原則範本
建議您儘可能從現有的範本開始簡化原則建立。 本文列出數個可供 適用於雲端的 Microsoft Defender Apps 使用的原則範本。
如需範本的完整清單,請檢查 Microsoft Defender 入口網站。
原則範本醒目提示
風險類別 | 範本名稱 | 描述 |
---|---|---|
Cloud Discovery | 找到的使用者有異常行為 | 在找到的使用者及應用程式中偵測到異常行為時發出警示,例如:與其他使用者相較之下上傳了大量資料、與使用者歷程記錄相較之下有大型使用者交易。 |
Cloud Discovery | 找到的 IP 位址有異常行為 | 在找到的 IP 位址及應用程式中偵測到異常行為時發出警示,例如:與其他 IP 位址相較之下上傳了大量資料、與 IP 位址歷程記錄相較之下有大型應用程式交易。 |
Cloud Discovery | 共同作業應用程式合規性檢查 | 在發現新共同作業應用程式未符合 SOC2 及 SSAE 16 規範,且有超過 50 位使用者每天使用超過 50 MB 時發出警示。 |
Cloud Discovery | 雲端儲存體應用程式合規性檢查 | 在發現新雲端儲存體應用程式未符合 SOC2、SSAE 16、ISAE 3402 及 PCI DSS 規範,且有超過 50 位使用者每天使用超過 50 MB 時發出警示。 |
Cloud Discovery | CRM 應用程式合規性檢查 | 在發現新 CRM 應用程式未符合 SOC2、SSAE 16、ISAE 3402、ISO 27001 及 HIPAA 規範,且有超過 50 位使用者每天使用超過 50 MB 時發出警示。 |
Cloud Discovery | 新的雲端儲存體應用程式 | 在發現新的雲端儲存體應用程式有超過 50 位使用者每天使用超過 50 MB 時發出警示。 |
Cloud Discovery | 新的程式碼託管應用程式 | 在發現新的程式碼託管應用程式有超過 50 位使用者每天使用超過 50 MB 時發出警示。 |
Cloud Discovery | 新的共同作業應用程式 | 在發現新的共同作業應用程式有超過 50 位使用者每天使用超過 50 MB 時發出警示。 |
Cloud Discovery | 新的 CRM 應用程式 | 在發現新的 CRM 應用程式有超過 50 位使用者每天使用超過 50 MB 時發出警示。 |
Cloud Discovery | 新的大量應用程式 | 在發現新應用程式的每日總流量高於 500 MB 時發出警示。 |
Cloud Discovery | 新的高上傳量應用程式 | 在發現新應用程式的每日總上傳流量高於 500 MB 時發出警示。 |
Cloud Discovery | 新的人力資源管理應用程式 | 在新發現的人力資源管理應用程式有超過 50 位使用者每天使用超過 50 MB 時發出警示。 |
Cloud Discovery | 新的線上會議應用程式 | 在發現新的線上會議應用程式有超過 50 位使用者每天使用超過 50 MB 時發出警示。 |
Cloud Discovery | 新的熱門應用程式 | 在發現新的應用程式有超過 500 名使用者時發出警示。 |
Cloud Discovery | 新的風險應用程式 | 在發現新應用程式的風險分數低於 6,而且有超過 50 位使用者每天使用超過 50 MB 時發出警示。 |
Cloud Discovery | 新的銷售應用程式 | 在發現新的銷售應用程式有超過 50 位使用者每天使用超過 50 MB 時發出警示。 |
Cloud Discovery | 新的廠商管理系統應用程式 | 在發現新的廠商管理系統應用程式有超過 50 位使用者每天使用超過 50 MB 時發出警示。 |
DLP | 外部共用的原始程式碼 | 在檔案包含從組織外部共用的原始程式碼時發出警示。 |
DLP | 在雲端中偵測到包含 PCI 的檔案 (內建 DLP 引擎) | 當 適用於雲端的 Microsoft Defender 應用程式內建數據外洩防護 (DLP) 引擎在獲批准的雲端應用程式中偵測到具有付款卡資訊的檔案時發出警示。 |
DLP | 在雲端中偵測到包含 PHI 的檔案 (內建 DLP 引擎) | 當 適用於雲端的 Microsoft Defender 應用程式內建數據外洩防護 (DLP) 引擎在獲批准的雲端應用程式中偵測到具有受保護健康資訊 (PHI) 的檔案時發出警示。 |
DLP | 在雲端中偵測到包含私人資訊的檔案 (內建 DLP 引擎) | 當 適用於雲端的 Microsoft Defender 應用程式內建數據外洩防護 (DLP) 引擎在獲批准的雲端應用程式中偵測到具有個人資料的檔案時發出警示。 |
威脅偵測 | 來自非公司 IP 位址的管理活動 | 在管理員使用者從不包含在公司 IP 位址範圍類別中的 IP 位址執行管理活動時發出警示。 先移至 [設定] 頁面設定公司的 IP 位址,並設定 [IP 位址範圍]。 |
威脅偵測 | 從有風險的 IP 位址登入 | 在使用者從具風險的 IP 位址登入您獲批准的應用程式時發出警示。 根據預設,[具風險的 IP 位址] 類別包含具有 [匿名 Proxy]、[TOR] 或 [殭屍網路] IP 位址標記的位址。 您可以在 [IP 位址範圍] 設定頁面中,將更多 IP 位址新增到此類別。 |
威脅偵測 | 單一使用者大量下載 | 在單一使用者在 1 分鐘內執行 50 次以上的下載時發出警示。 |
威脅偵測 | 使用者嘗試登入應用程式多次失敗 | 在單一使用者嘗試登入單一應用程式,並在 5 分鐘內超過 10 次失敗時發出警示。 |
威脅偵測 | 潛在的勒索軟體活動 | 在使用者將檔案上傳到可能受勒索軟體感染的雲端時發出警示。 |
共用控制措施 | 檔案與個人電子郵件地址共用 | 當檔案與使用者的個人電子郵件地址共享時發出警示。 |
共用控制措施 | 檔案與未經授權的網域共用 | 當檔案與未經授權的網域 (例如您的競爭者) 共用時發出警示。 |
共用控制措施 | 共用數位憑證 (副檔名) | 在公開共用包含數位憑證的檔案時發出警示。 使用此範本來協助您治理 AWS 儲存體。 |
共用控制措施 | 可公開存取的 S3 貯體 (AWS) | 當公開共用 AWS S3 貯體時發出警示。 |
共用控制措施 | 過時的外部共用檔案 | 當外部共用檔案至少 6 個月未修改時發出警示。 |
檢視原則範本的完整清單
若要查看原則範本的完整清單,請在 Microsoft Defender 入口網站中的 Cloud Apps 底下,移至 [原則 -> 原則範本]。 例如:
下一步
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。