Создание политик обнаружения аномалий в системе расширенного управления безопасностью

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

Office 365 улучшенное управление безопасности предоставляет общие неполадок обнаружения политики, который создается по умолчанию для каждой организации. Этот триггер политики оповещения при обнаружении активности подозрительных пользователей. Обнаружение основаны на алгоритм обучения, который использует предопределенные факторов риска для оценки угроза общий сеанс любого пользователя в любой момент времени. Если оценки риска сеанса пользователя превышает пороговое значение, будет запускаться оповещение.

Предопределенные риск факторы, влияющие общей оценке риска относятся следующие:

  • Большое количество ошибок входа в краткий формат времени

  • Шаблоны непредвиденных привилегированных административных действий

  • Время последнего пользователя выполнять никаких действий

  • Расположение пользователя была создана, будь то новый нечасто или подозрительные расположение

  • Параллельные действия из удаленных расположений

  • Повторяющиеся действия, которые выполняются много раз за короткое

  • Из рискованный вид деятельности IP-адреса, например ботнетов или анонимных прокси-серверы

Встроенные алгоритмы будет выполнять большую часть работы автоматически обнаружение ошибок для вас сканирование активности пользователей и оценка рисков. Задав политики обнаружения неполадок на месте для оповещений триггер, вы будете уведомлены при этом рискованный вид.

Важно : Существует период начального обучения 7 дней, в течение которых не срабатывают непредвиденных поведение оповещения.
Алгоритм обнаружения неполадок оптимизирована уменьшить число положительное значение false оповещений. Некоторые действия аудита, в которых вызвать проблемы в определении расположения пользователей по аудиту IP-адресам реже запуск оповещения невозможно командировку без дальнейшей свидетельство о событиях аудита дополнительные.

Создание политики обнаружения аномалий

  1. В Центре безопасности и соответствия требованиям выберите Оповещения > Управление расширенными оповещениями.

  2. В меню Управление выберите политики.

    Меню политики аномалий

  3. Нажмите кнопку Создать политику и выберите пункт Политика обнаружения аномалий. (При первом создании или изменении политики команда Создать политику отображается не только в правой части, но и в центре страницы.)

    Политика обнаружения аномалий
  4. На странице Создание политики обнаружения аномалий введите Имя политики и Описание. Политику можно создать на основе одного из стандартных шаблонов, выбрав его в раскрывающемся меню Шаблон политики.

    Параметры политики обнаружения аномалий
  5. Выберите имя политики, по которому потом сможете ее просмотреть или изменить. Добавьте описание, чтобы вам и другим администраторам было проще понять, для чего нужна эта политика.

  6. Выберите категорию политики. Этот параметр также помогает при фильтрации и сортировке сработавших оповещений, а также позволяет группировать политики, если вам нужно внести в них изменения.

  7. С помощью фильтров событий настройте другие действия и метрики, которые будут вызывать срабатывание оповещений в рамках этой политики.

    Параметры политики обнаружения аномалий
  8. В разделе Факторы риска выберите факторы риска, актуальные для всех либо для некоторых действий в вашем клиенте Office 365.

  9. Вы можете настроить параметры оповещений, например снять флажок для порога предупреждения (делать это не рекомендуется). Вы также можете настроить дополнительные уведомления для оповещений от этой политики (по электронной почте или в текстовых сообщениях).

    Совет : При настройке уведомления по электронной почте из no-reply@cloudappsecurity.com отправлять оповещения. Убедитесь в том, что ваш поставщик услуг электронной почты не заблокировать сообщения электронной почты, отправленных с данного адреса.

    Параметры политики обнаружения аномалий

Оповещения на основе политик обнаружения аномалий

В большинстве случаев оповещений на основе стандартной политики обнаружения аномалий бывает достаточно. Алгоритмы анализируют все отслеживаемые действия, оценивают целесообразность отправки того или иного оповещения и уведомляют вас о подозрительных событиях в соответствующей области.

Однако вы можете внести изменения в стандартную политику обнаружения аномалий или создать собственную политику, если хотите настроить оповещения с учетом особенностей своей организации.

Связанные темы

Расширенное управление безопасностью (справка и инструкции)
Что такое Cloud App Security?

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×