在 Office 365 雲端應用程式的安全性異常偵測原則

附註:  我們想要以您的語言,用最快的速度為您提供最新的說明內容。 本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。讓這些內容對您有所幫助是我們的目的。希望您能在本頁底部告訴我們這項資訊是否有幫助。 此為 英文文章 出處,以供參考。

Office 365 進階安全性管理現在Office 365 雲端 App 安全性。

評估   >

規劃   >

部署   >

使用情況   

開始評估

開始規劃

以下是 !

下一步

開始使用

開始使用Microsoft 雲端應用程式的安全性放開 116, Office 365 雲端 App 安全性包含數種預先定義的異常偵測原則 (「 不在方塊 」),包含使用者和實體行為分析 (UEBA) 及電腦學習 (毫升)。

若要檢視您的異常偵測原則,選擇 [控制項] > 原則。

這些異常偵測原則會提供立即結果以立即偵測,在您的使用者的電腦和裝置連線到您的網路目標許多異常行為的情況。此外,新原則公開從雲端應用程式的安全性偵測引擎,以協助您加速調查程序,並包含進行中的潛在威脅的更多資料。

全域管理員或安全性系統管理員,您可以檢閱,,並視需要修訂的預設原則,可使用Office 365 雲端 App 安全性。

本文中

重要: 有的 7 (7) 天數期間異常行為通知不會觸發的初始學習期間。異常偵測演算法已最佳化而適合減少錯誤的警示。

開始之前

請確認:

檢視您的異常偵測原則

  1. 以全域管理員或安全性的管理員,請移至https://protection.office.com並登入使用您的工作或學校帳戶。

  2. 在 [ 安全性與合規性中心中,選擇 [通知] >管理進階通知

  3. 選擇 [移至 Office 365 雲端應用程式的安全性]。

    這會帶您到Office 365 雲端 App 安全性原則] 頁面上。

  4. 在 [類型] 清單中,選擇 [異常偵測原則]。

    貴組織的預設 (或現有) 會顯示異常偵測原則。

    多個異常偵測原則可依預設在 Office 365 雲端應用程式的安全性

  5. 選取要檢閱或編輯它的設定原則。

  6. 按一下 [Update] (更新) 儲存變更。

深入瞭解異常偵測原則

自動啟用異常偵測原則。不過, Office 365 雲端 App 安全性有初始學習一段期間哪些並非所有異常偵測通知會引發的七天。之後,每個工作階段被比較活動,當使用者作用中時,IP 位址、 裝置等偵測到上個月和這些活動的風險分數。這些偵測屬於探索異常偵測引擎的設定檔] 您的環境,並會觸發與您組織的活動所學到的比較基準的通知。這些偵測也運用電腦學習演算法設計來設定檔以減少誤判使用者和登入模式。

異常未偵測到掃描使用者活動。風險評估位於超過 30 不同的風險指標,分成多個風險因素,例如高風險的 IP 位址、 登入失敗、 管理員活動、 非作用中的帳戶、 位置、 理解旅遊、 裝置與使用者代理程式及活動工資率。

根據原則結果,便會觸發的安全性警告。Office 365 雲端 App 安全性在 Office 365 中的每個使用者工作階段並發生不同從貴組織的比較基準或使用者的一般活動時,請通知您。

下表將說明預設異常偵測原則,他們做什麼,以及其運作方式。

異常偵測原則名稱

運作方式

無法執行旅遊

識別兩個使用者活動 (為單一或多個工作階段) 來自遠距位置期間短時間內,可能需要花使用者,以前往從第一個位置,指出,第二個不同使用者會使用相同的認證。此偵測運用學習忽略明顯 「 誤判 」 理解旅遊條件,例如 Vpn 及定期由其他使用者在組織中的位置來作為演算法的電腦。偵測有初始學習一段期間,學習新的使用者活動圖樣的七天。

從不常用的國家/地區的活動

過去的活動位置會決定新並不常用的位置。異常偵測引擎會儲存在組織中的使用者所使用的上一個位置的相關資訊。活動發生從已不最近或未瀏覽過的使用者或任何使用者在組織中的位置時,會觸發通知。

匿名 IP 位址的活動

識別使用者已從 IP 位址已被識別為匿名 proxy IP 位址的作用中。想要隱藏其裝置的 IP 位址,並可用於惡意的人會使用這些 proxy。此偵測運用電腦,學習演算法減少 「 誤判 」,例如錯誤標記廣泛的使用者在組織中的 IP 位址。

來自可疑的 IP 位址的活動

識別使用者已從 IP 位址已由 Microsoft 威脅智慧識別為 [高風險的作用中。這些 IP 位址涉及惡意活動,Botnet C 與 C,例如,您可能洩漏的帳戶。此偵測運用電腦,學習演算法減少 「 誤判 」,例如錯誤標記廣泛的使用者在組織中的 IP 位址。

異常的活動 (由使用者)

識別執行異常的活動,例如使用者:

  • 多個檔案下載

  • 共用活動的檔案

  • 檔案刪除活動

  • 模擬活動

  • 管理活動

這些原則尋找活動中單一工作階段與比較基準學的內容,這可能表示在違反嘗試。這些偵測運用學習演算法的設定檔之使用者登入模式的電腦,並減少誤判。這些偵測屬於探索異常偵測引擎的設定檔] 您的環境,並會觸發與您組織的活動所學到的比較基準的通知。

多個失敗的登入

識別失敗的單一工作階段中的多個登入的使用者提供解答學到的比較基準,這可能表示在違反嘗試。

分級異常偵測通知

通知需的工作,您可以快速分級這些通知,並決定要處理第一次。有通知的內容,可讓您以查看較大的圖片,並決定是否應該惡意確實新鮮事。若要開始探索通知中使用下列程序:

  1. 以全域管理員或安全性的管理員,請移至https://protection.office.com並登入使用您的工作或學校帳戶。

  2. 在 [ 安全性與合規性中心中,選擇 [通知] >管理進階通知

  3. 選擇 [移至 Office 365 雲端應用程式的安全性]。

  4. 選擇 [通知] ,檢視您的提醒]。

  5. 若要取得通知中的內容,請遵循下列步驟:

    1. 選擇調查>活動記錄

    2. 選取項目,例如使用者或 IP 位址。這會開啟相關的深入見解抽屜。

      在活動記錄中,您可以檢查 IP 位址。

    3. 在相關的深入見解抽屜中,按一下 [可用的命令,例如 [顯示類似的一節中的圖示。

      在相關的深入見解抽屜中,,您可以按一下 [時鐘] 圖示,以查看所選的活動 48 小時內所執行的活動

    4. 深入了解選取的項目繼續探索的項目詳細資料。

在多個登入失敗通知可能確實可疑,,且可以指出潛在惡意攻擊。不過,這類提醒也可以警示,善意,則為 true 的正面應用程式設定錯誤。如果您看到其他可疑的活動的多個失敗登警示,則較高的機率受到帳戶。例如,假設的多個失敗 login 提醒後面接著活動危害的兩個強式標記的 TOR IP 位址和理解旅遊活動。您甚至可能會看到相同的使用者執行大量下載活動,通常是執行的資料 exfiltration 攻擊的指標。它的項目,例如您可以在Office 365 雲端 App 安全性來檢視和分級提醒,瀏覽及採取動作的所需的位置。

後續步驟

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×