在 Office 365 云应用程序安全异常检测策略

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

Office 365 高级安全管理现在是Office 365 云应用安全性。

评估   >

规划   >

部署   >

使用率   

开始评估

开始计划

在这里 !

下一步

开始使用

Office 365 云应用安全性开头Microsoft 云应用程序安全释放 116,包括多个预定义的异常检测策略 ("现成"),包括用户实体行为分析 (UEBA) 和机器学习 (ML)。

若要查看您异常检测策略,请选择控件 > 策略。

这些异常检测策略通过提供即时检测,设定许多行为异常跨您的用户的计算机和设备连接到您的网络提供即时结果。此外,新策略公开从云应用程序安全检测引擎,以帮助您更快调查过程,包含持续威胁的更多数据。

作为全局管理员或安全性的管理员,您可以查看,并根据需要进行修改Office 365 云应用安全性中可用的默认策略。

本文中

重要: 没有初始学习期的天数七 (7) 在此期间异常行为通知不会触发。异常检测算法经优化以减少误报警报的数量。

准备工作

请确保:

查看您异常检测策略

  1. 作为安全管理员或全局管理员,请转到https://protection.office.com和登录使用您的工作或学校帐户。

  2. 在安全与合规中心中,选择通知>管理高级通知

  3. 选择转到 Office 365 云应用程序安全性

    这将带您进入Office 365 云应用安全性策略页面。

  4. 类型列表中,选择异常检测策略

    您的组织的默认 (或现有) 显示异常检测策略。

    多个异常检测策略都将显示默认情况下,在 Office 365 云应用安全性

  5. 选择了策略来审阅或编辑它的设置。

  6. 选择“更新”以保存所做的更改。

了解有关异常检测策略的详细信息

异常检测策略会自动启用;但是, Office 365 云应用安全性有哪些不是所有异常期间检测警报七天的初始学习时间段。之后,每个会话进行比较活动,用户处于活动状态时,IP 地址、 设备、 上个月和这些活动的风险分数的检测等。这些检测是您的环境的配置文件和触发通知与您所在组织的活动了获知比较基准的启发式异常检测引擎的一部分。这些检测还利用机器学习算法旨在配置文件的用户和登录模式减少误报。

异常检测扫描用户活动。通过查看 30 不同的风险指示器,分为多个风险因素,如风险的 IP 地址、 登录失败,管理员活动、 非活动的帐户、 位置、 不可能旅行、 设备和用户代理和活动频率计算风险。

根据策略结果,触发的安全警报。Office 365 云应用安全性查找在 Office 365 中的每个用户会话,并通知您,只要发生不同从您的组织的比较基准或用户的常规活动。

下表描述了默认异常检测策略、 他们执行和它们的工作方式。

异常检测策略名称

工作原理

不可能旅行

用于标识两个用户活动 (是单个或多个会话) 来自遥远位置比时间短时间段内它可能需要花费用户可以从第一个位置移动到第二个,指示不同用户使用相同的凭据。此检测利用机器学习算法忽略明显"误报"分配给不可能旅行条件,如 Vpn 和定期由组织中的其他用户的位置。检测具有七天在此期间了解到一个新的用户活动图案的初始学习时间段。

从非经常性国家/地区的活动

将过去的活动位置确定新的和不常用的位置。异常检测引擎存储信息以前由组织中的用户的位置。从不最近或永远不会访问过通过用户或组织中的任何用户的位置出现活动时触发。

从匿名 IP 地址的活动

标识用户已从一个已被标识为匿名代理 IP 地址的 IP 地址的活动。要隐藏其设备的 IP 地址,并用于恶意的人员使用这些代理。此检测利用机器学习算法减少了"误报",例如误标记广泛由组织中的用户的 IP 地址。

来自可疑的 IP 地址的活动

标识用户已从 IP 地址通过 Microsoft 威胁智能标识为风险活动。这些 IP 地址是所涉及的恶意活动,例如机器人网 C 和 C,并可能表明损坏的帐户。此检测利用机器学习算法减少了"误报",例如误标记广泛由组织中的用户的 IP 地址。

特殊的活动 (由用户)

用于标识用户执行特殊的活动,如:

  • 多个文件下载

  • 文件共享的活动

  • 文件删除活动

  • 模拟活动

  • 管理活动

这些策略查找活动内单个会话与此类有关基准线学习的内容,这可能指示存在漏洞尝试。这些检测利用机器学习配置文件的用户登录图案的算法,并减少误报。这些检测是您的环境的配置文件和触发通知与您所在组织的活动了获知比较基准的启发式异常检测引擎的一部分。

多次登录尝试失败

用于标识单个会话中的多个登录尝试失败的用户与此类有关学习的内容的比较基准,这可能表明存在漏洞尝试。

分拣异常检测警报

通知逐渐,可以快速处理这些通知,并确定哪些首先处理。具有通知的上下文,使您能够查看更大的图片,并确定是否确实发生恶意内容。使用以下过程开始浏览通知:

  1. 作为安全管理员或全局管理员,请转到https://protection.office.com和登录使用您的工作或学校帐户。

  2. 在安全与合规中心中,选择通知>管理高级通知

  3. 选择转到 Office 365 云应用程序安全性

  4. 选择以查看您的通知警报

  5. 要获得通知的上下文,请按照下列步骤:

    1. 选择调查>活动日志

    2. 选择一个项目,如用户或 IP 地址。此时将打开相关的见解开票人。

      在活动日志,您可以调查 IP 地址。

    3. 在相关的见解开票人中,单击可用的命令,如类似显示部分中的某个图标。

      在相关的见解开票人,您可以单击时钟图标以查看所选活动的 48 小时内执行的活动

    4. 深入了解有关所选项目通过继续浏览该项目的详细信息。

在多个登录失败通知可能确实可疑,并可以指明潜在强制攻击。但是,此类通知也可以为应用程序配置不正确,导致是一个误报 true 正数通知。如果您看到带其他可疑活动的倍数失败登录通知,则帐户受到更高版本的概率。例如,假设从危害两个强指示器或 IP 地址和可能的旅行活动多失败登录通知后面跟有活动。您甚至可能会看到相同的用户执行大量下载活动,这是经常执行的数据的 exfiltration 攻击的指示器。它的事情,您可以在Office 365 云应用安全性查看和处理您的通知,浏览并执行操作所需的位置。

后续步骤

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×