مشاركة عبر

إنشاء نهج نشاط Microsoft Defender for Cloud Apps

  • مقالة

تسمح لك نهج النشاط بفرض مجموعة واسعة من العمليات التلقائية باستخدام واجهات برمجة التطبيقات لموفر التطبيق. تمكنك هذه النهج من مراقبة أنشطة محددة يقوم بها مستخدمون مختلفون، أو اتباع معدلات عالية بشكل غير متوقع لنوع معين من النشاط.

بعد تعيين نهج الكشف عن النشاط، يبدأ في إنشاء تنبيهات - يتم إنشاء التنبيهات فقط على الأنشطة التي تحدث بعد إنشاء النهج.

ملاحظة

  • قد يتم تعطيل النهج التي تؤدي إلى أكثر من 200,000 تطابق يوميا، أو 100,000 تطابق لكل 3 ساعات، تلقائيا. يمكنك محاولة تحسين النهج عن طريق إضافة عوامل تصفية إضافية أو، إذا كنت تستخدم نهج لأغراض إعداد التقارير، ففكر في حفظها كاستفسارات بدلا من ذلك.
  • قد يستغرق إعداد نهج جديد إلى النشر ما يصل إلى 15 دقيقة.

تنبيهات مخصصة

تسمح نهج النشاط بإرسال تنبيهات مخصصة أو اتخاذ إجراءات عند اكتشاف نشاط المستخدم. على سبيل المثال، تريد أن تعرف في كل مرة:

  • يحاول المستخدم تسجيل الدخول ويفشل 70 مرة في دقيقة واحدة
  • يقوم المستخدم بتنزيل 7000 ملف
  • يتم تسجيل دخول المستخدم من بلد/منطقة غير مألوفة

يمكنك تعيين تنبيهات النشاط لإرسالها إلى نفسك أو إلى المستخدم عند حدوث هذه الأحداث. يمكنك حتى تعليق المستخدم حتى تنتهي من التحقيق في ما حدث.

لإنشاء نهج نشاط جديد، اتبع هذا الإجراء:

  1. في مدخل Microsoft Defender، ضمن Cloud Apps، انتقل إلى Policies ->Policy management. ثم حدد علامة التبويب Threat detections .

  2. انقر فوق إنشاء نهج وحدد نهج النشاط.

    إنشاء نهج الكشف عن التهديدات.

  3. امنح نهجك اسما ووصفا، إذا كنت تريد أن تتمكن من إسناده إلى قالب، لمزيد من المعلومات حول قوالب النهج، راجع التحكم في تطبيقات السحابة باستخدام النهج.

  4. لتعيين الإجراءات أو المقاييس الأخرى التي ستشغل هذا النهج، اعمل مع عوامل تصفية النشاط.

    للتأكد من تضمين النتائج فقط حيث يحتوي حقل عامل التصفية المحدد على قيمة، نوصي بإضافة نفس الحقل مرة أخرى باستخدام اختبار تم تعيينه . على سبيل المثال، عند التصفية حسب الموقعلا تساوي قائمة محددة من البلدان/المناطق، يتم أيضا تعيين عامل تصفية للموقع. يمكنك أيضا معاينة نتائج التصفية عن طريق تحديد Edit and preview results. على سبيل المثال:

    لقطة شاشة لإعدادات التصفية، تعرض تعيين حقل الموقع.

    عند تعيين عامل تصفية إلى لا يساوي ولا توجد السمة في الحدث، لن تتم تصفية الحدث. على سبيل المثال، لا يساوي التصفية على علامة الجهاز Microsoft Entra المختلط المنضم لا يقوم بتصفية الأحداث التي لا تحتوي على علامة الجهاز، حتى إذا تم Microsoft Entra انضمام الجهاز.

    في حالة المستخدم الضيف، قد تكون هناك حالات لا يتعرف فيها عامل تصفية المستخدم من المجموعة على الحساب حسب مجاله. للتأكد من تضمين جميع المستخدمين الضيوف، استخدم المستخدمين الخارجيين كمجموعة، إذا كان يلبي احتياجاتك للنهج.

  5. ضمن إنشاء عوامل تصفية للنهج، حدد متى سيتم تشغيل انتهاك النهج. اختر التشغيل عندما يتطابق نشاط واحد مع عوامل التصفية أو فقط عند اكتشاف عدد محدد من الأنشطة المتكررة .

    • إذا اخترت نشاط متكرر، يمكنك تعيين في تطبيق واحد. سيؤدي هذا الإعداد إلى تشغيل تطابق نهج فقط عند حدوث الأنشطة المتكررة في نفس التطبيق. على سبيل المثال، تؤدي خمس تنزيلات في 30 دقيقة من Box إلى مطابقة النهج.

  6. تكوين الإجراءات التي يجب اتخاذها عند العثور على تطابق.

ألق نظرة على هذه الأمثلة:

  • عمليات تسجيل دخول متعددة فاشلة

    يمكنك تعيين النهج بحيث تتلقى تنبيها عند حدوث عدد كبير من عمليات تسجيل الدخول الفاشلة خلال فترة زمنية قصيرة. لتكوين هذا النوع من النهج، اختر عامل تصفية النشاط المناسب في صفحة نهج النشاط الجديد .

    أسفل حقل عوامل تصفية النشاط ، قم بتكوين المعلمات التي سيتم تشغيل التنبيه لها.

    مثال النهج للعديد من محاولات تسجيل الدخول الفاشلة.

  • معدل تنزيل عال

    يمكنك تعيين النهج الخاص بك بحيث تتلقى تنبيها عندما يكون هناك مستوى غير متوقع أو غير نشط من نشاط التنزيل. لتكوين هذا النوع من النهج، ضمن معلمات المعدل ، اختر المعلمات لتشغيل التنبيه.

    مثال على معدل التنزيل العالي.

مرجع نهج النشاط

يحتوي هذا القسم على تفاصيل مرجعية حول النهج والتفسيرات لكل نوع نهج والحقول التي يمكن تكوينها لكل نهج.

نهج النشاط هو نهج قائم على واجهة برمجة التطبيقات يمكنك من مراقبة أنشطة مؤسستك في السحابة. يأخذ النهج في الاعتبار أكثر من 20 عامل تصفية لبيانات تعريف الملفات بما في ذلك نوع الجهاز والموقع. استنادا إلى نتائج النهج، يمكن إنشاء الإعلامات ويمكن تعليق المستخدمين من تطبيق السحابة. يتكون كل نهج من الأجزاء التالية:

  • عوامل تصفية النشاط - تمكنك من إنشاء شروط دقيقة استنادا إلى بيانات التعريف.

  • معلمات مطابقة النشاط - تمكنك من تعيين حد لعدد المرات التي يتكرر فيها النشاط ليتم اعتباره مطابقا للنهج. حدد عدد الأنشطة المتكررة المطلوبة لمطابقة النهج. على سبيل المثال، قم بتعيين نهج للتنبيه عندما يكون لدى المستخدم 10 محاولات تسجيل دخول غير ناجحة في إطار زمني مدته دقيقتين. بشكل افتراضي، ترفع معلمات مطابقة النشاط تطابقا لكل نشاط واحد يلبي جميع عوامل تصفية النشاط.

    • باستخدام النشاط المتكرر ، يمكنك تعيين عدد الأنشطة المتكررة، وهي مدة الإطار الزمني الذي يتم حساب الأنشطة فيه. يمكنك أيضا تحديد أنه يجب تنفيذ جميع الأنشطة من قبل نفس المستخدم وفي نفس تطبيق السحابة.

  • الإجراءات - يوفر النهج مجموعة من إجراءات الحوكمة التي يمكن تطبيقها تلقائيا عند اكتشاف الانتهاكات.

الخطوات التالية

نهج حماية البيانات

إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.