Principer för skydd mot hotThreat protection policies

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

Med Cloud App Security kan du identifiera användnings-och säkerhets problem med hög risk, upptäcka onormalt användar beteende och förhindra hot i dina sanktionerade molnappar.Cloud App Security enables you to identify high-risk use and cloud security issues, detect abnormal user behavior, and prevent threats in your sanctioned cloud apps. Få insyn i användar-och administratörs aktiviteter och definiera principer för automatisk avisering när misstänkt beteende eller vissa aktiviteter som du bedömer som riskfylld identifieras.Get visibility into user and admin activities and define policies to automatically alert when suspicious behavior or specific activities that you consider risky are detected. Dra nytta av den stora mängden Microsoft Threat intelligence-och säkerhets referensinformations information som hjälper dig att se till att dina sanktionerade appar har alla säkerhets kontroller som du behöver och hjälper dig att behålla kontrollen över dem.Draw from the vast amount of Microsoft threat intelligence and security research data to help ensure that your sanctioned apps have all the security controls you need in place and help you maintain control over them.

Anteckning

När du integrerar Cloud App Security med Microsoft Defender för identitet visas även principer från Defender för identitet på sidan principer.When integrating Cloud App Security with Microsoft Defender for Identity, policies from Defender for Identity also appear on the policies page. En lista över Defender för identitets principer finns i säkerhets aviseringar.For a list of Defender for Identity policies, see Security Alerts.

Identifiera och kontrol lera användar aktivitet från okända platserDetect and control user activity from unfamiliar locations

Automatisk identifiering av användar åtkomst eller aktivitet från okända platser som aldrig har besökts av någon annan i din organisation.Automatic detection of user access or activity from unfamiliar locations that were never visited by anyone else in your organization.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med hjälp av app-kopplingar eller med hjälp av appen för villkorlig åtkomst med hjälp av session kontroller.You must have at least one app connected using app connectors or on-boarded using Conditional Access app control with session controls.

StegSteps

Den här identifieringen konfigureras automatiskt direkt, så att du varnas när det finns åtkomst från nya platser.This detection is automatically configured out-of-the-box to alert you when there is access from new locations. Du behöver inte vidta några åtgärder för att konfigurera den här principen.You do not need to take any action to configure this policy. Mer information finns i principer för avvikelse identifiering.For more information, see Anomaly detection policies.

Identifiera komprometterat konto på omöjlig plats (omöjlig resa)Detect compromised account by impossible location (impossible travel)

Automatisk identifiering av användar åtkomst eller aktivitet från två olika platser inom en tids period som är kortare än den tid det tar att resa mellan de två.Automatic detection of user access or activity from 2 different locations within a time period that is shorter than the time it takes to travel between the two.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med hjälp av app-kopplingar eller med hjälp av appen för villkorlig åtkomst med hjälp av session kontroller.You must have at least one app connected using app connectors or on-boarded using Conditional Access app control with session controls.

StegSteps

  1. Den här identifieringen konfigureras automatiskt direkt, så att du varnas när det finns åtkomst från omöjliga platser.This detection is automatically configured out-of-the-box to alert you when there is access from impossible locations. Du behöver inte vidta några åtgärder för att konfigurera den här principen.You do not need to take any action to configure this policy. Mer information finns i principer för avvikelse identifiering.For more information, see Anomaly detection policies.

  2. Valfritt: du kan Anpassa principer för avvikelse identifiering:Optional: you can customize anomaly detection policies:

    • Anpassa identifierings omfånget i termer av användare och grupperCustomize the detection scope in terms of users and groups

    • Välj vilka typer av inloggningar som ska övervägasChoose the types of sign-ins to consider

    • Ange din känslighets inställning för aviseringarSet your sensitivity preference for alerting

  3. Skapa principen för avvikelse identifiering.Create the anomaly detection policy.

Identifiera misstänkt aktivitet från en anställd på resaDetect suspicious activity from an "on-leave" employee

Identifiera när en användare, som finns på obetald tjänstledighet och inte ska vara aktiv på någon organisations resurs, har åtkomst till någon av organisationens moln resurser.Detect when a user, who is on unpaid leave and should not be active on any organizational resource, is accessing any of your organization's cloud resources.

FörutsättningarPrerequisites

  • Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

  • Skapa en säkerhets grupp i Azure Active Directory för användare på obetald ledighet och Lägg till alla användare som du vill övervaka.Create a security group in Azure Active Directory for the users on unpaid leave and add all the users you want to monitor.

StegSteps

  1. På skärmen användar grupper klickar du på skapa användar grupp och importerar relevant Azure AD-grupp.On the User groups screen, click Create user group and import the relevant Azure AD group.

  2. Skapa en ny aktivitets princip på sidan principer .On the Policies page, create a new Activity policy.

  3. Ange att filter användar gruppen är lika med namnet på de användar grupper som du skapade i Azure AD för den obetalde tjänstledigheten användare.Set the filter User group equals to the name of the user groups you created in Azure AD for the unpaid leave users.

  4. Valfritt: Ange de styrnings åtgärder som ska vidtas på filer när en överträdelse identifieras.Optional: Set the Governance actions to be taken on files when a violation is detected. De styrnings åtgärder som är tillgängliga varierar mellan olika tjänster.The governance actions available vary between services. Du kan välja inaktivera användare.You can choose Suspend user.

  5. Skapa fil principen.Create the file policy.

Identifiera och meddela när ett föråldrat Browser-operativsystem användsDetect and notify when outdated browser OS is used

Identifiera när en användare använder en webbläsare med en inaktuell klient version som kan medföra efterlevnad eller säkerhets risker för din organisation.Detect when a user is using a browser with an outdated client version that might pose compliance or security risks to your organization.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med hjälp av app-kopplingar eller med hjälp av appen för villkorlig åtkomst med hjälp av session kontroller.You must have at least one app connected using app connectors or on-boarded using Conditional Access app control with session controls.

StegSteps

  1. Skapa en ny aktivitets princip på sidan principer .On the Policies page, create a new Activity policy.

  2. Ange att agent tag gen för filter ska vara lika med inaktuell webbläsare och föråldrat operativ system.Set the filter User agent tag equals to Outdated browser and Outdated operating system.

  3. Ange de styrnings åtgärder som ska vidtas på filer när en överträdelse upptäcks.Set the Governance actions to be taken on files when a violation is detected. De styrnings åtgärder som är tillgängliga varierar mellan olika tjänster.The governance actions available vary between services. Under alla appar väljer du meddela användaren, så att användarna kan agera på aviseringen och uppdatera nödvändiga komponenter.Under All apps, select Notify user, so that your users can act upon the alert and update the necessary components.

  4. Skapa aktivitets principen.Create the Activity policy.

Identifiera och Avisera när en administratörs aktivitet identifieras på riskfyllda IP-adresserDetect and alert when Admin activity is detected on risky IP addresses

Identifiera administrativa aktiviteter som utförts från och IP-adresser som betraktas som en riskfylld IP-adress och meddela system administratören om ytterligare undersökning eller ange en styrnings åtgärd på administratörs kontot.Detect admin activities performed from and IP address that is considered a risky IP address, and notify the system admin for further investigation or set a governance action on the admin's account.

FörutsättningarPrerequisites

  • Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

  • I inställningarna kugg hjuls väljer du IP-adressintervall och klickar på + för att lägga till IP-adressintervall för dina interna undernät och deras utgående offentliga IP-adresser.From the Settings cog, select IP address ranges and click the + to add IP address ranges for your internal subnets and their egress public IP addresses. Ange en intern kategori .Set the Category to Internal.

StegSteps

  1. Skapa en ny aktivitets princip på sidan principer .On the Policies page, create a new Activity policy.

  2. Ställ in agera för enskild aktivitet.Set Act on to Single activity.

  3. Ange att filter -IP-adressen till kategorin är lika med riskfylldSet the filter IP address to Category equals Risky

  4. Ange den administrativa aktiviteten filtrera till SantSet the filter Administrative activity to True

  5. Ange de styrnings åtgärder som ska vidtas på filer när en överträdelse upptäcks.Set the Governance actions to be taken on files when a violation is detected. De styrnings åtgärder som är tillgängliga varierar mellan olika tjänster.The governance actions available vary between services. Under alla appar väljer du meddela användaren, så att användarna kan agera på aviseringen och uppdatera de nödvändiga komponenterna CC till användarens chef.Under All apps, select Notify user, so that your users can act upon the alert and update the necessary components CC the user's manager.

  6. Skapa aktivitets principen.Create the activity policy.

Identifiera aktiviteter efter tjänst konto från externa IP-adresserDetect activities by service account from external IP addresses

Identifiera tjänst konto aktiviteter som härstammar från en icke-intern IP-adress.Detect service account activities originating from a non-internal IP addresses. Detta kan tyda på misstänkt beteende eller ett komprometterat konto.This could indicate suspicious behavior or a compromised account.

FörutsättningarPrerequisites

  • Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

  • I inställningarna kugg hjuls väljer du IP-adressintervall och klickar på + för att lägga till IP-adressintervall för dina interna undernät och deras utgående offentliga IP-adresser.From the Settings cog, select IP address ranges and click the + to add IP address ranges for your internal subnets and their egress public IP addresses. Ange en intern kategori .Set the Category to Internal.

  • Standardisera namngivnings konventioner för tjänst konton i din miljö, till exempel ange att alla konto namn ska börja med "SVC".Standardize a naming conventions for service accounts in your environment, for example, set all account names to start with "svc".

StegSteps

  1. Skapa en ny aktivitets princip på sidan principer .On the Policies page, create a new Activity policy.

  2. Ange filtrets användare som namn och börja med och ange namn konventionen, till exempel SVC.Set the filter User to Name and then Starts with and enter your naming convention, such as svc.

  3. Ange filter -IP-adress till kategori inte lika med övrigt och företag.Set the filter IP address to Category does not equal Other and Corporate.

  4. Ange de styrnings åtgärder som ska vidtas på filer när en överträdelse upptäcks.Set the Governance actions to be taken on files when a violation is detected. De styrnings åtgärder som är tillgängliga varierar mellan olika tjänster.The governance actions available vary between services.

  5. Skapa principen.Create the policy.

Identifiera Mass nedladdning (data exfiltrering)Detect mass download (data exfiltration)

Identifiera när en viss användare får åtkomst till eller hämtar ett stort antal filer under en kort tids period.Detect when a certain user accesses or downloads a massive number of files in a short period of time.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med hjälp av app-kopplingar eller med hjälp av appen för villkorlig åtkomst med hjälp av session kontroller.You must have at least one app connected using app connectors or on-boarded using Conditional Access app control with session controls.

StegSteps

  1. Skapa en ny aktivitets princip på sidan principer .On the Policies page, create a new Activity policy.

  2. Ange att filter -IP-adresser till taggen inte är lika med Microsoft Azure.Set the filter IP addresses to Tag does not equal Microsoft Azure. Detta utesluter icke-interaktiva enhets aktiviteter.This will exclude non-interactive device-based activities.

  3. Ange filter aktivitets typerna lika med och välj sedan alla relevanta nedladdnings aktiviteter.Set the filter Activity types equals to and then select all relevant download activities.

  4. Ange de styrnings åtgärder som ska vidtas på filer när en överträdelse upptäcks.Set the Governance actions to be taken on files when a violation is detected. De styrnings åtgärder som är tillgängliga varierar mellan olika tjänster.The governance actions available vary between services.

  5. Skapa principen.Create the policy.

Identifiera potentiell utpressnings tro aktivitetDetect potential Ransomware activity

Automatisk identifiering av potentiell utpressnings tro aktivitet.Automatic detection of potential Ransomware activity.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

StegSteps

  1. Den här identifieringen konfigureras automatiskt direkt för att varna dig när det finns en potentiell utpressnings risk upptäckt.This detection is automatically configured out-of-the-box to alert you when there is a potential ransomware risk detected. Du behöver inte vidta några åtgärder för att konfigurera den här principen.You do not need to take any action to configure this policy. Mer information finns i principer för avvikelse identifiering.For more information, see Anomaly detection policies.

  2. Det är möjligt att konfigurera omfattningen av identifieringen och anpassa de styrnings åtgärder som ska vidtas när en avisering utlöses.It is possible to configure the Scope of the detection and to customize the Governance actions to be taken when an alert is triggered. Mer information om hur Cloud App Security identifierar utpressnings Troprodukter finns i skydda din organisation från utpressnings tro Jan.For more information about how Cloud App Security identifies Ransomware, see Protecting your organization from ransomware.

Anteckning

Detta gäller för Office 365, Google-arbetsyta, Box och Dropbox.This applies to Office 365, Google Workspace, Box, and Dropbox.

Identifiera skadlig kod i molnetDetect malware in the cloud

Identifiera filer som innehåller skadlig kod i moln miljöer genom att använda Cloud App Securitys integrering med Microsofts Threat Intelligence-motor.Detect files containing malware in your cloud environments by utilizing Cloud App Security's integration with the Microsoft's Threat Intelligence engine.

FörutsättningarPrerequisites

  • För identifiering av skadlig kod i Office 365 måste du ha en giltig licens för Microsoft Defender för Office 365 P1.For Office 365 malware detection, you must have a valid license for Microsoft Defender for Office 365 P1.
  • Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

StegSteps

  • Den här identifieringen konfigureras automatiskt för att varna dig om det finns en fil som kan innehålla skadlig kod.This detection is automatically configured out-of-the-box to alert you when there is a file that may contain malware. Du behöver inte vidta några åtgärder för att konfigurera den här principen.You do not need to take any action to configure this policy. Mer information finns i principer för avvikelse identifiering.For more information, see Anomaly detection policies.

Identifiera falsk administratörs övertag AndeDetect rogue admin takeover

Identifiera upprepad administratörs aktivitet som kan tyda på skadliga avsikter.Detect repeated admin activity that might indicate malicious intentions.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

StegSteps

  1. Skapa en ny aktivitets princip på sidan principer .On the Policies page, create a new Activity policy.

  2. Ställ in agera på upprepad aktivitet och anpassa de minsta upprepade aktiviteterna och ange en tidsram som överensstämmer med organisationens princip..Set Act on to Repeated activity and customize the Minimum repeated activities and set a Timeframe to comply with your organization's policy..

  3. Ställ in filter användarenfrån gruppen är lika med och välj endast den relaterade administratörs gruppen som aktör.Set the filter User to From group equals and select all the related admin group as Actor only.

  4. Ange filter aktivitets typen är lika med alla aktiviteter som relaterar till lösen ords uppdateringar, ändringar och återställs.Set the filter Activity type equals to all activities that relate to password updates, changes, and resets.

  5. Ange de styrnings åtgärder som ska vidtas på filer när en överträdelse upptäcks.Set the Governance actions to be taken on files when a violation is detected. De styrnings åtgärder som är tillgängliga varierar mellan olika tjänster.The governance actions available vary between services.

  6. Skapa principen.Create the policy.

Identifiera misstänkta regler för manipulering av InkorgenDetect suspicious inbox manipulation rules

Om en misstänkt inkorg angavs i en användares inkorg, kan det betyda att användar kontot har komprometterats och att post lådan används för att distribuera skräp post och skadlig kod i din organisation.If a suspicious inbox rule was set on a user's inbox, it may indicate that the user account is compromised, and that the mailbox is being used to distribute spam and malware in your organization.

FörutsättningarPrerequisites

  • Användning av Microsoft Exchange för e-post.Use of Microsoft Exchange for email.

StegSteps

  • Den här identifieringen konfigureras automatiskt som en varning när det finns en regel uppsättning för misstänkt inkorg.This detection is automatically configured out-of-the-box to alert you when there is a suspicious inbox rule set. Du behöver inte vidta några åtgärder för att konfigurera den här principen.You do not need to take any action to configure this policy. Mer information finns i principer för avvikelse identifiering.For more information, see Anomaly detection policies.

Identifiera läckta autentiseringsuppgifterDetect leaked credentials

När cyberhot cyberbrottslingarna kompromettera giltiga lösen ord för legitima användare, delar de ofta dessa autentiseringsuppgifter.When cyber criminals compromise valid passwords of legitimate users, they often share those credentials. Detta görs vanligt vis genom att publicera dem offentligt på de mörka webb-eller Inklistrings platserna eller genom handel eller sälja de autentiseringsuppgifter som finns på den svarta marknaden.This is usually done by posting them publicly on the dark web or paste sites or by trading or selling the credentials on the black market.

Cloud App Security använder Microsofts Hot information för att matcha sådana autentiseringsuppgifter mot de som används i din organisation.Cloud App Security utilizes Microsoft's Threat intelligence to match such credentials to the ones used inside your organization.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

StegSteps

Den här identifieringen konfigureras automatiskt direkt för att varna dig när en möjlig läckage för autentiseringsuppgifter upptäcks.This detection is automatically configured out-of-the-box to alert you when a possible credential leak is detected. Du behöver inte vidta några åtgärder för att konfigurera den här principen.You do not need to take any action to configure this policy. Mer information finns i principer för avvikelse identifiering.For more information, see Anomaly detection policies.

Identifiera avvikande fil nedladdningarDetect anomalous file downloads

Identifiera när användare utför flera fil hämtnings aktiviteter i en enda session, i förhållande till den bas linje som lärts.Detect when users perform multiple file download activities in a single session, relative to the baseline learned. Detta kan tyda på ett försök till överträdelse.This could indicate an attempted breach.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med hjälp av app-kopplingar eller med hjälp av appen för villkorlig åtkomst med hjälp av session kontroller.You must have at least one app connected using app connectors or on-boarded using Conditional Access app control with session controls.

StegSteps

  1. Den här identifieringen konfigureras automatiskt direkt för att varna dig när en avvikande hämtning sker.This detection is automatically configured out-of-the-box to alert you when an anomalous download occurs. Du behöver inte vidta några åtgärder för att konfigurera den här principen.You do not need to take any action to configure this policy. Mer information finns i principer för avvikelse identifiering.For more information, see Anomaly detection policies.

  2. Det är möjligt att konfigurera omfattningen av identifieringen och anpassa åtgärden som ska vidtas när en avisering utlöses.It is possible to configure the scope of the detection and to customize the action to be taken when an alert is triggered.

Identifiera avvikande fil resurser av en användareDetect anomalous file shares by a user

Identifiera när användare utför flera fildelnings aktiviteter i en enda session med avseende på den ursprungliga bas linjen, vilket kan tyda på ett försök till överträdelse.Detect when users perform multiple file-sharing activities in a single session with respect to the baseline learned, which could indicate an attempted breach.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med hjälp av app-kopplingar eller med hjälp av appen för villkorlig åtkomst med hjälp av session kontroller.You must have at least one app connected using app connectors or on-boarded using Conditional Access app control with session controls.

StegSteps

  1. Den här identifieringen konfigureras automatiskt direkt för att varna dig när användarna utför flera fildelningar.This detection is automatically configured out-of-the-box to alert you when users perform multiple file sharing. Du behöver inte vidta några åtgärder för att konfigurera den här principen.You do not need to take any action to configure this policy. Mer information finns i principer för avvikelse identifiering.For more information, see Anomaly detection policies.

  2. Det är möjligt att konfigurera omfattningen av identifieringen och anpassa åtgärden som ska vidtas när en avisering utlöses.It is possible to configure the scope of the detection and to customize the action to be taken when an alert is triggered.

Identifiera avvikande aktiviteter från ovanliga länderDetect anomalous activities from infrequent country

Identifiera aktiviteter från en plats som inte nyligen har bearbetats eller som aldrig besöktes av användaren eller av någon annan användare i din organisation.Detect activities from a location that was not recently or was never visited by the user or by any user in your organization.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med hjälp av app-kopplingar eller med hjälp av appen för villkorlig åtkomst med hjälp av session kontroller.You must have at least one app connected using app connectors or on-boarded using Conditional Access app control with session controls.

StegSteps

  1. Den här identifieringen konfigureras automatiskt direkt för att varna dig när en avvikande aktivitet sker från ett ovanligt land/region.This detection is automatically configured out-of-the-box to alert you when an anomalous activity occurs from an infrequent country/region. Du behöver inte vidta några åtgärder för att konfigurera den här principen.You do not need to take any action to configure this policy. Mer information finns i principer för avvikelse identifiering.For more information, see Anomaly detection policies.

  2. Det är möjligt att konfigurera omfattningen av identifieringen och anpassa åtgärden som ska vidtas när en avisering utlöses.It is possible to configure the scope of the detection and to customize the action to be taken when an alert is triggered.

Anteckning

Identifiering av avvikande platser kräver en inledande inlärnings period på sju dagar.Detecting anomalous locations necessitates an initial learning period of 7 days. Under inlärnings perioden genererar Cloud App Security inga aviseringar för nya platser.During the learning period, Cloud App Security does not generate alerts for new locations.

Identifiera aktivitet som utförs av en avslutad användareDetect activity performed by a terminated user

Identifiera när en användare som inte längre är anställd i din organisation utför en aktivitet i en sanktionerad app.Detect when a user who is no longer an employee of your organization performs an activity in a sanctioned app. Detta kan indikera skadlig aktivitet av en avslutad medarbetare som fortfarande har åtkomst till företagets resurser.This may indicate malicious activity by a terminated employee who still has access to corporate resources.

FörutsättningarPrerequisites

Du måste ha minst en app ansluten med app Connectors.You must have at least one app connected using app connectors.

StegSteps

  1. Den här identifieringen konfigureras automatiskt direkt för att varna dig när en aktivitet utförs av en avslutad medarbetare.This detection is automatically configured out-of-the-box to alert you when an activity is performed by a terminated employee. Du behöver inte vidta några åtgärder för att konfigurera den här principen.You do not need to take any action to configure this policy. Mer information finns i principer för avvikelse identifiering.For more information, see Anomaly detection policies.

  2. Det är möjligt att konfigurera omfattningen av identifieringen och anpassa åtgärden som ska vidtas när en avisering utlöses.It is possible to configure the scope of the detection and to customize the action to be taken when an alert is triggered.

Nästa stegNext steps

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.