在 Office 365 云应用程序安全创建异常检测策略

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

Office 365 高级安全管理是现在Office 365 云应用安全性

评估   >

规划   >

部署   >

使用率   

开始评估

开始计划

在这里 !

后续步骤

开始使用

创建新的异常检测策略

  1. 作为安全管理员或全局管理员,请转到https://protection.office.com和登录使用您的工作或学校帐户。

  2. 在安全与合规中心中,选择通知>管理高级通知

  3. 选择转到 Office 365 云应用程序安全性

    这将带您进入Office 365 云应用安全性策略页面。

    转到 Office 365 云应用程序安全门户时,您开始使用策略页

  4. 单击创建策略,然后选择异常检测策略

    在 O365 CA 创建策略时,您可以选择之间活动策略和异常检测策略。

  5. 创建异常检测策略页中,指定策略名称说明。若要在默认模板的基础上您的策略,请在策略模板列表中,选择一个或不使用模板创建您自己的策略。

    定义异常检测策略时,您可以使用的模板或创建您自己的策略

  6. 选择此策略的一个类别。这将帮助您筛选和排序通知已触发,或对正在审阅他们进行更改时的组策略。

  7. 选择您的策略活动筛选器风险因素

  8. 通知下保留默认严重性阈值设置。指定是否要接收通过电子邮件和短信通知。

    重要: 请确保您的电子邮件提供商不会阻止从no-reply@cloudappsecurity.com发送的电子邮件。

  9. 单击创建以保存所做的更改并将您的策略设置。

提示: Office 365 云应用安全性策略仅应用于已分配Office 365 云应用安全性许可证的用户。为获得最佳结果,查看您的许可证分配。有关详细信息,请参阅分配到 Office 365 商业版中的用户的许可证

考虑的点

Office 365 云应用安全性提供了默认情况下,为每个组织创建常规异常检测策略。此策略应用于Office 365 云应用安全性,已获得 Office 365 用户和触发警报,只要检测到可疑用户活动。检测基于一种学习算法使用预定义的风险因素来估计在任何时间点的任何用户会话的总体风险。如果用户会话风险分数大于阈值,将会触发通知。

参与风险总分预定义的风险因素包括:

  • 高短时间内的登录失败次数

  • 异常模式的特权管理活动

  • 最后一次用户执行任何活动

  • 位置用户源自,无论是一个新的、 非经常性或可疑的位置

  • 并行活动从多个地理位置

  • 重复短时间内多次执行的活动

  • 活动源自风险的 IP 地址,例如匿名代理或僵尸

内置算法执行大多数操作来为您自动检测异常,通过扫描用户活动和评估风险。您将通过异常检测策略在触发警报的位置,通知时,会发生此风险的行为。

重要: 没有初始学习期的天数七 (7) 在此期间异常行为通知不会触发。异常检测算法经优化以减少误报警报的数量。已知确定用户位置中有问题审核 IP 地址通过一些审核活动不太可能触发旅行通知不带进一步证据的其他审核的事件。

后续步骤

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×