteri di attività consentono di applicare un'ampia gamma di processi automatizzati usando le API del provider di app. Questi criteri consentono di monitorare specifiche attività svolte dai diversi utenti o di seguire i livelli inaspettatamente elevati di un determinato tipo di attività.

Dopo aver impostato un criterio di rilevamento attività, viene avviata la generazione di avvisi: gli avvisi vengono generati solo per le attività che si verificano dopo aver creato il criterio.

Nota

I criteri che attivano più di 50.000 corrispondenze al giorno, per 3 degli ultimi 7 giorni, vengono disabilitati automaticamente. È possibile provare a perfezionare i criteri aggiungendo altri filtri o, se si usano criteri per la creazione di report, è consigliabile salvarli come query .

Avvisi personalizzati

I criteri attività consentono l'invio di avvisi personalizzati o l'esecuzione di azioni quando viene rilevata un'attività dell'utente. È possibile, ad esempio, essere informati ogni volta che:

  • un utente prova ad accedere e il tentativo di accesso ha esito negativo 70 volte in un minuto
  • un utente scarica 7.000 file
  • Un utente ha effettuato l'accesso da un paese o un'area geografica non nota

Gli avvisi di attività possono essere impostati per l'invio a se stessi o all'utente quando si verificano questi eventi. È anche possibile sospendere l'utente fino a quando non si è terminato di analizzare l'evento.

Per creare un nuovo criterio attività, seguire questa procedura:

  1. Passare a Criteri di controllo>>Rilevamenti minacce.

  2. Fare clic su Crea criterio e selezionare Criteri attività.

    Create a Threat Detection policy.

  3. Assegnare al criterio un nome e una descrizione, eventualmente basandosi su un modello. Per altre informazioni sui modelli di criteri, vedere Controllare le app cloud mediante criteri.

  4. Per impostare le azioni o altre metriche che attiveranno il criterio, utilizzare Filtri attività.

    Nota

    Per assicurarsi di includere solo i risultati in cui il campo del filtro specificato ha un valore, è consigliabile aggiungere di nuovo lo stesso campo usando il test impostato . Ad esempio, quando si filtra in base a Localitànon è uguale a un elenco specificato di paesi/aree geografiche, viene impostato anche un filtro per Località. È anche possibile visualizzare in anteprima i risultati del filtro selezionando Modifica e visualizza in anteprima i risultati.

    Screenshot of filter settings, showing location field is set.

  5. In Activity match parameters (Parametri di corrispondenza attività) selezionare quando verrà attivata una violazione dei criteri. Scegliere di attivarla quando una singola attività corrisponde ai filtri o solo quando viene rilevato un numero specificato di attività ripetute.

    • Se si sceglie Attività ripetuta, è possibile impostare In una singola app. Questa impostazione attiverà una corrispondenza di criteri solo quando le attività ripetute si verificano nella stessa app. Ad esempio, cinque download in 30 minuti da Box attivano una corrispondenza di criteri.
  6. Configurare le azioni da eseguire quando viene rilevata unacorrispondenza.

Prendere in esame gli esempi seguenti:

  • Più tentativi di accesso non riusciti

    È possibile impostare criteri in modo da ricevere un avviso quando si verifica un numero elevato di accessi non riusciti entro un breve periodo di tempo. Per configurare questo tipo di criteri, scegliere il filtro attività appropriato nella pagina New Activity Policy (Nuovi criteri attività).

    Sotto il campo Filtri attività configurare i parametri per la generazione dell'avviso.

    Policy example for multiple failed sign-in attempts.

  • Elevato tasso di download

    È possibile impostare un criterio in modo da ricevere un avviso quando si verifica un imprevisto o inusuale tasso di attività di download. Per configurare questo tipo di criteri, nei parametri Quantità scegliere i parametri per attivare l'avviso.

    high download rate example.

Informazioni di riferimento sui criteri attività

Questa sezione include informazioni di riferimento dettagliate sui criteri, spiegazioni relative a ogni tipo di criterio e i campi che possono essere configurati per ogni criterio.

I criteri attività sono criteri basati su API che consentono di monitorare le attività dell'organizzazione nel cloud. I criteri prendono in considerazione oltre 20 filtri di metadati del file, tra cui il tipo e la posizione del dispositivo. In base ai risultati dei criteri, possono essere generate notifiche e gli utenti possono essere sospesi dall'app cloud. Ogni criterio è costituito dalle parti seguenti:

  • Filtri attività: consentono di creare condizioni granulari in base ai metadati.

  • Parametri di corrispondenza attività: consentono di impostare una soglia per il numero di volte in cui un'attività viene ripetuta per essere considerata conforme ai criteri. Specificare il numero di attività ripetute necessario per soddisfare il criterio. Ad esempio, impostare un criterio per attivare un avviso quando un utente esegue 10 tentativi di accesso non riusciti in un intervallo di tempo di 2 minuti. Per impostazione predefinita, i parametri di corrispondenza attività generano una corrispondenza per ogni singola attività che soddisfa tutti i filtri attività.

    • L'uso di Attività ripetuta consente di impostare il numero di attività ripetute e la durata dell'intervallo di tempo in cui vengono contate le attività. È anche possibile specificare che tutte le attività devono essere eseguite dallo stesso utente e nella stessa app cloud.
  • Azioni: il criterio fornisce un set di azioni di governance che possono essere applicate automaticamente quando vengono rilevate violazioni.

Passaggi successivi

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.