Anomalie Erkennungsrichtlinien in Office 365-Cloud-App-Sicherheit

Hinweis:  Wir möchten Ihnen die aktuellsten Hilfeinhalte so schnell wie möglich in Ihrer eigenen Sprache bereitstellen. Diese Seite wurde automatisiert übersetzt und kann Grammatikfehler oder Ungenauigkeiten enthalten. Unser Ziel ist es, Ihnen hilfreiche Inhalte bereitzustellen. Teilen Sie uns bitte über den Link am unteren Rand dieser Seite mit, ob die Informationen für Sie hilfreich sind. Hier finden Sie den englischen Artikel als Referenz.

Office 365 Advanced Security Management ist jetzt Office 365 Cloud App Security.

Auswertung    >

Planung    >

Bereitstellung    >

Auslastung   

Starten der Auswertung

Mit der Planung beginnen

Sie befinden sich hier!

Als Nächstes

Starten Sie die Nutzung

Beginnen mit Microsoft-Cloud-App-Sicherheit lassen Sie wieder los 116, enthält Office 365 Cloud App Security mehrere vordefinierte Anomalie Erkennungsrichtlinien ("aus dem Feld"), die Benutzer und Entität Verhalten Analytics (UEBA) und Computer learning (ML) enthalten.

Wählen Sie zum Anzeigen Ihrer Anomalie Erkennungsrichtlinien Steuerelement > Richtlinien.

Diese Anomalie Erkennungsrichtlinien bieten sofortige Ergebnisse durch die Bereitstellung sofortige Erkennung, zahlreiche Verhalten Bildschirmdarstellung auftreten verwendet, auf die Benutzer und die Computern und Geräten, die mit Ihrem Netzwerk verbunden. Die neuen Richtlinien Verfügbarmachen darüber hinaus weitere Daten aus der Cloud-App-Sicherheit Erkennung-Engine können Sie den Untersuchungsprozess beschleunigen und laufende Risiken enthalten.

Als globaler Administrator oder Security Administratorkönnen Sie überprüfen, und Überarbeiten bei Bedarf die Standardrichtlinien, die mit Office 365 Cloud App Security verfügbar sind.

Inhalt dieses Artikels:

Wichtig: Es gibt ein Zeitraum initial Learning sieben (7) Tage während, die abweichendem Verhalten Benachrichtigungen nicht ausgelöst werden. Der Erkennungsalgorithmus Anomalie-ist zum Verringern der Anzahl der falsch positiv Benachrichtigungen optimiert.

Vorbereitende Schritte

Stellen Sie sicher, dass:

Zeigen Sie Ihrer Anomalie Erkennungsrichtlinien an

  1. Wechseln Sie als globaler Administrator oder Sicherheitsadministrator zu https://protection.office.com, und melden Sie sich mit Ihrem Geschäfts-, Schul- oder Unikonto an.

  2. Wählen Sie im Security & Compliance Center die Optionen Warnungen > Erweiterte Warnungen verwalten aus.

  3. Wählen Sie Zu Office 365 Cloud App Security wechseln aus.

    Dadurch gelangen Sie zur Seite mit den Richtlinien für Office 365 Cloud App Security.

  4. Wählen Sie in der Liste TypAnomalie Erkennung Richtlinie aus.

    Ihre Organisation Standard (oder vorhandenen) Anomalie Erkennungsrichtlinien werden angezeigt.

    Mehrere Anomalie Erkennungsrichtlinien stehen standardmäßig in Office 365-Cloud-App-Sicherheit

  5. Wählen Sie eine Richtlinie zum Überprüfen oder Bearbeiten der Einstellungen aus.

  6. Wählen Sie Update aus, um die Änderungen zu speichern.

Weitere Informationen zu Anomalie Erkennungsrichtlinien

Anomalie Erkennungsrichtlinien werden automatisch aktiviert. Office 365 Cloud App Security hat jedoch einen Zeitraum initial Learning sieben Tage, während die nicht alle, die Anomalie Erkennung Warnungen ausgelöst werden. Anschließend wird jede Sitzung Aktivität, wenn Benutzer aktiv waren, IP-Adressen, Geräte, über des letzten Monats und der Risikowert dieser Aktivitäten erkannt usw. verglichen. Diese Erkennung gehören die heuristische Anomalie Erkennung-Engine, die Profile Ihrer Umgebung und löst Benachrichtigungen in Bezug auf einen Basisplan, der in Ihrer Organisation Aktivität bekannt gegeben wurde. Diese Erkennung nutzen auch Computer Learning Algorithmen dazu ausgelegt, das Profil der Benutzer und Log in Mustern, um falsche positive zu verringern.

Bildschirmdarstellung auftreten, werden durch Scannen Benutzeraktivitäten erkannt. Das Risiko wird unter betrachtet mit mehr als 30 verschiedene Risikoindikatoren, gruppiert in mehreren Risikofaktoren, wie riskant IP-Adresse, Anmeldefehler, Administrator Aktivität, inaktive Konten, Speicherort, unmöglich Reisen, Gerät und Benutzer-Agents und Aktivität Zins ausgewertet.

Ausgehend von der Richtlinie Ergebnisse werden von Sicherheitshinweisen ausgelöst. Office 365 Cloud App Security sucht bei jeder Sitzung Benutzers in Office 365 und benachrichtigt Sie immer, wenn eine Änderung vorgenommen wird, die sich aus den Basisplan Ihrer Organisation oder eine normale Benutzeraktivitäten unterscheidet.

Die folgende Tabelle beschreibt die Anomalie Erkennung Standardrichtlinien, welche Aufgaben sie ausführen und deren Funktionsweise.

Name der Anomalie Erkennung Richtlinie

Funktionsweise

Unmöglich Reisen

Zwei Benutzeraktivitäten identifiziert (ist eine einzelne oder mehrere Sitzungen) mit Ursprung geografischen fernen Orten innerhalb eines Zeitraums kürzer als der Zeitraum es würde getroffen haben Reisen ab der ersten Position der zweiten, was bedeutet, dass dem Benutzer eine andere Benutzer ist die gleichen Anmeldeinformationen verwenden. Diese Erkennung nutzt einen Computer learning Algorithmus, die offensichtlich "falsche positive" zu der Bedingung unmöglich Reisen, z. B. VPN und regelmäßig durch andere Benutzer in der Organisation verwendete Speicherorte beitragen ignoriert. Die Erkennung verfügt über einen Zeitraum initial Learning sieben Tage, während, die sie einen neuen Benutzer Aktivität Muster lernfähig.

Aktivitäten seltene Land

Betrachtet ältere Aktivität Speicherorte zu neuen und seltene Speicherorte zu bestimmen. Die Anomalie Erkennung-Engine speichert Informationen zu vorherigen Orte, die von Benutzern in der Organisation verwendet. Eine Warnung wird ausgelöst, wenn eine Aktivität von einem Speicherort auftritt, die nicht vor kurzem oder nie vom Benutzer oder von jedem Benutzer in der Organisation besucht wurde.

Aktivitäten anonyme IP-Adressen

Gibt an, dass Benutzer über eine IP-Adresse aktiven wurden, die als eine anonyme Proxy-IP-Adresse angegeben wurde. Diese Proxys werden von Personen verwendet, die IP-Adresse des Geräts ausblenden möchten, und für Absichten verwendet werden kann. Diese Erkennung nutzt einen Computer learning Algorithmus, der reduziert "falsche positive", beispielsweise falsch markiertes IP-Adressen, die Streuung von Benutzern in der Organisation verwendet werden.

Aktivitäten von verdächtigen IP-Adressen

Gibt an, dass Benutzer über eine IP-Adresse aktiven wurden, die als riskant von Microsoft Bedrohungsanalyse angegeben wurde. Diese IP-Adressen umfasst bösartige Aktivitäten, z. B. Botnet C & C, und darauf hinweisen betroffenen Kontos. Diese Erkennung nutzt einen Computer learning Algorithmus, der reduziert "falsche positive", beispielsweise falsch markiertes IP-Adressen, die Streuung von Benutzern in der Organisation verwendet werden.

Ungewöhnliche Aktivitäten (durch Benutzer)

Identifiziert Benutzer, die ungewöhnliche Aktivitäten, z. B. ausführen:

  • Mehrere Dateidownloads

  • Aktivitäten für die Dateifreigabe

  • Datei Löschvorgang Aktivitäten

  • Identitätswechsel Aktivitäten

  • Administrative Aktivitäten

Diese Richtlinien Suchen nach Aktivitäten innerhalb einer Sitzung in Bezug auf die Grundlinie haben gelernt, die bei einem Verstoß gegen Versuch hinweisen könnte. Diese zur Erkennung Nutzung von einem Computer learning Algorithmus, mit dem Muster Profile Benutzer anmelden und falsche verringert. Diese Erkennung gehören die heuristische Anomalie Erkennung-Engine, die Profile Ihrer Umgebung und löst Benachrichtigungen in Bezug auf einen Basisplan, der in Ihrer Organisation Aktivität bekannt gegeben wurde.

Mehrere fehlgeschlagener Login-Versuche

Benutzer, die mehrere Login ebenfalls in einer einzigen Sitzung fehlgeschlagen identifiziert in Bezug auf die geplante haben gelernt, könnte der auf einen Verstoß gegen Versuch hinweisen.

Auswahl beschränkt Anomalie Erkennung Benachrichtigungen

Wie Benachrichtigungen nützlich sein, können Sie diese Benachrichtigungen schnell zu Sichten und bestimmen, welche zuerst behandeln. Kontext für eine Benachrichtigung Probleme ermöglicht es Ihnen das Vergrößern Bild und feststellen, ob bösartiger tatsächlich um erweisen. Verwenden Sie das folgende Verfahren Schritte untersuchen eine Warnung aus:

  1. Wechseln Sie als globaler Administrator oder Sicherheitsadministrator zu https://protection.office.com, und melden Sie sich mit Ihrem Geschäfts-, Schul- oder Unikonto an.

  2. Wählen Sie im Security & Compliance Center die Optionen Warnungen > Erweiterte Warnungen verwalten aus.

  3. Wählen Sie Zu Office 365 Cloud App Security wechseln aus.

  4. Wählen Sie Benachrichtigungen anzeigen die Benachrichtigungen aus.

  5. Gehen Sie folgendermaßen vor, um Kontext für eine Benachrichtigung zu erhalten:

    1. Wählen Sie untersuchen > Aktivität protokollieren.

    2. Wählen Sie ein Element, beispielsweise einen Benutzer oder eine IP-Adresse ein. Dadurch wird die relevanten Einsichten Einzug geöffnet.

      In der Log Aktivitäten können Sie eine IP-Adresse ermitteln.

    3. Klicken Sie auf einen verfügbaren Befehl, wie etwa ein Symbol im Abschnitt Ähnliche Elemente anzeigen, in die relevanten Einsichten Einzug.

      In den relevanten Einsichten Einzug können Sie Uhrsymbol zum Anzeigen von Aktivitäten, die innerhalb von 48 Stunden einer ausgewählten Aktivität ausgeführt klicken.

    4. Bekommen Sie Einsicht in das ausgewählte Element, indem Sie weiter, um für dieses Element Details auszuwerten.

Eine Benachrichtigung für mehrere Fehler beim Benutzernamen möglicherweise tatsächlich um verdächtigen und kann eine mögliche Bruteforce-Angriffen anzugeben. Solche eine Benachrichtigung kann jedoch auch eine Anwendung falsche Konfiguration, die bewirken, dass die Benachrichtigung duldet falsch positiv sein. Wenn Sie eine Benachrichtigung Vielfache Fehler beim Benutzernamen mit zusätzlichen verdächtigen Aktivitäten angezeigt wird, ist eine höhere Wahrscheinlichkeit, dass ein Konto beschädigt wurde. Nehmen Sie beispielsweise an, dass eine Benachrichtigung Vielfache Fehler beim Login Aktivität aus einem TOR IP-Adresse und die Aktivität unmöglich Reisen, beide signifikante Indikatoren der Kompromisse folgen. Möglicherweise auch angezeigt wird, dass die gleiche Benutzer eine Aktivität Masse Download ausgeführt häufig also ein Indikator des Angreifers Durchführung Exfiltration Daten. Es handelt sich beispielsweise, dass in Office 365 Cloud App Security zum Anzeigen und die Benachrichtigungen zu Sichten untersuchen, und führen Sie bei Bedarf.

Weitere Schritte

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×