活動政策可讓您使用應用程式提供者的 API 強制執行各種自動化流程。 這些原則可讓您監視不同使用者執行的特定活動,或追蹤某一特定類型活動的意外高速率。
設定活動偵測原則之後,它會開始產生警示 - 只會針對您建立原則之後發生的活動產生警示。
注意事項
- 每天觸發超過 200,000 個比對項目或每 3 小時觸發 100,000 個比對項目的原則可能會自動停用。 您可以嘗試新增其他篩選器來精簡原則,或者,如果您將原則用於報告目的,請考慮 改為將它們儲存為查詢 。
- 從設定新原則到部署最多可能需要 15 分鐘。
自訂警示
活動原則允許在偵測到使用者活動時傳送自訂警示或採取動作。 例如,您每次都想知道:
- 使用者嘗試登入,但一分鐘內失敗 70 次
- 使用者下載 7,000 個檔案
- 使用者從不熟悉的國家/地區登入
您可以設定活動警示,以便在發生這些事件時傳送給自己或使用者。 您甚至可以暫停用戶,直到您完成調查所發生的事情。
若要建立新的活動原則,請遵循下列程序:
在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,移至 [原則 ->原則管理]。 然後選取 [威脅偵測 ] 索引標籤。
選取 [建立原則],然後選取 [活動原則]。
為您的原則提供名稱和描述,如果您想要,您可以以範本為基礎,如需原則範本的詳細資訊,請參閱 使用 原則控制雲端應用程式。
若要設定哪些動作或其他計量會觸發此原則,請使用 活動篩選器。
為確保您只包含指定篩選欄位具有值的結果,建議您使用 已設定 測試再次新增相同的欄位。 例如,當依位置篩選不等於指定的國家/地區清單時,也請新增 [位置已設定] 的篩選器。 您也可以選取 [編輯並預覽結果] 來預覽篩選結果。 例如:
當篩選設定為不等於且事件上不存在屬性時,事件將不會被篩選掉。例如,篩選裝置標籤不等於 Microsoft Entra 混合式聯結不會篩選掉不包含裝置標籤的事件,即使裝置已加入 Microsoft Entra 也一樣。
如果是來賓使用者,則 [ 來自群組的使用者 ] 篩選器可能無法依其網域辨識帳戶。 若要確保包含所有來賓使用者,請使用 [外部使用者] 作為群組,如果它符合您對原則的需求。
在 [ 建立原則的篩選條件] 底下,選取何時觸發原則違規。 選擇在 「單一」活動 符合篩選器時觸發,或僅在偵測到指定數量的 「重複」活動 時觸發。
- 如果您選擇 重複活動,您可以設定在 單一應用程式中。 只有在重複的活動發生在相同的應用程式中時,此設定才會觸發原則比對。 例如,在 30 分鐘內從 Box 下載 5 次,就會觸發原則相符。
在 警示 區段中,視需要設定下列任何動作:
- 為每個符合原則嚴重性的相符事件建立警示
- 以電子郵件形式傳送警示
- 每個原則的每日警示限制。 請注意,控管動作不會受到每日警示限制的影響。
- 將警示傳送至 Power Automate
設定找到相符專案時應採取的 動作 。
看看這些例子:
多次登入失敗
您可以設定原則,以便在短時間內發生大量失敗登入時收到警示。 若要設定此類原則,請在 [新增活動原則 ] 頁面中選擇適當的活動篩選器。
在 [活動篩選器 ] 欄位下,設定將觸發警示的參數。
下載率高
您可以設定原則,以便在發生非預期或異常層級的下載活動時收到警示。 若要設定此類政策,請在 [速率參數] 下,選擇觸發警示的參數。
活動原則參考
本節包含有關策略的參考詳細信息、每種策略類型的說明以及可以為每個策略配置的字段。
活動原則是以 API 為基礎的原則,可讓您監控組織在雲端中的活動。 該策略考慮了 20 多個文件元數據過濾器,包括設備類型和位置。 根據原則結果,可以產生通知,並將使用者從雲端應用程式暫停。 每個原則都由以下部分組成:
活動篩選器 — 可讓您根據中繼資料建立精細條件。
活動比對參數 — 可讓您設定活動重複次數的臨界值,以被視為符合政策。 指定符合原則所需的重複活動數目。 例如,設定原則,當使用者在 2 分鐘的時間範圍內嘗試 10 次失敗登入時發出警示。 依預設, 活動比對參數 會針對符合所有活動篩選條件的每個活動引發相符專案。
- 使用 重複活動, 您可以設定重複活動的數目,以及計算活動的時間範圍的持續時間。 您也可以指定所有活動都應由相同的使用者在相同的雲端應用程式中執行。
動作 — 此政策提供一組治理動作,可在偵測到違規時自動套用。
後續步驟
如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。