Criteri di rilevamento anomalia in sicurezza App Cloud di Office 365

Nota:  Riteniamo importante fornire il contenuto della Guida più recente non appena possibile, nella lingua dell'utente. Questa pagina è stata tradotta automaticamente e potrebbe contenere errori di grammatica o imprecisioni. L'intento è quello di rendere fruibile il contenuto. Nella parte inferiore della pagina è possibile indicare se le informazioni sono risultate utili. Questo è l' articolo in lingua inglese per riferimento.

Gestione sicurezza avanzata di Office 365 è ora Office 365 Cloud App Security.

Valutazione    >

Pianificazione    >

Distribuzione    >

Utilizzo   

Avviare la valutazione

Iniziare a pianificare

Sei qui!

Passaggio successivo

Avviare l'utilizzo

A partire da Microsoft Cloud App sicurezza rilasciare 116, Office 365 Cloud App Security include diverse anomalia predefiniti rilevamento criteri ("all'esterno della casella") che includono utente o analitica comportamento entità (UEBA) e apprendimento automatico (ML).

Per visualizzare i criteri di rilevamento anomalia, scegliere controllo > criteri.

Questi criteri di rilevamento anomalia forniscono risultati immediati garantendo rilevamenti immediati, l'assegnazione del numerosi alterazioni funzionali tra gli utenti e il computer e dispositivi connessi alla rete. Inoltre, i nuovi criteri espongono i dati più dal motore di rilevamento Cloud App sicurezza che consentono di accelerare il processo di analisi e contengono continuativa dei rischi.

Come amministratore globale o amministratore di sicurezza, è possibile esaminare e se necessario, modificare i criteri predefiniti disponibili con Office 365 Cloud App Security.

Contenuto dell'articolo:

Importante: Esiste un periodo di apprendimento iniziale di sette (7) giorni durante il quale gli avvisi di comportamento anomalo non sono attivati. Algoritmo di rilevamento anomalia ottimizzata per ridurre il numero dei falsi allarmi.

Prima di iniziare

Verificare quanto segue:

Visualizzare i criteri di rilevamento anomalia

  1. Gli amministratori globali o gli amministratori della sicurezza possono passare a https://protection.office.com e accedere con l'account aziendale o dell'istituto di istruzione.

  2. Nel Centro sicurezza e conformità scegliere Avvisi > Gestisci avvisi avanzati.

  3. Scegliere Vai a Office 365 Cloud App Security.

    Viene visualizzata la pagina Criteri di Office 365 Cloud App Security.

  4. Nell'elenco tipo scegliere anomalia rilevamento dei criteri.

    L'organizzazione predefinita (o esistente) vengono visualizzati i criteri di rilevamento anomalia.

    Sono disponibili per impostazione predefinita in Office 365 Cloud App sicurezza diversi criteri di rilevamento anomalia

  5. Selezionare un criterio per visualizzare o modificare le impostazioni.

  6. Scegliere Update per salvare le modifiche.

Ulteriori informazioni sui criteri di rilevamento anomalia

Criteri di rilevamento anomalia automaticamente sono abilitati; Tuttavia, Office 365 Cloud App Security ha un periodo di apprendimento iniziale di sette giorni durante le anomalie non tutti vengono generati avvisi di rilevamento. Successivamente, ogni sessione viene confrontata con le attività quando sono attivi, gli utenti, indirizzi IP, dispositivi ecc rilevato lo scorso mese e il punteggio di rischio queste attività. Questi rilevamenti fanno parte del motore di rilevamento euristico anomalie che l'ambiente di profili e attiva gli avvisi per una previsione appresi sulle attività dell'organizzazione. Inoltre, questi rilevamenti sfruttano algoritmi risorse computer progettati per gli utenti e i modelli di log per ridurre falsi del profilo.

Alterazioni vengono rilevati tramite analisi attività dell'utente. Viene valutato il rischio esaminando oltre 30 indicatori di rischio diversi, raggruppati in più fattori di rischio, ad esempio indirizzo IP rischiosa, errori di accesso, attività di amministrazione, account inattivi, posizione, Impossibile viaggio, dispositivo e agente utente e tasso di attività.

In base ai criteri risultati, vengono generati avvisi di sicurezza. Office 365 Cloud App Security esamina ogni sessione utente in Office 365 e notifica l'esistenza di ogni volta che un elemento accade è diversa da quella della propria organizzazione o da normali attività dell'utente.

Nella tabella seguente vengono descritti i criteri predefiniti per il rilevamento anomalia, lo scopo e funzionamento.

Nome del criterio rilevamento anomalia

Funzionamento

Impossibile viaggio

Consente di identificare due attività dell'utente (è uno o più sessioni) provenienti da aree geografiche distante posizioni all'interno di un periodo di tempo inferiore al tempo avrebbe richiesto all'utente di viaggio dalla posizione prima alla seconda, che indica che un altro utente utilizza le stesse credenziali. Il rilevamento utilizza un algoritmo che ignora positivi più evidenti"false" contribuire alla condizione Impossibile viaggio, ad esempio VPN e posizioni regolarmente utilizzati da altri utenti nell'organizzazione di apprendimento. Il rilevamento ha un periodo di apprendimento iniziale di sette giorni durante il quale apprende serie di attività di un nuovo utente.

Attività di poco frequenti paese

Considera oltre percorsi attività per determinare posizioni nuove e poco frequenti. Motore di rilevamento anomalia le informazioni sulle posizioni precedente utilizzato dagli utenti nell'organizzazione. Viene generato un avviso quando si verifica un'attività da una posizione in cui è non stato recente o non è mai visitata dall'utente o da qualsiasi utente nell'organizzazione.

Attività ricevuta da indirizzi IP anonimi

Identifica che gli utenti sono state attivi da un indirizzo IP che è stato identificato come indirizzo IP proxy anonimo. Vengono utilizzati dagli utenti per nascondere l'indirizzo IP del dispositivo in uso e possono essere utilizzati per azione di malintenzionati. Il rilevamento utilizza un algoritmo che consente di ridurre "falsi", ad esempio erroneamente contrassegnati indirizzi IP che vengono utilizzati dagli utenti nell'organizzazione di apprendimento.

Attività agli indirizzi IP sospetti

Identifica che gli utenti sono state attivi da un indirizzo IP che è stato identificato come rischiosa per Microsoft Business Intelligence di rischio. Questi indirizzi IP necessari attività dannose, ad esempio Botnet C & C e possono indicare account compromesso. Il rilevamento utilizza un algoritmo che consente di ridurre "falsi", ad esempio erroneamente contrassegnati indirizzi IP che vengono utilizzati dagli utenti nell'organizzazione di apprendimento.

Attività insolita (dall'utente)

Consente di identificare gli utenti che eseguono attività insolita, ad esempio:

  • Download di file più

  • Attività di condivisione file

  • Attività di eliminazione di file

  • Attività di rappresentazione

  • Attività amministrative

Questi criteri cercare attività all'interno di una singola sessione per la previsione appreso, che potrebbe indicare un tentativo di violazione. Questi rilevamenti sfruttare un algoritmo che profili gli utenti accedono motivo di apprendimento e riduce falsi. Questi rilevamenti fanno parte del motore di rilevamento euristico anomalie che l'ambiente di profili e attiva gli avvisi per una previsione appresi sulle attività dell'organizzazione.

Più tentativi di accesso non riuscito

Consente di identificare gli utenti che non è più tentativi di accesso in una singola sessione rispetto alla previsione appreso, che potrebbe indicare un tentativo di violazione.

Valutazione anomalia rilevamento avvisi

Come gli avvisi sono disponibili in, è possibile valutare rapidamente gli avvisi e stabilire quali per gestire prima di tutto. Scelta rapida per un avviso consente di visualizzare l'immagine più grande e determinare se un elemento dannoso avviene effettivamente. Per iniziare a esplorare un avviso, utilizzare la procedura seguente:

  1. Gli amministratori globali o gli amministratori della sicurezza possono passare a https://protection.office.com e accedere con l'account aziendale o dell'istituto di istruzione.

  2. Nel Centro sicurezza e conformità scegliere Avvisi > Gestisci avvisi avanzati.

  3. Scegliere Vai a Office 365 Cloud App Security.

  4. Scegliere gli avvisi per visualizzare gli avvisi.

  5. Per ottenere il contesto per un avviso, procedere come segue:

    1. Scegliere Analizza > registro attività.

    2. Selezionare un elemento, ad esempio un utente o un indirizzo IP. Verrà aperta cassetto approfondimenti pertinenti.

      Nel log delle attività, è possibile esaminare un indirizzo IP.

    3. Nel cassetto approfondimenti pertinenti, fare clic su dei comandi disponibili, ad esempio un'icona nella sezione Mostra simili.

      Nel cassetto approfondimenti rilevanti, è possibile fare clic sull'icona dell'orologio per visualizzare le attività eseguite all'interno di 48 ore di un'attività selezionata

    4. Approfondire l'elemento selezionato per continuare a esplorare i dettagli.

Un avviso per più accessi non riusciti effettivamente potrebbe essere sospetto e può indicare un potenziale attacco tentativi. Ad esempio un avviso può essere una configurazione errata delle applicazioni, causa l'avviso in seguito un grave positivo true. Se viene visualizzato un avviso di accessi non è riuscita più con altre attività sospetti, esiste una maggiore probabilità che un account è compromessa. Si supponga ad esempio che un avviso di accesso non è riuscita multiplo è seguito da attività da un indirizzo IP TOR e attività di viaggio Impossibile, entrambi gli indicatori sicuri di violazione. È anche possibile visualizzare che l'utente stesso eseguita un'attività di massa di download, è spesso un indicatore di pirata informatico eseguono exfiltration dei dati. Il aspetti simile a quello che è possibile esplorare in Office 365 Cloud App Security per visualizzare e valutare gli avvisi e intervenire in base alle esigenze.

Passaggi successivi

Amplia le tue competenze su Office
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×