Определение политики неполадок в облаке приложения Office 365 безопасности

Примечание:  Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке) .

Теперь Расширенное управление безопасностью Office 365 будет Office 365 Cloud App Security.

Вычисление    >

Планирование    >

Развертывание    >

Использование   

Приступайте

Приступайте к планированию

Вы находитесь здесь!

Следующим шагом

Начало использования

Начиная с безопасности приложения Microsoft Cloud отпустите 116Office 365 Cloud App Security включает в себя несколько предопределенных неполадок обнаружения политик («готовых»), включая пользователей и анализа поведения сущность (UEBA) и машинного обучения (ML).

Чтобы просмотреть политик обнаружения неполадок, выберите элемент управления > политики.

Эти политики обнаружения неполадок предоставления интерпретации результатов, предоставив немедленного обнаружение, целевого многочисленные поведения искажения между пользователями и компьютерами и устройств, подключенных к вашей сети. Кроме того новые политики предоставляют дополнительные данные из модуля обнаружения безопасность приложений в облаке помогают ускорить процесс расследования и содержать существующие угрозы.

Как глобальный администратор или администратор безопасностисмогут просматривать и при необходимости измените политики по умолчанию, которые доступны с Office 365 Cloud App Security.

В этой статье

Важно: Имеется обучения начальный период семь (7) дней в течение которых не срабатывают непредвиденных поведение оповещения. Алгоритм обнаружения неполадок оптимизирована уменьшить число положительное значение false оповещений.

Подготовка

Убедитесь, что:

Просмотр политик обнаружения неполадок

  1. Перейдите на сайт https://protection.office.com и войдите в службу с помощью учетной записи глобального администратора или администратора безопасности.

  2. В Центре безопасности и соответствия требованиям выберите Оповещения > Управление расширенными оповещениями.

  3. Нажмите кнопку Перейти в Office 365 Cloud App Security.

    Откроется страница "Политики" в Office 365 Cloud App Security.

  4. В списке Тип выберите политику обнаружения неполадок.

    Организации по умолчанию (или имеющиеся) отображаются политики обнаружения неполадок.

    Несколько политик обнаружения неполадок доступны в облаке приложения Office 365 безопасности по умолчанию

  5. Выберите политику, чтобы просмотреть или изменить ее параметры.

  6. Нажмите кнопку Update (Обновить), чтобы сохранить изменения.

Дополнительные сведения о политиках обнаружения неполадок

Политики обнаружения неполадок автоматически включаются; Однако Office 365 Cloud App Security имеет период начального обучения во время какие не все неполадок создаются оповещения обнаружения семи дней. После этого каждый сеанс сравниваются действия, когда пользователи были активны, IP-адресов, устройств, регистрировать за последнюю неделю и оценки риска из этих действий и т. д. Эти обнаружения входят в состав модуля обнаружения эвристическое неполадок, профили среды и отправляет оповещения, касающиеся базовый план, который был получен в действии вашей организации. Эти обнаружения также использовать машинного обучения алгоритмы предназначен для профилей пользователей и шаблоны в журнал для уменьшения ложных срабатываний.

Искажения распознаются сканирование активности пользователей. Просмотрев более 30 различных риск индикаторы, сгруппированных по несколько риск, таких факторов рискованный IP-адрес, ошибки входа, действия администратора, неактивных учетных записей, расположение, невозможно поездки, устройства и агента пользователя и активности ставка вычисляется риска.

В зависимости от результатов политики, запустившего предупреждений системы безопасности. Office 365 Cloud App Security учитывает сеанса каждого пользователя в Office 365 и окно с предупреждением о всякий раз, когда случилось что отличается из базовые вашей организации или обычные активности пользователя.

В таблице ниже описаны политик обнаружения неполадок по умолчанию, что они означают и как они работают.

Имя политики обнаружения неполадок

Принцип действия

Невозможно командировки

Определяет двух действий пользователей (является одним или несколькими сеансами) инициированный географические удаленных расположений к периоду времени меньше, чем время его будет пройти курс пользователю второй, это означает, что будут пересылаться из первого месте другой использует те же учетные данные пользователя. Эта функция использует машинного обучения алгоритм, игнорирует очевидных «ложных срабатываний» публикация невозможно командировку условию, например VPN и расположения, часто используемые другими пользователями в организации. Обнаружение имеет период начального обучения семи дней, в течение которых он узнает шаблон действия нового пользователя.

Действие нечастое страны

Для определения новых и нечастое расположения считает последние расположения активности. Обработчик обнаружения неполадок хранятся сведения о предыдущих расположения, используемые пользователями в организации. Оповещения при выполнении действия из области, которая была не недавно или никогда не проверяются пользователем или любым пользователем в организации.

Действия с анонимных IP-адресов

Определяет, что пользователи были активны от IP-адреса, обнаружил IP-адрес анонимных прокси-сервера. Эти прокси-серверы используются людей, которые необходимо скрыть свое устройство IP-адрес и может использоваться для проведения атак. Эта функция использует машинного обучения алгоритм, которая снижает «ложных срабатываний», например неправильно тегами IP-адресов, часто используемые пользователям в организации.

Действия с подозрительных IP-адресов

Определяет, что пользователи были активны от IP-адреса, обнаружена как рискованный угрозы аналитики Майкрософт. Эти IP-адреса выполняется в вредоносных действиях, например ботнеты C & C и могут указывать раскрытой учетной записи. Эта функция использует машинного обучения алгоритм, которая снижает «ложных срабатываний», например неправильно тегами IP-адресов, часто используемые пользователям в организации.

Необычные действий (пользователем)

Определяет пользователей, выполняющих необычные действия, такие как:

  • Множественные загрузки файла

  • Общий доступ к файлам действий

  • Удаление файла действий

  • Действия олицетворения

  • Административных действий

Эти политики найдите действий внутри одиночный сеанс касающиеся базовые узнали, которые может указывать на попытки связи с нарушением. Эти обнаружения использовать машинного обучения алгоритм, профили пользователей войти в систему узор и уменьшает ложных срабатываний. Эти обнаружения входят в состав модуля обнаружения эвристическое неполадок, профили среды и отправляет оповещения, касающиеся базовый план, который был получен в действии вашей организации.

Нескольких неудачных попыток входа

Определяет пользователей, которые не удалось выполнить несколько попыток входа в систему одиночный сеанс касающиеся узнал базовый план, который может указывать на попытки связи с нарушением.

Обнаружение неполадок рассмотрение оповещения

Как бывают оповещения, можно быстро просматривать эти оповещения и определить, какие из них для обработки сначала. Наличие контекста для оповещений позволяет просмотреть полную картину и определить, является ли что-то вредоносных происходит в самом деле. Чтобы начать изучение оповещение, сделайте следующее:

  1. Перейдите на сайт https://protection.office.com и войдите в службу с помощью учетной записи глобального администратора или администратора безопасности.

  2. В Центре безопасности и соответствия требованиям выберите Оповещения > Управление расширенными оповещениями.

  3. Нажмите кнопку Перейти в Office 365 Cloud App Security.

  4. Выберите оповещения, чтобы просмотреть оповещения.

  5. Чтобы получить контекст для оповещения, выполните следующие действия:

    1. Выберите Проверить > журнала активности.

    2. Выделите элемент, например пользователя или IP-адрес. При этом откроется актуальных ящик.

      В журнале активности можно изучать IP-адрес.

    3. В ящике актуальных выберите команду доступны, например значка в разделе Показать так ЖЕ.

      В ящике актуальных можно щелкнуть значок часов для просмотра действий, выполняемых в течение 48 часов выбранное действие

    4. Получить представление о выделенном элементе, продолжая изучение сведений для данного элемента.

Оповещение на нескольких неудачных учетных записей может быть действительно подозрительных и можно указать возможные подбора. Тем не менее такие оповещения также может быть неправильной настройке приложения, вызывающие оповещение будет благоприятным положительное значение true. Если вы видите оповещение Ошибка входа несколько дополнительных действий подозрительные, существует выше вероятность несанкционированного доступа учетной записи. Предположим, что ошибка входа несколько оповещение следует действия из СЕРВЕРАХ IP-адрес и действия невозможно командировку оба строгое индикаторы компромиссов. Даже, вы можете увидеть, что тем же именем пользователя выполняемое действие массовой загрузки, которое чаще всего индикатор выполнения exfiltration данных ему. Она находится такие элементы, как, чтобы рассказать о Office 365 Cloud App Security для просмотра и рассмотрение оповещений и выполните необходимые действия при необходимости.

Дальнейшие действия

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×