Zasady wykrywania anomaliiAnomaly detection policy

Ten artykuł zawiera szczegóły dotyczące zasad wraz z wyjaśnieniem każdego typu zasad oraz pól, które można skonfigurować dla każdej zasady.This article provides reference details about policies, providing explanations for each policy type and the fields that can be configured for each policy.

W przypadku ochrony organizacji przez usługę Cloud App Security wszystkie działania w chmurze są oceniane według różnych wstępnie zdefiniowanych czynników ryzyka.After your organization is protected by Cloud App Security, all cloud activity is scored according to various pre-defined risk factors. Usługa Cloud App Security ma wgląd w każdą sesję użytkownika w chmurze i bierze pod uwagę czynniki ryzyka ustawione w tym miejscu w celu wysyłania alertów, gdy wydarzy się coś, co różni się od punktu odniesienia organizacji lub zwykłej aktywności użytkownika.Cloud App Security looks at every user session on your cloud and then takes into consideration the risk factors you set here to alert you when something happens that is different from either the baseline of your organization or from the user's regular activity. Strona zasad wykrywania anomalii pozwala skonfigurować i dostosować grupy czynników ryzyka, które są uważane za w procesie oceny ryzyka.The anomaly detection policy page allows you to configure and customize which risk factor families are considered in the risk scoring process. Zasady mogą być wymuszane inaczej dla różnych użytkowników, lokalizacji i sektorów organizacji.The policies can be enforced differently for different users, locations, and organizational sectors. Na przykład można utworzyć zasadę, która ostrzega w przypadku aktywności członków zespołu IT spoza biura.For example, you can create a policy that alerts you when members of your IT team are active from outside your offices.

Usługa cloud App Security ma okres początkowej learning siedmiu dni, w których on nie Flaga nowych użytkowników, działania, urządzenia lub lokalizacji jako anomalia.Cloud App Security has an initial learning period of seven days during which it does not flag any new users, activity, devices, or locations as anomalous. Po zakończeniu szkolenia każda sesja jest porównywana z działaniami z ostatniego miesiąca (pod kątem m.in. okresu aktywności użytkowników oraz wykrytych adresów IP i urządzeń) z uwzględnieniem oceny ryzyka tych działań.After that, each session is compared to the activity, when users were active, IP addresses, devices, etc. detected over the past month and the risk score of these activities. Ustaw oceny ryzyka minimalne, z którego alerty są wyzwalane za pomocą suwaka czułości w zasadach.Use the sensitivity slider in the policy to set the minimum risk score from which alerts are triggered. Zalecane jest utworzenie zasady anomalii, użyj domyślny próg czułości na tydzień przed wprowadzeniem zmian zgodnie z liczbę alertów, otrzymano, wysyła Cloud App Security więcej lub mniej alertów dla różnych ryzyka podczas obliczania wyników należy Zmień ważność.It is recommended that when you create an anomaly policy, use the default sensitivity threshold for a week, before you change it in accordance with the number of alerts you received, Cloud App Security sends you more or fewer alerts for various risk scores when you change the sensitivity.

suwak czułości

Aby skonfigurować zasady wykrywania anomalii:To configure an anomaly detection policy:

  1. W konsoli kliknij pozycję Sterowanie, a następnie pozycję Zasady.In the console, click on Control followed by Policies.

  2. Kliknij pozycję Utwórz zasadę i wybierz pozycję Zasady wykrywania anomalii.Click Create policy and select Anomaly detection policy.

    menu zasad wykrywania anomaliiAnomaly detection policy menu

  3. Wprowadź nazwę i opis zasady, a następnie przejdź do pola Filtry działań, aby wybrać działanie, dla którego ma zostać zastosowana ta zasada.Fill in the policy's name and description, and continue to the Activity filters field where you can choose the activity for which you wish to apply the policy.

  4. Nazwij i opisz zasady. W razie potrzeby możesz skorzystać z szablonu. Aby uzyskać więcej informacji na temat szablonów zasad, zobacz Kontrola aplikacji w chmurze za pomocą zasad.Give your policy a name and description, if you want you can base it on a template, for more information on policy templates, see Control cloud apps with policies.

  5. Aby zastosować zasadę dla wszystkich działań w środowisku chmury, zaznacz pozycję Wszystkie monitorowane działania.To apply the policy to all activities in your cloud environment, select All monitored activity. Aby ograniczyć zasadę do określonego typu działań, wybierz pozycję Wybrane działanie.To limit the policy to specific types of activities, choose Selected activity. Kliknij pozycję Dodaj filtry i ustaw odpowiednie parametry do filtrowania działania.Click on Add filters and set the appropriate parameters by which to filter the activity. Na przykład aby wymusić zasadę tylko dla działania wykonywanego przez administratorów aplikacji Salesforce, wybierz ten tag użytkownika.For example, to enforce the policy only on activity performed by Salesforce admins, choose this user tag.

  6. Pod tym polem ustawiane są Czynniki ryzyka.Underneath this field set the Risk factors. Użytkownik może wybrać grupy ryzyka, które mają być brane pod uwagę podczas obliczania oceny ryzyka.You can choose which risk families you want to consider while calculating the risk score. Po prawej stronie wiersza służy On lub wyłącza przycisk pozwala włączać i wyłączać różne typy ryzyka.On the right of the row, you can use the On/Off button to enable and disable the various risks. Ponadto można wybrać działanie, dla którego ma zostać włączona każda określona grupa ryzyka, co pozwala osiągnąć większy poziom szczegółowości.Additionally, for greater granularity, you can choose the activity on which to enable each particular risk family.

    Czynniki ryzyka są następujące:Risk factors are as follows:

    • Niepowodzenia logowania: czy użytkownicy próbują zalogować się i próby te kończą się niepowodzeniem wielokrotnie w krótkim przedziale czasu?Login failures: Are users attempting to log in and failing multiple times over a short period?

    • Aktywność administratora: czy administratorzy korzystają ze swoich uprzywilejowanych kont do zalogowania się z nietypowych lokalizacji lub w dziwnych godzinach?Admin activity: Are admins using their privileged accounts to log in from unusual locations or at strange hours?

    • Nieaktywne konta: czy nagle nastąpiło działanie z konta, które nie było używane przez pewien czas?Inactive accounts: Is there suddenly activity on an account that hasn't been in use for some time?

    • Lokalizacja: czy nastąpiło działanie nietypowej, podejrzanej lub nowej lokalizacji?Location: Is there activity in an unusual, suspicious, or new location?

    • Niemożliwa podróż: jest użytkownik loguje się z Zakopanego i 10 minut później z Paryża?Impossible travel: Is a user logging in from Denver and 10 minutes later logging in from Paris?

    • Agent urządzenia i użytkownika: czy nastąpiło działanie z nierozpoznanego lub niezarządzanego urządzenia?Device and user agent: Is there activity from an unrecognized or unmanaged device?

    • Szybkość działania: czy nagle zwiększyła się aktywność danej aplikacji?Activity rate: Is there suddenly a lot of activity on a particular app? Czy są pobierane lub usuwane duże ilości danych, czy jest udostępnianych bardzo dużo plików lub czy jest wykonywanych wiele nieoczekiwanych działań administratora?Are there large downloads or deletes, or mass number of files shared or a lot of unexpected admin activity?

      Za pomocą tych parametrów można zdefiniować złożone scenariusze. Na przykład aby przy wykrywaniu anomalii wykluczyć zakres adresów IP biura z branych pod uwagę czynników ryzyka, należy utworzyć konkretny tag „Biurowe IP” i wyłączyć go z rozważanych parametrów.You can use these parameters to define complex scenarios, for example, to exclude your office's IP range from the considered risk factors for anomaly detection, create a specific "office IP" tag and filter the range out of the considered parameters. Aby następnie wykluczyć zakres, który został utworzony z wykrywania anomalii aktywności administratora:To then exclude the range that you created from the admin activity anomaly detection:

    • W polu Typ ryzyka znajdź pozycję Aktywność administratora.Within Risk type, find Admin activity.

    • Zmień wartość Zastosuj na Wybrane działanie.Change Apply to to Selected Activity.

    • W obszarze Filtry działań ustaw wartość Zastosuj na Wybrane działanie i w obszarze Działania dopasowane do wszystkich następujących wybierz dla pozycji Działanie administracyjne wartość Prawda.Under Activity filters, set Apply to to Selected activity and under Activities matching all of the following, choose Administrative activity is True.

    • Kliknij ikonę +, wybierz pozycję Tag adresu IP nie równa się i wybierz tag Biurowe IP.Click on the + icon and select IP tag does not equal and select the Office IP tag.

  7. W obszarze Czułość wybierz, jak często chcesz otrzymywać alerty.Under Sensitivity, select how often you want to receive alerts.

    Wartość czułości określa, ile co tydzień alertów średnio dla każdej 1000 użytkowników.The sensitivity value determines how many weekly alerts are triggered on average for every 1,000 users.

    wykrywanie anomalii — adresy IPanomaly detection IPs

  8. Kliknij przycisk Utwórz.Click Create.

Dokumentacja referencyjna zasad wykrywania anomaliiAnomaly detection policy reference

Zasady wykrywania anomalii umożliwia instalowanie i konfigurowanie ciągłego monitorowania aktywności użytkownika pod kątem anomalii zachowań.An anomaly detection policy enables you to set up and configure continuous monitoring of user activity for behavioral anomalies. Anomalie są wykrywane przez skanowanie aktywności użytkowników.Anomalies are detected by scanning user activity. Ryzyko jest oceniane w oparciu o ponad 30 różnych wskaźników ryzyka zorganizowanych w 6 grup czynników ryzyka.The risk is evaluated by looking at over 30 different risk indicators, grouped into 6 risk factors. W oparciu o wyniki zasad wyzwalane są alerty bezpieczeństwa.Based on the policy results, security alerts are triggered.
Każde zasady składają się z następujących elementów:Each policy is composed of the following parts:

  • Filtry działań — umożliwiają selektywne skanowanie tylko odfiltrowanej aktywności użytkownika pod kątem anomalii.Activity filters – Enable you to selectively scan only filtered user activity for anomalies.

  • Czynniki ryzyka — umożliwiają wybranie czynników ryzyka, które zostaną uwzględnione w procesie oceny ryzyka.Risk factors – Enable you to choose which risk factors to include when evaluating risk.

  • Czułość — umożliwia skonfigurowanie liczby alertów wyzwalanych przez zasady.Sensitivity – Enable you to set how many alerts the policy should trigger.

Filtry działańActivity filters

Aby zapoznać się z listą filtrów działań, zobacz temat tutaj wpisz opis linku.For a list of Activity filters, see enter link description here.

Czynniki ryzykaRisk factors

Poniżej znajduje się lista czynników ryzyka, które są brane pod uwagę podczas oceny ryzyka aktywności użytkownika.Below is a list of the risk factors that are considered when evaluating the risk of user activity. Każdy czynnik ryzyka może być włączony lub wyłączony.Each risk factor can be toggled on or off. Dla każdego czynnika ryzyka dostępne są dwie opcje w polu Zastosuj, które określają, czy czynnik ryzyka będzie uwzględniony podczas oceny ryzyka aktywności użytkownika:For each risk factor there are two options under the Apply to field, which determine whether to include it when evaluating the risk of user activity:

  • Wszystkie monitorowane działania — Uwzględnij czynnik dla wszystkich działań użytkownika, które przechodzą przez filtry działania zasad.All monitored activity – include it for all user activity that passes the policy activity filter.

  • Wybrane działanie — Uwzględnij czynnik dla działań użytkownika, który przekazuje zarówno przez filtry działania zasad oraz filtry działania wyświetlane pod tym czynnikiem ryzyka.Selected activity – include it for user activity that passes both the policy activity filters and the activity filters that appear under this risk factor. Po wybraniu tej opcji pod czynnikiem ryzyka zostanie wyświetlony selektor filtrów działania, który działa tak samo jak filtr działania zasad.When this option is selected an activity filter selector appears under the risk factor, which works exactly the same as the policy activity filter.

Każdy czynnik ryzyka, po uwzględnieniu w ocenie ryzyka, ma swoje własne wyzwalacze, które mogą spowodować wzrost ocenianego ryzyka aktywności użytkownika:Each risk factor, when included in the risk evaluation, has its own triggers that cause an increase in the evaluated risk of user activity:

  • Niepowodzenia logowania — duża liczba niepowodzeń logowania lub działanie składające się wyłącznie z niepowodzeń logowania.Login failures – a high number of login failures or activity comprised entirely of login failures.

  • Aktywność administratora — działanie administracyjne wykonywane przez nieoczekiwanego użytkownika lub wykonywane z adresu IP, ISP lub lokalizacji, które są nowe lub nieużywane przez żadnego innego użytkownika w organizacji.Admin activity - administrative activity performed by an unexpected user, or performed from an IP, ISP, or location that are new, or not used by any other user in the organization.

  • Nieaktywne konta - działania wykonywane przez użytkownika, który był nieaktywny przez długi czas.Inactive accounts - activity performed by a user that was not active for a long time.

  • Lokalizacja — działanie wykonywane z adresu IP, ISP lub lokalizacji, w której zostały nigdy używany przez innego użytkownika, nigdy nie używane przez tego użytkownika, nigdy nie używane na wszystkich lub używane tylko w przypadku niepowodzenia logowania w przeszłości.Location - activity performed from an IP, ISP, or location that were either never used by any other user, never used by this particular user, never used at all, or used only for login failures in the past.

  • Niemożliwa podróż — działanie ze zdalnych lokalizacji w krótkim odstępie czasu.Impossible travel - activity from remote locations within a short time.

  • Agent urządzenia i użytkownika — działanie wykonywane przez użytkownika za pomocą agenta użytkownika lub urządzenia, który został nigdy używane przez innych użytkowników, nigdy nie są używane przez tego użytkownika lub ogóle nie były używane.Device and user agent - activity performed by a user using a user agent or device that was either never used by any other user, never used by this particular user, or never used at all.

  • Szybkość działania — powtórzone działania wykonywane przez użytkownika w krótkim okresie.Activity rate - repeated activities performed by a user within a short period.

CzułośćSensitivity

Istnieją dwa sposoby kontrolowania liczby alertów wyzwalanych przez zasady:There are two ways to control the number of alerts triggered by the policy:

  • Suwak czułości — wybierz liczbę alertów wyzwalanych na 1000 użytkowników na tydzień.Sensitivity slider – choose how many alerts to trigger per 1,000 users per week. Alerty są wyzwalane przez działania o najwyższym ryzyku.The alerts are triggered of the activities with the highest risk.

  • Dzienny limit alertów — ogranicz liczbę alertów wyzwalanych w jednym dniu.Daily alert limit – restrict the number of alerts raised on a single day.

Zobacz teżSee Also

Codzienne działania dla ochrony środowiska chmuryDaily activities to protect your cloud environment

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.