Zasady wykrywania anomalii w usłudze Cloud DiscoveryCloud Discovery anomaly detection policy

Ten artykuł zawiera szczegóły dotyczące zasad wraz z wyjaśnieniem każdego typu zasad oraz pól, które można skonfigurować dla każdej zasady.This article provides reference details about policies, providing explanations for each policy type and the fields that can be configured for each policy.

Informacje o zasadach wykrywania anomalii w usłudze Cloud DiscoveryCloud discovery anomaly detection policy reference

Zasady wykrywania anomalii Cloud discovery umożliwia instalowanie i konfigurowanie ciągłego monitorowania nietypowych wzrostów użycia aplikacji w chmurze.A Cloud discovery anomaly detection policy enables you to set up and configure continuous monitoring of unusual increases in cloud application usage. Dla każdej aplikacji w chmurze brany jest pod uwagę wzrost ilości pobieranych i przekazywanych danych, liczby transakcji oraz liczby użytkowników.For each cloud application, increases in downloaded data, uploaded data, number of transactions and number of users are considered. Każdy wzrost jest porównywany ze wzorcem normalnego użycia aplikacji określonym na podstawie przeszłego użycia aplikacji.Each increase is compared to the normal usage pattern of the application as learned from past usage. Najbardziej skrajne wzrosty powodują wyzwalanie alertów zabezpieczeń.The most extreme increases trigger security alerts.

Dla każdej zasady można ustawić filtry, które umożliwiają selektywne monitorowanie użycia aplikacji na podstawie filtru aplikacji, wybranych widoków danych i wybranej daty początkowej.For each policy you can set filters that enable you to selectively monitor application usage, based on an application filter, selected data views, and a selected start date. Można również ustawić czułość, która umożliwia skonfigurowanie liczby alertów wyzwalanych przez zasady.You can also set the sensitivity, which enables you to set how many alerts the policy should trigger.

Dla każdej zasady można ustawić następujące parametry:For each policy, set the following parameters:

  1. Zdecyduj, czy chcesz utworzyć zasady na podstawie szablonu, szablony odpowiednich zasad są nietypowych zachowań w odnalezionych użytkowników szablon, który alerty po wykryciu nietypowych zachowań odnalezionych użytkowników i aplikacje, takie jak: duże ilości przekazywane dane w porównaniu do innych użytkowników, w porównaniu do historii użytkownika transakcje dużej liczby użytkowników.Decide if you want to base the policy on a template, relevant policy templates are the Anomalous behavior in discovered users template that alerts when anomalous behavior is detected in discovered users and apps, such as: large amounts of uploaded data compared to other users, large user transactions compared to the user's history. Można również wybrać szablon Nietypowe zachowanie odnalezionych adresów IP, który umożliwia generowanie alertów w przypadku wykrycia nietypowego zachowania dotyczącego odnalezionych adresów IP i aplikacji, takiego jak: przekazywanie dużych ilości danych w porównaniu z innymi adresami IP czy generowanie dużej liczby transakcji względem historii danego adresu IP.You can also select the Anomalous behavior of discovered IP addresses template, which alerts when anomalous behavior is detected in discovered IP addresses and apps, such as: large amounts of uploaded data compared to other IP addresses, large app transactions compared to the IP address's history.

  2. Podaj wartości w polach Nazwa zasad i Opis.Provide a Policy name and Description.

  3. Aby utworzyć filtr dla aplikacji, które chcesz monitorować, kliknij pozycję Dodaj filtr.Create a filter for the apps you want to monitor by clicking Add filter. Możesz wybrać konkretną aplikację, aplikację kategorii, lub filtrować według nazwa, ** domeny, i czynnik ryzykai kliknij przycisk zapisać.You can select a specific app, an app Category, or filter by Name, Domain, and **Risk factor, and click Save.

  4. W obszarze Zastosuj do ustaw sposób filtrowania użycia.Under Apply to, set how you want the usage to be filtered. Monitorowane użycie można filtrować na dwa sposoby:The usage being monitored can be filtered in two different ways:

    • Raporty ciągłe — wybierz opcję monitorowania wszystkich raportów ciągłych (ustawienie domyślne) lub określonych raportów ciągłych.Continuous reports – select whether to monitor All continuous reports (default), or choose Specific continuous reports to monitor.

      • W przypadku wybrania opcji Wszystkie raporty ciągłe każdy wzrost użycia jest porównywany z wzorcem normalnego użycia uzyskanym w wyniku uczenia się ze wszystkich widoków danych.When selecting All continuous reports, each usage increase is compared to the normal usage pattern as learned from all the data views.

      • W przypadku wybrania opcji Określone raporty ciągłe każdy wzrost użycia jest porównywany z wzorcem normalnego użycia uzyskanym w wyniku uczenia się z tego samego widoku danych, w którym zaobserwowano wzrost.When selecting Specific continuous reports, each usage increase is compared to the normal usage pattern as learned from the same data view as the increase was observed in.

    • Użytkownicy i adresy IP — każde użycie aplikacji w chmurze jest skojarzone z użytkownikiem i/lub adresem IP.Users and IP addresses – every cloud application usage is associated either with a user, an IP address, or both.

      • Wybieranie użytkowników ignoruje skojarzenia użycia aplikacji z adresami IP, jeśli istnieje.Selecting Users ignores the association of application usage with IP addresses if there is any.

      • Wybieranie adresów IP ignoruje skojarzenia użycia aplikacji z użytkownikami, jeśli istnieje.Selecting IP addresses ignores the association of application usage with users if there is any.

      • Wybieranie użytkownicy i adresy IP (ustawienie domyślne) uwzględnia obu typów skojarzeń, ale może generować zduplikowane alerty w przypadku ścisłej zależności między użytkownikami i adresami IP.Selecting Users and IP addresses (default) considers both associations, but may produce duplicate alerts when there is a tight correspondence between users and IP addresses.

    • Wyzwalanie alertów tylko dla podejrzanych aktywności występujących po dacie — jakiekolwiek zwiększenie użycia aplikacji przed wybraną datą jest ignorowana.Trigger alerts only for suspicious activities occurring after date – any increase in application usage before the selected date is ignored. Jednak aktywność od wybranej daty jest wykorzystana do ustalenia wzorca normalnego użycia.However, activity from before the selected date is learned for the purpose of establishing the normal usage pattern.
  5. W obszarze alerty, można ustawić ważność alertu.Under Alerts, you can set the alert sensitivity. Istnieje szereg sposobów kontrolowania liczby alertów wyzwalanych przez zasady:There are a number of ways to control the number of alerts triggered by the policy:

    • Suwak Wybierz czułość wykrywania anomalii pozwala skonfigurować wyzwalanie alertów dla X najważniejszych nietypowych działań podejmowanych przez 1000 użytkowników przez tydzień.The Select anomaly detection sensitivity slider – Trigger alerts for the top X anomalous activities per 1,000 users per week. Alerty są wyzwalane działań o najwyższym ryzyku.The alerts are triggered for the activities with the highest risk.

    • Dzienny limit alertów — pozwala ograniczyć liczbę alertów wyzwalanych w jednym dniu.Daily alert limit – restrict the number of alerts raised on a single day. Dostępne są opcje wysyłania alertów za pomocą wiadomości e-mail lub wiadomości tekstowej albo obu metod.You can select whether to Send alert as email, Send alert as text message or both. Komunikaty wysyłane w wiadomości SMS są ograniczone do 10 dziennie strefą czasową UTC, co oznacza, że limit 10 wiadomości resetuje o północy w strefie czasowej UTC.Messages sent by text message are limited to 10 per day, for the UTC time zone, meaning that the 10 message limit resets at midnight in the UTC time zone.

    • Można również wybrać opcję użycia ustawień domyślnych organizacji, co spowoduje wypełnienie pola Dzienny limit alertów oraz skonfigurowanie opcji dotyczących wiadomości e-mail i wiadomości tekstowych przy użyciu domyślnych ustawień organizacji.You can also select the option to Use your organization's default settings, which fills in the Daily alert limit, email, and text message settings from your organization's default settings. Aby ustawić wartości domyślne, skonfiguruj ustawienia w obszarze Konfiguracja alertów i kliknij pozycję Zapisz te ustawienia alertów jako domyślne dla organizacji.To set the default, fill out the Alert configuration settings and click Save these alert settings as the default for your organization.

  6. Kliknij przycisk Utwórz.Click Create.

  7. Jak w przypadku wszystkich zasad Edytuj, wyłączyć, i włączyć zasad, klikając Wielokropek na końcu wiersza w zasadstrony.Like with all policies, you can Edit, Disable, and Enable the policy by clicking the three dots at the end of the row in the Policies page. Utworzone zasady są domyślnie włączone.By default, when you create a policy it is enabled.

Zobacz teżSee Also

Codzienne działania dla ochrony środowiska chmuryDaily activities to protect your cloud environment

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.