Hantera aviseringarManage alerts

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

I den här artikeln förklaras hur man arbetar med aviseringar som aktiverats i Cloud App Security-portalen.This article explains how to work with alerts raised in the Cloud App Security portal.

Anteckning

Aviseringar hanteras i respektive principer och kan konfigureras att skickas som ett e-postmeddelande, ett SMS eller båda.Alerts are managed in their respective policies and can be configured to be sent as an email, text message, or both.

Hantera aviseringarManage your alerts

Aviseringar är startpunkten för att få en djupare förståelse för molnmiljön.Alerts are the entry points to understanding your cloud environment more deeply. Du kanske vill skapa nya principer beroende på vilken information du hittar.You might want to create new policies based on what you find. Du kanske till exempel ser en administratör som loggar in från Grönland, när ingen i din organisation någonsin loggat in från Grönland tidigare.For example, you might see an administrator signing in from Greenland, and no one in your organization ever signed in from Greenland before. Du kan skapa en princip som automatiskt inaktiverar ett administratörs konto när det används för att logga in från den platsen.You can create a policy that automatically suspends an admin account when it's used to sign in from that location.

Det är en bra idé att granska alla aviseringar och använda dem som verktyg för att ändra dina principer.It's a good idea to review all of your alerts and use them as tools for modifying your policies. Om du märker att ofarliga händelser betraktas som överträdelser mot befintliga principer kan du förfina principerna så att du får färre onödiga aviseringar.If harmless events are being considered violations to existing policies, refine your policies so that you receive fewer unnecessary alerts.

  1. På sidan aviseringar väljer du Öppna för lösnings status.From the Alerts page, select Open for the Resolution Status.

    Det här avsnittet i instrumentpanelen ger full insyn i eventuella misstänkta aktiviteter eller brott mot fastställda principer.This section of the dashboard provides full visibility into any suspicious activity or violation of your established policies. Det kan hjälpa dig att skydda de säkerhets position som du har definierat för din moln miljö.It can help you safeguard the security posture you defined for your cloud environment.

    Status sida för aviserings lösningAlerts resolution status page

  2. För varje avisering måste du undersöka och ta reda på vilken typ av överträdelse som begåtts och bestämma nödvändiga åtgärder.For each alert, you need to investigate and determine the nature of the violation and the required response.

    • Du kan filtrera aviseringar efter aviserings typ eller allvarlighets grad för att bearbeta de viktigaste först.You can filter the alerts by Alert type or by Severity to process the most important ones first.

    • Välj en specifik avisering.Select a specific alert. Beroende på vilken typ av avisering det är, ser du olika åtgärder som du kan vidta innan du löser aviseringen.Depending on what type of alert it is, you'll see various actions that can be taken before resolving the alert.

    • Du kan filtrera baserat på appen – apparna i listan är de för vilka aktiviteter har upptäckts av Cloud App Security.You can filter based on App - The apps listed are ones for which activities were detected by Cloud App Security.

    • Det finns tre typer av överträdelser som du behöver hantera när du undersöker aviseringar:There are three types of violations you'll need to deal with when investigating alerts:

      • Allvarliga överträdelser – allvarliga överträdelser kräver omedelbara svar.Serious violations - Serious violations require immediate response.
        Exempel:Examples:

        • För att avisera aviseringen om misstänkt aktivitet kanske du vill inaktivera kontot tills användaren har ändrat sitt lösen ord.For a suspicious activity alert, you might want to suspend the account until the user changes their password.
        • För en data läcka kanske du vill begränsa behörigheterna eller placera filen i karantän.For a data leak you might want to restrict permissions or quarantine the file.
        • Om en ny app identifieras kanske du vill blockera åtkomst till tjänsten på din proxy eller brand vägg.If a new app is discovered, you might want to block access to the service on your proxy or firewall.
      • Tveksamma överträdelser – tveksamma överträdelser kräver ytterligare undersökning.Questionable violations - Questionable violations require further investigation.

        • Du kan kontakta användaren eller användarens chef angående aktivitetens karaktär.You can contact the user or the user's manager about the nature of the activity.
        • Låt aktiviteten vara öppen tills du har införskaffat mer information.Leave the activity open until you have more information.
      • Godkända överträdelser eller avvikande beteende – godkända överträdelser eller avvikande beteende kan orsakas av legitim användning.Authorized violations or anomalous behavior - Authorized violations or anomalous behavior can result from legitimate use.

        • Du kan stänga av aviseringen.You can dismiss the alert.
  3. När du har ignorerat en avisering är det viktigt att skicka feedback om varför du stänger aviseringen.Any time you dismiss an alert, it's important to submit feedback about why you're dismissing the alert. Cloud App Security-teamet använder denna feedback som en indikation på aviseringens riktighet.The Cloud App Security team uses this feedback as an indication of the accuracy of the alert. Den här informationen används sedan för att finjustera våra maskin inlärnings modeller för framtida aviseringar.This information is then used to fine-tune our machine learning models for future alerts. Du kan följa dessa rikt linjer när du bestämmer hur du ska kategorisera aviseringen:You can follow these guidelines in deciding how to categorize the alert:

    • Om en legitim användning utlöser aviseringen och den inte är ett säkerhets problem, kan det bero på någon av följande typer:If legitimate use triggered the alert and it isn't a security issue, it could be one of these types:

      • Oskadlig positiv: aviseringen är korrekt men aktiviteten är legitim.Benign positive: The alert is accurate but the activity is legitimate. Du kan ignorera aviseringen och ange orsaken till att den faktiska allvarlighets graden är lägre eller inte intressant.You can dismiss the alert and set the reason to Actual severity is lower or Not interesting.
      • Falskt positivt: aviseringen är felaktig.False positive: The alert is inaccurate. Ignorera aviseringen och ange orsaken till att aviseringen är felaktig.Dismiss the alert and set the reason to Alert is not accurate.
    • Om det finns för mycket brus för att fastställa giltighet och noggrannhet för en avisering, Stäng den och ange orsaken till för många liknande aviseringar.If there's too much noise to determine the legitimacy and accuracy of an alert, dismiss it and set the reason to Too many similar alerts.

    • Sant positivt: om aviseringen är relaterad till en faktisk risk händelse som antingen har begått skadligt eller oavsiktligt av en insider eller outsider, bör du ange att händelsen ska lösas när alla lämpliga åtgärder har vidtagits för att åtgärda händelsen.True positive: If the alert is related to an actual risky event that was either committed maliciously or unintentionally by an insider or outsider, you should set the event to Resolve after all appropriate action has been taken to remediate the event.

AviseringstyperAlert types

I följande tabell visas en lista över de typer av aviseringar som kan utlösas och rekommendationer för hur du kan lösa dem.The following table provides a list of the types of alerts that can be triggered and recommends ways you can resolve them.

AviseringstypAlert type BeskrivningDescription Rekommenderad lösningRecommended resolution
Överträdelse av aktivitetsprincipActivity policy violation Den här typen av avisering är resultatet av en princip som du har skapat.This type of alert is the result of a policy you created. Vi rekommenderar att du arbetar i principcentret när du hanterar den här typen av aviseringar gruppvis.To work with this type of alert in bulk, we recommend that you work in the Policy center to mitigate them.

Finjustera principen för att ta bort störande entiteter genom att lägga till fler filter och mer detaljerade kontroller.Fine-tune the policy to exclude noisy entities by adding more filters and more granular controls.

Om principen är korrekt, aviseringen är korrekt och du vill stoppa överträdelsen omedelbart kan du överväga att lägga till automatiska åtgärder i principen.If the policy is accurate, the alert is warranted, and it's a violation you want to stop immediately, consider adding automatic remediation in the policy.
Överträdelse av filprincipFile policy violation Den här typen av avisering är resultatet av en princip som du har skapat.This type of alert is the result of a policy you created. Vi rekommenderar att du arbetar i principcentret när du hanterar den här typen av aviseringar gruppvis.To work with this type of alert in bulk, we recommend that you work in the Policy center to mitigate them.

Finjustera principen för att ta bort störande entiteter genom att lägga till fler filter och mer detaljerade kontroller.Fine-tune the policy to exclude noisy entities by adding more filters and more granular controls.

Om principen är korrekt, aviseringen är korrekt och du vill stoppa överträdelsen omedelbart kan du överväga att lägga till automatiska åtgärder i principen.If the policy is accurate, the alert is warranted, and it's a violation you want to stop immediately, consider adding automatic remediation in the policy.
Komprometterat kontoCompromised account Den här typen av avisering utlöses när Cloud App Security identifierar ett konto som har komprometterats.This type of alert is triggered when Cloud App Security identifies an account that was compromised. Det innebär att det finns en mycket hög sannolikhet att kontot användes på ett otillåtet sätt.This means there's a very high probability that the account was used in an unauthorized way. Vi rekommenderar att du inaktiverar kontot tills du har fått tag på användaren och sett till att personen har ändrat sitt lösenord.We recommend that you suspend the account until you can reach the user and make sure they change their password.
Inaktivt kontoInactive account Den här aviseringen utlöses när ett konto inte har använts på 60 dagar i någon av dina anslutna molnappar.This alert is triggered when an account hasn't been used in 60 days in one of your connected cloud apps. Kontakta användaren och användarens chef för att avgöra om kontot är fortfarande aktivt.Contact the user and the user's manager to determine whether the account is still active. Om kontot inte är aktivt inaktiverar du användaren och avslutar licensen för appen.If not, suspend the user and terminate the license for the app.
Nya administratörsanvändareNew admin user Aviserar dig om ändringar i dina privilegierade konton för anslutna appar.Alerts you to changes in your privileged accounts for connected apps. Bekräfta att den nya administratörsbehörigheten verkligen krävs för användaren.Confirm that the new admin permissions are in fact required for the user. Om de inte är det rekommenderar vi att du återkallar administratörs behörigheterna för att minska exponeringIf they aren't, recommend revoking admin privileges to reduce exposure.
Ny administrativ platsNew admin location Aviserar dig om ändringar i dina privilegierade konton för anslutna appar.Alerts you to changes in your privileged accounts for connected apps. Bekräfta att inloggningen från den här avvikande platsen var legitim.Confirm that the sign-in from this anomalous location was legitimate. Om inte rekommenderar vi att administratörsbehörigheten tas tillbaka eller att kontot pausas för att minska exponeringen.If it's not, recommend revoking admin permissions or suspending the account to reduce exposure.
Ny platsNew location En informativ avisering om åtkomst till en ansluten app från en ny plats, och den utlöses endast en gång per land/region.An informative alert about access to a connected app from a new location, and it's triggered only once per country/region. Undersöka den specifika användarens aktivitet.Investigate the specific user's activity.
Ny identifierad tjänstNew discovered service Den här aviseringen är en avisering om skugg-IT.This alert is an alert about Shadow IT. En ny app har identifierats av Cloud Discovery.A new app was detected by Cloud Discovery.
  • Utvärdera risken för tjänsten baserat på appkatalogen.Assess the risk of the service based on the app catalog.
  • Öka detaljnivån för aktiviteten för att få information om användningsmönster.Drill down into the activity to understand usage patterns and prevalence.
  • Bestäm om du vill sanktionera appen eller inte.Decide whether to sanction or unsanction the app.

För ej sanktionerade appar:For unsanctioned apps:

  • Du kanske vill blockera användningen i proxyservern eller brandväggen.You may want to block use in your proxy or firewall.
  • Om du har en ej sanktionerad app och en sanktionerad app i samma kategori kan du exportera en lista med användare av den ej sanktionerade appen.If you have an unsanctioned app and a sanctioned app in the same category, you can export a list of users of the unsanctioned app. Sedan kan du kontakta dem för att migrera dem till den sanktionerade appen.Then, contact them to migrate them to the sanctioned app.
Misstänkt aktivitetSuspicious activity Den här aviseringen visar att avvikande aktivitet har identifierats som inte är justerad till förväntade aktiviteter eller användare i din organisation.This alert lets you know that anomalous activity has been detected that isn't aligned with expected activities or users in your organization. Undersök beteendet och bekräfta med användaren att allt är som det ska.Investigate the behavior and confirm it with the user.

Den här typen av avisering är en bra utgångspunkt om du vill lära dig mer om miljön och skapa nya principer med hjälp av dessa aviseringar.This type of alert is a great place to start learning more about your environment and creating new policies with these alerts. Om någon till exempel plötsligt överför stora datamängder till någon av dina anslutna appar kan du ange en regel för det avvikande beteendet.For example, if someone suddenly uploads a large amount of data to one of your connected apps, you can set a rule to govern that type of anomalous behavior.
Användning av personligt kontoUse of personal account Den här aviseringen informerar dig om att ett nytt personligt konto har åtkomst till resurser i dina anslutna appar.This alert lets you know that a new personal account has access to resources in your connected apps. Ta bort användarens samarbeten i det externa kontot.Remove the user's collaborations in the external account.

Nästa stegNext steps

Mer information om att undersöka aviseringar finns i Undersök.For more information about investigating alerts, see Investigate.

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.