活動篩選

 

適用於: Microsoft Cloud App Security

本文提供原則的參考詳細資訊,並說明每種原則類型和您可以針對每個原則設定的欄位。

[活動原則]**** 是一種 API 型原則,可讓您將 20 多個檔案中繼資料篩選 (包括裝置類型和位置) 納入考量,藉此監視雲端中的組織活動。 系統會根據原則結果產生通知,並可能讓使用者暫停使用雲端應用程式。
每個原則皆由下列部分組成:

  • 活動篩選 – 可讓您根據中繼資料建立非常細微的條件。

  • 活動比對參數 – 可讓您設定活動要重複幾次才會被視為符合原則的臨界值。

  • 動作 – 此原則提供一組可在偵測到違規時自動套用的治理動作。

活動篩選

以下是可套用的檔案篩選器清單。 大部分的篩選器皆支援多個值與 NOT,以提供可在建立原則時使用的強大工具。

  • 活動 – 僅搜尋特定活動;例如,所有的檔案上傳、從新的裝置登入和失敗的登入。

  • 活動識別碼 – 依據識別碼,僅搜尋特定活動。 若您要將 MCAS 連接到 SIEM (使用 SIEM 代理程式),並進一步調查 MCAS 入口網站中的警示時,就非常適合使用此篩選器。

  • 系統管理活動 – 僅搜尋管理活動。

  • 模擬活動 – 僅搜尋以其他使用者名稱所執行的活動。

  • 應用程式 – 只搜尋特定應用程式內的活動。

  • 日期 – 活動發生的日期。 篩選器可支援日期之前/之後與日期範圍的搜尋。

  • 使用者 – 執行活動的使用者。 若要篩選不具特定使用者的活動,您可以使用 ‘is not set’ 運算子。

    activity ref1

  • IP 位址 – 執行活動的來源 IP 位址。

  • IP 類別 – 執行活動的來源 IP 位址類別;例如,來自系統管理 IP 位址範圍的所有活動。 如需 IP 類別的詳細資訊,請參閱依據需求來組織資料

  • IP 標籤 – 執行活動的來源 IP 位址標記;例如,來自匿名 Proxy IP 位址的所有活動。 如需 IP 標籤的詳細資訊,請參閱依據需求來組織資料

  • 位置 – 執行活動的來源國家/地區。

  • 已註冊的 ISP – 執行活動的來源 ISP。

    activity policy ref2

  • 裝置類型 – 僅搜尋使用特定裝置類型所執行的活動;例如,來自行動裝置的所有活動。

  • 使用者代理程式 – 執行活動的來源使用者代理程式。

  • 使用者代理程式標籤 – 內建的使用者代理程式標籤;例如,來自過期瀏覽器或過期作業系統的所有活動。

  • 使用者組織 – 執行活動之使用者所屬的組織單位,例如 EMEA_marketing 使用者所執行的所有活動。

  • 使用者群組 – MCAS 自動從雲端應用程式匯入的特定使用者群組,例如 Office 365 系統管理員所執行的所有活動。

  • 描述 – 活動描述的特定關鍵字;例如,描述中包括使用者字串的所有活動。

  • 相符的原則 – 搜尋與入口網站所設定之特定原則相符的活動。

    Activity policy ref3

活動比對參數

指定將活動視為符合原則前的必要重複次數;例如,您可設定原則,以在使用者於 2 分鐘的時間範圍內執行 10 次失敗登入時提出警示。
[活動比對參數]**** 是預設設定,其會在單一活動符合所有活動篩選條件時引發相符事件。
您可使用 [重複的活動]**** 來設定重複的活動數量、計算活動數量的時間範圍,甚至可以指定相同的使用者和相同雲端應用程式內應該執行的所有活動。

[動作]

通知

  • 警示 – 系統可以觸發警示,並根據嚴重性層級,透過電子郵件和文字訊息來傳播警示。

  • 使用者電子郵件通知 – 您可自訂電子郵件訊息,並將其傳送給所有違規的檔案擁有者。

  • CC 管理員 – 也可以根據使用者的目錄整合,將電子郵件通知傳送給違反原則之人員的管理員。

  • 通知其他使用者 – 將接收這些通知的電子郵件地址特定清單。

應用程式中的治理動作

  • 每個應用程式皆可強制執行細微的動作;特定動作視應用程式的術語而異。

  • 暫時停止使用者的權限 – 暫時停止使用者的應用程式權限。

  • 撤銷密碼 – 撤銷使用者的密碼,並強制使用者在下次登入時設定新密碼。

    activity policy ref6

可保護雲端環境的日常活動
如需技術支援,請瀏覽 Cloud App Security 的輔助支援頁面。
Premier 客戶也可以直接從 Premier 支援入口網站選擇 Cloud App Security。

顯示: