Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Zarządzanie alertamiManage your alerts

Alerty są punktami wejściowymi umożliwiającymi głębsze zrozumienie środowiska chmury.Alerts are the entry points to understanding your cloud environment more deeply. W oparciu o pozyskane informacje możesz utworzyć nowe zasady.You might want to create new policies based on what you find. Możesz na przykład zobaczyć, że jeden z administratorów loguje się z Grenlandii, mimo że do tej pory nikt w Twojej organizacji nie logował się z takiej lokalizacji.For example, you might see an administrator signing in from Greenland, and no one in your organization ever signed in from Greenland before. Możesz utworzyć zasadę, która automatycznie zawiesi konto administratora, które zostanie użyte do logowania się z tej lokalizacji.You can create a policy that automatically suspends an admin account when it is used to sign in from that location.

Dobrze jest przejrzeć wszystkie alerty i wykorzystać je jako narzędzia do modyfikowania zasad.It is a good idea to review all of your alerts and to use them as tools for modifying your policies. Jeśli nieszkodliwe zdarzenia są uznawane za naruszenia istniejących zasad, dostosuj zasady, aby odbierać mniej niepotrzebnych alertów.If harmless events are being considered violations to existing policies, refine your policies so that you receive fewer unnecessary alerts.

  1. W obszarze Otwórz alerty kliknij przycisk Wyświetl wszystkie alerty.Under Open alerts, click View all alerts.

    Ta sekcja pulpitu nawigacyjnego zapewnia pełny wgląd w podejrzane działania lub naruszenia ustalonych zasad.This section of the dashboard provides full visibility into any suspicious activity or violation of your established policies. Następnie pomaga chronić mechanizmy ochronne zdefiniowane w środowisku chmury.It then helps you safeguard the security posture you defined for your cloud environment.

    AlertyAlerts

  2. Dla każdego alertu należy zbadać i określić naturę naruszenia oraz wymaganą reakcję.For each alert, you need to investigate and determine the nature of the violation and the required response.

    Możesz filtrować alerty według typu alertu lub ważności, aby najpierw przetworzyć najważniejsze alerty.You can filter the alerts by Alert type or by Severity in order to process the most important ones first.

    Wybierz określony alert.Select a specific alert. W zależności od rodzaju alertu zostaną wyświetlone różne działania, które można podjąć w celu rozwiązania alertu.Depending on what type of alert it is, you will see various actions that can be taken before resolving the alert.

    Można filtrować na podstawie aplikacji — aplikacje na liście są te, dla których działania zostały wykryte przez usługę Cloud App Security.You can filter based on App - the apps listed are those for which activities were detected by Cloud App Security.

    Istnieją trzy typy naruszeń, które należy rozwiązać podczas badania alertów:There are three types of violations you will need to deal with when investigating alerts:

    • Poważne naruszeniaSerious violations
      Poważne naruszenia wymagają natychmiastowej reakcji.Serious violations require immediate response.
      Przykłady:Examples:
      Alert dotyczący podejrzanego działania można zawiesić konto dopóki użytkownik nie zmieni hasła.For a suspicious activity alert, you might want to suspend the account until the user changes their password.

      W przypadku wycieku danych można ograniczyć uprawnienia lub poddać plik kwarantannie.For a data leak you might want to restrict permissions or quarantine the file.

      Jeśli nowa aplikacja zostanie odnalezione, można zablokować dostęp do usługi na użytkownika serwera proxy lub zapory.If a new app is discovered, you might want to block access to the service on your proxy or firewall.

    • Wątpliwe naruszeniaQuestionable violations
      Wątpliwe naruszenia wymagają dalszych badań.Questionable violations require further investigation.
      Możesz skontaktować się z użytkownikiem lub menedżerem użytkownika, aby porozmawiać o rodzaju działania.You can contact the user or the user's manager about the nature of the activity.

      Pozostaw działanie otwarte, dopóki nie uzyskasz więcej informacji.Leave the activity open until you have more information.

    • Autoryzowane naruszenia lub nietypowe zachowanieAuthorized violations or anomalous behavior
      Autoryzowane naruszenia lub nietypowe zachowanie może występować w uzasadnionych okolicznościach.Authorized violations or anomalous behavior can result from legitimate use.

      Odrzuć alert.Dismiss the alert.

  3. Po zakończeniu tego procesu oznacz alert jako rozwiązany.When you finish this process, mark the alert as resolved.

Poniższa tabela zawiera listę typów alertów, które mogą być wyzwalane, oraz zalecane sposoby ich rozwiązywania.The following table provides a list of the types of alerts that can be triggered and recommends ways in which you can resolve them.

Typ alertuAlert type OpisDescription Zalecane rozwiązanieRecommended resolution
Naruszenie zasad działaniaActivity policy violation Ten typ alertu jest wynikiem utworzonych zasad.This type of alert is the result of a policy you created. Aby pracować zbiorczo z alertami tego typu, zaleca się pracę w centrum zasad w celu rozwiązywania problemów.To work with this type of alert in bulk, we recommend that you work in the Policy center to mitigate them.

Dostosuj zasady, aby wykluczyć jednostki generujące dużo alertów, dodając więcej filtrów i bardziej szczegółową kontrolę.Fine-tune the policy to exclude noisy entities by adding more filters and more granular controls.

Jeśli zasady są dokładne i został zgłoszony alert, a naruszenie należy zatrzymać natychmiast, rozważ dodanie automatycznego korygowania naruszeń w zasadach.If the policy is accurate, the alert is warranted, and it's a violation you want to stop immediately, consider adding automatic remediation in the policy.
Naruszenie zasad plikuFile policy violation Ten typ alertu jest wynikiem utworzonych zasad.This type of alert is the result of a policy you created. Aby pracować zbiorczo z alertami tego typu, zaleca się pracę w centrum zasad w celu rozwiązywania problemów.To work with this type of alert in bulk, we recommend that you work in the Policy center to mitigate them.

Dostosuj zasady, aby wykluczyć jednostki generujące dużo alertów, dodając więcej filtrów i bardziej szczegółową kontrolę.Fine-tune the policy to exclude noisy entities by adding more filters and more granular controls.

Jeśli zasady są dokładne i został zgłoszony alert, a naruszenie należy zatrzymać natychmiast, rozważ dodanie automatycznego korygowania naruszeń w zasadach.If the policy is accurate, the alert is warranted, and it's a violation you want to stop immediately, consider adding automatic remediation in the policy.
Zagrożone kontoCompromised account Tego rodzaju alert zostanie wywołany, gdy usługa Cloud App Security zidentyfikuje konto, którego zabezpieczenia zostały złamane. Oznacza to wysokie prawdopodobieństwo, że konto zostało wykorzystane w sposób nieautoryzowany.This type of alert is triggered when Cloud App Security identifies an account that was compromised, meaning there's a very high probability that the account was used in an unauthorized way. Zaleca się zawieszenie konta do czasu nawiązania kontaktu z użytkownikiem i upewnienia się, że jego hasło zostało zmienione.We recommend that you suspend the account until you can reach the user and make sure they change their password.
Nieaktywne kontoInactive account Ten alert jest wyzwalany, gdy konto nie było używane przez 60 dni w jednej z aplikacji połączonych w chmurze.This alert is triggered when an account has not been used in 60 days in one of your connected cloud apps. Skontaktuj się z użytkownikiem i menedżerem użytkownika, aby określić, czy konto jest nadal aktywne.Contact the user and the user's manager to determine whether the account is still active. W przeciwnym razie zawieś użytkownika i zakończ licencję dla tej aplikacji.If not, suspend the user and terminate the license for the app.
Nowy administratorNew admin user Alert powiadamia o zmianach w uprzywilejowanych kontach dla połączonych aplikacji.This alerts you to changes in your privileged accounts for connected apps. Upewnij się, że nowe uprawnienia administratora są faktycznie wymagane dla danego użytkownika.Confirm that the new admin permissions are in fact required for the user. Jeśli tak nie jest, zalecamy cofnięcie uprawnień administratora, aby zmniejszyć prawdopodobieństwo ujawnienia danych.If they are not, recommend revoking admin privileges to reduce exposure.
Nowa lokalizacja administratoraNew admin location Alert powiadamia o zmianach w uprzywilejowanych kontach dla połączonych aplikacji.This alerts you to changes in your privileged accounts for connected apps. Upewnij się, że logowanie z tej nietypowej lokalizacji było uprawnione.Confirm that the sign in from this anomalous location was legitimate. Jeśli tak nie jest, zalecamy cofnięcie uprawnień administratora lub zawieszenie konta, aby zmniejszyć prawdopodobieństwo ujawnienia danych.If it's not, recommend revoking admin permissions or suspending the account to reduce exposure.
Nowa lokalizacjaNew location Jest to alert, który informuje o dostępie do połączonej aplikacji z nowej lokalizacji. Zostaje wyzwolony tylko raz dla każdego kraju.This is an informative alert about access to a connected app from a new location, and it's triggered only once per country. Zbadaj działania konkretnego użytkownika.Investigate the specific user's activity.
Wykrycie nowej usługiNew discovered service Jest to alert o niezatwierdzonych przez dział IT.This is an alert about Shadow IT. Nowa aplikacja zostało wykryte przez rozwiązanie Cloud Discovery.A new app was detected by Cloud Discovery.
  • Oceń ryzyko usługi w oparciu o wykaz aplikacji.Assess the risk of the service based on the app catalog.
  • Sprawdź działanie dokładnie, aby zrozumieć wzorce użycia i występowanie.Drill down into the activity to understand usage patterns and prevalence.
  • Zdecyduj, czy oficjalnie zaakceptować aplikację.Decide whether to sanction or unsanction the app.

W przypadku niezatwierdzonych aplikacji:For unsanctioned apps:

  • Możesz zablokować użycie przy użyciu serwera proxy lub zapory.You may want to block use in your proxy or firewall.
  • Jeśli aplikacja nie jest zatwierdzona oficjalnie i masz zatwierdzoną oficjalnie aplikację w tej samej kategorii, możesz wyeksportować listę użytkowników niezatwierdzonej oficjalnie aplikacji, a następnie skontaktować się z nimi w celu przeprowadzenia migracji do zatwierdzonej oficjalnie aplikacji.If you have an unsanctioned app and a sanctioned app in the same category, you can export a list of users of the unsanctioned app, and then contact them to migrate them to the sanctioned app.
Podejrzane działanieSuspicious activity Ten alert informuje o wykryciu nietypowego działania, które nie jest zgodne z oczekiwanymi działaniami lub użytkownikami w Twojej organizacji.This alert lets you know that anomalous activity has been detected that is not aligned with expected activities or users in your organization. Zbadaj zachowanie i potwierdź je z użytkownikiem.Investigate the behavior and confirm it with the user.

Ten typ alertu jest doskonałym miejscem umożliwiającym rozpoczęcie dalszego poznawania środowiska i tworzenia nowych zasad przy użyciu tych alertów.This type of alert is a great place to start learning more about your environment and creating new policies with these alerts. Przykładowo, jeśli ktoś nagle prześle dużą ilość danych do jednej z połączonych aplikacji, możesz ustawić regułę, która będzie zarządzać tego rodzaju nietypowym zachowaniem.For example, if someone suddenly uploads a large amount of data to one of your connected apps, you can set a rule to govern that type of anomalous behavior.
Podejrzane użycie chmurySuspicious cloud use Ten alert informuje o wykryciu nietypowego działania, które nie jest zgodne z oczekiwanymi działaniami lub użytkownikami w Twojej organizacji.This alert lets you know that anomalous activity has been detected that is not aligned with expected activities or users in your organization. Zbadaj zachowanie i potwierdź je z użytkownikiem.Investigate the behavior and confirm it with the user.

Ten typ alertu jest doskonałym miejscem umożliwiającym rozpoczęcie dalszego poznawania środowiska i tworzenia nowych zasad przy użyciu tych alertów.This type of alert is a great place to start learning more about your environment and creating new policies with these alerts. Przykładowo, jeśli ktoś nagle prześle dużą ilość danych do jednej z połączonych aplikacji, możesz ustawić regułę, która będzie zarządzać tego rodzaju nietypowym zachowaniem.For example, if someone suddenly uploads a large amount of data to one of your connected apps, you can set a rule to govern that type of anomalous behavior.
Korzystanie z konta osobistegoUse of personal account Ten alert informuje o tym, że nowe konto osobiste ma dostęp do zasobów w połączonych aplikacjach.This alert lets you know that a new personal account has access to resources in your connected apps. Usuń definicje współpracy użytkownika na koncie zewnętrznym.Remove the user's collaborations in the external account.

Kolejne krokiNext steps

Aby uzyskać więcej informacji na temat badania alertów, zobacz Badanie.For more information about investigating alerts, see Investigate.

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.