创建 Cloud Discovery 策略

  • 项目

注意

  • 我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客

  • Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的主场。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps

可创建“应用发现”策略,使其在检测到新应用时进行警报。 Defender for Cloud应用还会在 Cloud Discovery 中搜索所有日志,了解异常情况。

创建应用发现策略

发现策略让你可以设置警报以便在你的组织内检测到新的应用时通知你。

  1. 转到 “控制>策略>影子 IT”。

  2. 单击“创建策略”,然后选择“应用发现策略”

    Create a Cloud Discovery policy.

  3. 向策略提供名称和说明。 根据需要,可基于模板进行设置。 要详细了解策略模板,请参阅通过策略控制云应用

  4. 设置策略的“严重级别”

  5. 若要设置此策略由哪些已发现的应用触发,请添加筛选器。

  6. 可以设置策略敏感度的阈值。 启用“在同一天中发生下述所有情况时触发策略”。 可设置条件,要求应用每天必须满足此条件才能与策略匹配。 选择下列条件之一:

    • 每日流量
    • 下载的数据
    • IP 地址数
    • 事务数
    • 用户数
    • 上传的数据

  7. 在“警报”下设置“每日警报限制”。 选择警报的发送方式:电子邮件和/或短信的形式。 然后根据需要提供电话号码和电子邮件地址。

    • 单击“将警报设置另存为组织的默认值”之后,后续策略即可使用该设置
    • 如果具有默认设置,可选择“使用组织的默认设置”

  8. 选择要在应用与此策略相匹配时应用的“管理”操作。 它可将策略标记为“已批准”、“未批准”或自定义标记

  9. 单击“创建”。

注意

  • 新创建的发现策略 (或具有更新连续报表的策略,) 每一个连续报表每应用在 90 天内触发一次警报,而不考虑同一应用是否存在现有警报。 因此,例如,如果创建用于发现新热门应用的策略,则可能会针对已发现并发出警报的应用触发其他警报。
  • 快照报表中的数据不会在应用发现策略中触发警报。

例如,如果你有兴趣了解云环境中存在风险的托管应用,请如下设置策略:

设置策略筛选器,用于发现在“托管服务”类别中找到的任何服务,以及风险评分为 1(表示高风险)的任何服务

设置阈值,使其应在底部对所发现的特定应用触发警报。 例如,仅在环境中使用应用的用户数超过 100 人时,以及在他们从服务中下载特定数量的数据时才进行警报。 此外,可以设置对希望收到的每日警报的限制。

app discovery policy example.

Cloud Discovery 异常情况检测

Defender for Cloud应用会在 Cloud Discovery 中搜索所有日志来查找异常情况。 例如,当从未用过 Dropbox 的用户突然向其上传 600 GB 的内容,或者他们在特定应用上的事务量远远超过往常时。 异常检测策略默认启用。 不必配置新策略,该策略即可正常工作。 但是,可微调希望在默认策略中警报的异常类型。

  1. 在控制台中,依次单击“控件”和“策略”。

  2. 单击“创建策略”,然后选择“Cloud Discovery 异常情况检测策略”。

    cloud discovery anomaly detection policy menu.

  3. 向策略提供名称和说明。 根据需要,可基于模板进行设置。有关策略模板的详细信息,请参阅通过策略控制云应用

  4. 若要设置此策略由哪些已发现的应用触发,请单击“添加筛选器”

    筛选器是从下拉列表中选择的。 要添加筛选器,请单击加号按钮。 要删除筛选器,请单击“X”。

  5. 在“应用于”的下面,选择此策略的应用对象:“所有连续报表”或“特定连续报表”。 选择策略的应用对象:用户和/或 IP 地址

  6. 选择异常活动发生的日期以在“仅对以下日期之后发生的可疑活动触发警报”选项下触发警报。

  7. 在“警报”下设置“每日警报限制”。 选择警报的发送方式:电子邮件和/或短信的形式。 然后根据需要提供电话号码和电子邮件地址。

    • 单击“将警报设置另存为组织的默认值”之后,后续策略即可使用该设置
    • 如果具有默认设置,可选择“使用组织的默认设置”

  8. 单击“创建”。

    new discovery anomaly policy.

应用发现和日志收集器配置网络研讨会

后续步骤

用户活动策略

若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证