Создание политик обнаружения аномалий в Office 365 Cloud App Security

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

Расширенное управление безопасностью Office 365 теперь называется Office 365 Cloud App Security.

Вычисление    >

Планирование    >

Развертывание    >

Использование   

Приступайте

Приступайте к планированию

Вы находитесь здесь!

Дальнейшие действия

Начало использования

Создание политики обнаружения аномалий

  1. Перейдите на сайт https://protection.office.com и войдите в службу с помощью учетной записи глобального администратора или администратора безопасности.

  2. В Центре безопасности и соответствия требованиям выберите Оповещения > Управление расширенными оповещениями.

  3. Нажмите кнопку Перейти в Office 365 Cloud App Security.

    Откроется страница "Политики" в Office 365 Cloud App Security.

    При переходе на портал Office 365 Cloud App Security сначала открывается страница "Политики"

  4. Нажмите кнопку Создать политику и выберите пункт Политика обнаружения аномалий.

    При создании политики в Office 365 Cloud App Security можно выбрать политику действий или политику обнаружения аномалий.

  5. На странице Создание политики обнаружения аномалий заполните поля Имя политики и Описание. Чтобы создать политику на основе шаблона по умолчанию, выберите его в списке Шаблон политики. Вы также можете создать собственную политику, не используя шаблон.

    Вы можете определить собственную политику обнаружения аномалий или использовать шаблон.

  6. Выберите категорию политики. Это поможет при фильтрации и сортировке сработавших оповещений, а также позволяет группировать политики, если вам нужно внести в них изменения.

  7. Выберите фильтры действий и факторы риска для политики.

  8. В разделе Оповещения оставьте параметры порога серьезности по умолчанию без изменений. Укажите, следует ли получать оповещения по электронной почте, в виде текстовых сообщений или обоими способами.

    Важно : Убедитесь в том, что ваш поставщик электронной почты не блокирует сообщения, отправляемые с адреса no-reply@cloudappsecurity.com.

  9. Чтобы сохранить изменения и создать политику, нажмите кнопку Создать.

Совет : Политики Office 365 Cloud App Security применяются только к тем пользователям, которым назначены лицензии на Office 365 Cloud App Security. Для достижения наилучших результатов проверьте назначенные лицензии. Дополнительные сведения см. в статье Назначение лицензий пользователям в Office 365 для бизнеса.

Указывает внимание

Office 365 Cloud App Security предоставляет политику обнаружения общих аномалий, которая создается по умолчанию для каждой организации. Она применяется к пользователям Office 365, имеющим лицензии на Office 365 Cloud App Security, и создает оповещение о каждом подозрительном действии пользователя. Для обнаружения используется алгоритм обучения, который оценивает общий уровень риска для каждого сеанса пользователя в любой момент времени, исходя из предопределенных факторов риска. Если оценка риска превышает пороговое значение, активируется оповещение.

Предопределенные факторы, учитываемые при оценке общей степени риска, включают:

  • большое число ошибок входа за короткий промежуток времени;

  • аномальные последовательности действий с правами администратора;

  • время последнего выполнения действия пользователем;

  • выполнение пользователем действия из нового, нетипичного для него или подозрительного места;

  • одновременное выполнение действий из нескольких географически удаленных друг от друга мест;

  • многократное выполнение одних и тех же действий за короткое время;

  • выполнение действий с небезопасных IP-адресов, например принадлежащих анонимным прокси-серверам или ботнетам.

Встроенные алгоритмы автоматически выполняют основной объем работ по поиску аномалий, анализируя действия пользователей и оценивая их потенциальную опасность. Настроив оповещения на основе политики обнаружения аномалий, вы будете получать уведомления обо всех подобных потенциально опасных событиях.

Важно : Начальное обучение системы занимает семь (7) дней. В это время оповещения об аномальном поведении не создаются. Алгоритм обнаружения аномалий оптимизирован так, чтобы свести к минимуму ложные срабатывания. Некоторые действия аудита могут неправильно определять местонахождение пользователя на основе отслеживаемых IP-адресов. Для них оповещения о смене расположения обычно активируются, только если аномальное поведение подтверждается другими событиями.

Дальнейшие действия

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×