建立雲端探索原則

您可以建立應用程式探索原則，以便在偵測到新應用程式時提醒您。 Defender for Cloud Apps 也會搜尋雲端探索中的所有記錄是否有異常。

建立應用程式探索原則

探索原則可讓您設定警示，以便在組織內偵測到新應用程式時通知您。

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 然後選取 [影子 IT ] 索引標籤。

2. 選取 [ 建立原則 ]，然後選取 [ 應用程式探索原則]。

   

3. 為您的政策提供名稱和描述。 如果需要，您可以將其基於模板。 有關原則範本的詳細資訊，請參閱＜使用原則控制雲端應用程式＞。

4. 設定原則的嚴重 性 。

5. 若要設定哪些探索到的應用程式會觸發此原則，請新增篩選條件。

6. 您可以設定原則敏感度的臨界值。 啟用 [如果 下列所有情況在同一天發生，則觸發原則相符]。 您可以設定應用程式每日必須超過的準則，來與原則比對。 選取下列其中一個準則：

   • 每日流量
   • 下載的資料
   • IP 位址數目
   • 交易數目
   • 使用者數目
   • 已上傳的資料

7. 在 [警示] 下設定 [每日警示限制]。 選取警示是否以電子郵件形式傳送。 然後根據需要提供電子郵件地址。

   • 選取 [將警示設定儲存為組織的預設值 ] 可讓未來的原則使用該設定。
   • 如果您有預設設定，您可以選取 [使用貴組織的預設設定]。

8. 選取 [ 控管動作 ] ，以在應用程式符合此原則時套用。 它可以將政策標記為 已批准、 未批准、 受監控或自訂標籤。

9. 選取 [建立]。

例如，如果您有興趣探索雲端環境中發現的風險裝載應用程式，請設定原則，如下所示：

設定原則篩選，以探索 在裝載服務 類別中找到的任何服務，且風險評分為 1，表示它們具有高風險。

在底部設置應觸發特定發現應用程序警報的閾值。 例如，只有在環境中超過 100 個使用者使用應用程式，且他們從服務下載一定數量的資料時，才會發出警示。 此外，您可以設定希望接收的每日警報的限制。

雲端探索異常偵測

Defender for Cloud Apps 會搜尋雲端探索中的所有記錄是否有異常。 例如，當一個以前從未使用過 Dropbox 的用戶突然向它上傳 600 GB 時，或者當特定應用程序的交易比平時多得多時。 依預設，會啟用異常偵測原則。 不需要設定新的原則即可運作。 不過，您可以微調要在預設原則中收到警示的異常類型。

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下，移至 [原則 ->原則管理]。 然後選取 [影子 IT ] 索引標籤。

2. 選取 [ 建立原則 ]，然後選取 [Cloud Discovery 異常偵測原則]。

   

3. 為您的政策提供名稱和描述。 如有需要，您可以以範本為基礎，如需原則範本的詳細資訊，請參閱 使用原則控制雲端應用程式。

4. 若要設定哪些探索到的應用程式會觸發此原則，請選取 [新增篩選]。

   篩選器是從下拉式清單中選擇的。 若要新增篩選器，請選取 [新增篩選器]。 若要移除篩選器，請選取「X」。

5. 在 [套用] 底下，選擇此原則是否套用 [所有連續報告] 或 [特定連續報告]。 選取原則是否套用至使用者、IP 位址或兩者。

   

   重要事項

   當您設定應用程式探索原則並選取套用 至 > 所有連續報告時，會針對每個探索串流產生多個警示，包括彙總所有來源資料的全域串流。 若要控制警示數量，請選取 [套用至 > 特定連續報告]， 然後只選擇原則的相關串流。 深入了解： 適用於雲端的 Defender 應用程式持續風險評量報告

6. 選取發生異常活動的日期，以觸發 [僅針對日期之後發生的可疑活動發出警示] 下的警示。

7. 在 [警示] 下設定 [每日警示限制]。 選取警示是否以電子郵件形式傳送。 然後根據需要提供電子郵件地址。

   • 選取 [將警示設定儲存為組織的預設值 ] 可讓未來的原則使用該設定。
   • 如果您有預設設定，您可以選取 [使用貴組織的預設設定]。

8. 選取 [建立]。

   

Related videos

後續步驟

如果您遇到任何問題，我們隨時為您提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。