Jak Defender for Cloud Apps pomáhá chránit vaše prostředí Microsoftu 365
Microsoft 365 je hlavní sada pro zvýšení produktivity, která poskytuje cloudové úložiště souborů, spolupráci, BI a crm nástroje, a umožňuje uživatelům sdílet dokumenty v rámci vaší organizace a partnerů zjednodušeným a efektivním způsobem. Když použijete Microsoft 365, můžete citlivá data vystavit nejen interně, ale také externím spolupracovníkům, nebo ještě hůře zpřístupnit veřejně prostřednictvím sdíleného odkazu. K takovým incidentům může dojít kvůli zlovolnému aktérce nebo nevěděnému zaměstnanci. Microsoft 365 také poskytuje velký ekosystém aplikací třetích stran, který pomáhá zvýšit produktivitu. Používání těchto aplikací může vaši organizaci vystavit riziku škodlivých aplikací nebo používání aplikací s nadměrnými oprávněními.
Připojení Microsoftu 365 k Defender for Cloud Apps poskytuje lepší přehledy o aktivitách uživatelů, poskytuje detekci hrozeb pomocí detekce anomálií založených na strojovém učení, detekci ochrany informací (například zjišťování sdílení externích informací), umožňuje automatizované řízení nápravy a detekuje hrozby z povolených aplikací třetích stran ve vaší organizaci.
Defender for Cloud Apps se integruje přímo s protokoly auditu Microsoftu 365 a poskytuje ochranu pro všechny podporované služby. Seznam podporovaných služeb najdete v tématu Služby Microsoftu 365, které podporují auditování.
Pomocí tohoto konektoru aplikace můžete přistupovat k funkcím SaaS Security Posture Management (SSPM) prostřednictvím kontrolních mechanismů zabezpečení, které se projeví ve skóre zabezpečení Microsoftu. Další informace
Vylepšení kontroly souborů pro Microsoft 365
Defender for Cloud Apps přidali nová vylepšení kontroly souborů pro SharePoint a OneDrive:
Rychlejší vyhledávání souborů na SharePointu a OneDrivu téměř v reálném čase.
Lepší identifikace úrovně přístupu k souboru v SharePointu: Úroveň přístupu k souboru v SharePointu bude ve výchozím nastavení označená jako Interní, a ne jako Soukromá (protože každý soubor v SharePointu je přístupný pro vlastníka webu, a ne jenom pro vlastníka souboru).
Poznámka
Tato změna může mít vliv na zásady souborů (pokud zásady souborů hledají interní nebo soukromé soubory v SharePointu).
Hlavní hrozby
- Ohrožené účty a vnitřní hrozby
- Únik dat
- Nedostatečné povědomí o zabezpečení
- Škodlivé aplikace třetích stran
- Malware
- Útok phishing
- Ransomware
- Nespravované vlastní zařízení (BYOD)
Jak Defender for Cloud Apps pomáhá chránit vaše prostředí
- Detekce cloudových hrozeb, ohrožených účtů a škodlivých účastníků programu Insider
- Zjišťování, klasifikace, označování a ochrana regulovaných a citlivých dat uložených v cloudu
- Zjišťování a správa aplikací OAuth, které mají přístup k vašemu prostředí
- Vynucení zásad ochrany před únikem informací a dodržování předpisů pro data uložená v cloudu
- Omezení ohrožení sdílených dat a vynucení zásad spolupráce
- Použití záznamu auditu aktivit pro forenzní vyšetřování
Řízení Microsoftu 365 pomocí předdefinovaných zásad a šablon zásad
K detekci potenciálních hrozeb a upozornění na potenciální hrozby můžete použít následující předdefinované šablony zásad:
| Typ | Name (Název) |
|---|---|
| Předdefinované zásady detekce anomálií |
Aktivita z anonymních IP adres Aktivita z občasné země Aktivita z podezřelých IP adres Nemožné cestování Aktivita prováděná ukončeným uživatelem (vyžaduje Microsoft Entra ID jako zprostředkovatele identity) Detekce malwaru Několik neúspěšných pokusů o přihlášení Detekce ransomwaru Podezřelá aktivita odstranění e-mailů (Preview) Podezřelé přeposílání doručené pošty Neobvyklé aktivity odstraňování souborů Neobvyklé aktivity sdílených složek Neobvyklé aktivity při stahování více souborů |
| Šablona zásad aktivit | Přihlášení z rizikové IP adresy Hromadné stahování jedním uživatelem Potenciální aktivita ransomwaru Změna úrovně přístupu (Teams) Přidání externího uživatele (Teams) Hromadné odstraňování (Teams) |
| Šablona zásad souborů | Zjištění souboru sdíleného s neautorizovanou doménou Zjištění souboru sdíleného s osobními e-mailovými adresami Detekce souborů pomocí PII, PCI nebo PHI |
| Zásady detekce anomálií aplikací OAuth |
Zavádějící název aplikace OAuth Zavádějící název vydavatele pro aplikaci OAuth Souhlas s aplikací OAuth se zlými úmysly |
Další informace o vytváření zásad najdete v tématu Vytvoření zásady.
Automatizace ovládacích prvků zásad správného řízení
Kromě monitorování potenciálních hrozeb můžete k nápravě zjištěných hrozeb použít a automatizovat následující akce zásad správného řízení Microsoftu 365:
| Typ | Akce |
|---|---|
| Zásady správného řízení dat |
OneDrive: - Zdědit oprávnění nadřazené složky - Nastavit soubor nebo složku jako soukromé - Umístit soubor nebo složku do karantény správce - Umístit soubor nebo složku do karantény uživatele – Soubor nebo složka koše – Odebrání konkrétního spolupracovníka - Odebrání externích spolupracovníků v souboru nebo složce – Použít popisek citlivosti Microsoft Purview Information Protection – Odebrat popisek citlivosti Microsoft Purview Information Protection SharePoint: - Zdědit oprávnění nadřazené složky - Nastavit soubor nebo složku jako soukromé - Umístit soubor nebo složku do karantény správce - Umístit soubor nebo složku do karantény uživatele – Umístěte soubor nebo složku do karantény uživatele a přidejte oprávnění vlastníka. – Soubor nebo složka koše - Odebrání externích spolupracovníků v souboru nebo složce – Odebrání konkrétního spolupracovníka – Použít popisek citlivosti Microsoft Purview Information Protection – Odebrat popisek citlivosti Microsoft Purview Information Protection |
| Zásady správného řízení uživatelů | – Upozornit uživatele na výstrahu (prostřednictvím Microsoft Entra ID) – Vyžadovat, aby se uživatel znovu přihlásil (přes Microsoft Entra ID) – Pozastavit uživatele (prostřednictvím Microsoft Entra ID) |
| Zásady správného řízení aplikací OAuth | – Odvolání oprávnění aplikace OAuth |
Další informace o nápravě hrozeb z aplikací najdete v tématu Řízení připojených aplikací.
Ochrana Microsoftu 365 v reálném čase
Projděte si naše osvědčené postupy pro zabezpečení a spolupráci s externími uživateli a blokování a ochranu stahování citlivých dat do nespravovaných nebo rizikových zařízení.
Defender for Cloud Apps integrace s Microsoftem 365
Defender for Cloud Apps podporuje starší verzi microsoftu 365 Dedicated Platform a nejnovější nabídky služeb Microsoft 365, běžně označované jako řada verzí vNext microsoftu 365.
V některých případech se verze služby vNext mírně liší na úrovni správy a správy od standardní nabídky Microsoftu 365.
Protokolování auditu
Defender for Cloud Apps se integruje přímo s protokoly auditu Microsoftu 365 a přijímá všechny auditované události ze všech podporovaných služeb. Seznam podporovaných služeb najdete v tématu Služby Microsoftu 365, které podporují auditování.
Protokolování auditu správce Exchange, které je ve výchozím nastavení povolené v Microsoftu 365, zaznamená událost do protokolu auditování Microsoftu 365, když správce (nebo uživatel s přiřazenými oprávněními správce) provede změnu ve vaší Exchange Online organizaci. Změny provedené pomocí Centra pro správu Exchange nebo spuštěním rutiny v Windows PowerShell se zaprotokolují do protokolu auditování správce Exchange. Podrobnější informace o protokolování auditu správce v Exchangi najdete v tématu Protokolování auditu správce.
Události z Exchange, Power BI a Teams se zobrazí až po zjištění aktivit z těchto služeb na portálu.
Nasazení ve více geografických lokalitách se podporují jenom pro OneDrive.
integrace Microsoft Entra
Pokud je vaše Microsoft Entra ID nastavená tak, aby se automaticky synchronizovala s uživateli v místním prostředí Služby Active Directory, nastavení v místním prostředí přepíší nastavení Microsoft Entra a vrátí se zpět akce Pozastavit zásady správného řízení uživatelů.
U Microsoft Entra přihlašovacích aktivit Defender for Cloud Apps pouze interaktivní aktivity přihlašování a aktivity přihlašování ze starších protokolů, jako je ActiveSync. V protokolu auditu Microsoft Entra se můžou zobrazit neinteraktivní aktivity přihlašování.
Pokud jsou povolené aplikace Office, skupiny, které jsou součástí Microsoftu 365, se také importují do Defender for Cloud Apps z konkrétních aplikací Office. Pokud je například povolený SharePoint, naimportují se skupiny Microsoft 365 také jako sharepointové skupiny.
Podpora karantény
Na SharePointu a OneDrivu Defender for Cloud Apps podporuje karanténu uživatelů jenom pro soubory v knihovnách sdílených dokumentů (SharePoint Online) a soubory v knihovně Dokumentů (OneDrive pro firmy).
V SharePointu Defender for Cloud Apps podporuje úkoly karantény jenom pro soubory se sdílenými dokumenty v cestě v angličtině.
Připojení Microsoftu 365 k Microsoft Defender for Cloud Apps
Tato část obsahuje pokyny pro připojení Microsoft Defender for Cloud Apps ke stávajícímu účtu Microsoft 365 pomocí rozhraní API konektoru aplikací. Toto připojení vám poskytuje přehled o používání Microsoftu 365 a kontrolu nad ním. Informace o tom, jak Defender for Cloud Apps chrání Microsoft 365, najdete v tématu Ochrana Microsoftu 365.
Pomocí tohoto konektoru aplikace můžete přistupovat k funkcím SaaS Security Posture Management (SSPM) prostřednictvím kontrolních mechanismů zabezpečení, které se projeví ve skóre zabezpečení Microsoftu. Další informace
Požadavky:
Abyste mohli připojit Microsoft 365 k Defender for Cloud Apps, musíte mít alespoň jednu přiřazenou licenci microsoftu 365.
Pokud chcete povolit monitorování aktivit Microsoftu 365 v Defender for Cloud Apps, musíte povolit auditování v Microsoft Purview.
Protokolování auditu poštovní schránky Exchange musí být zapnuté pro každou poštovní schránku uživatele před tím, než se zaprotokoluje aktivita uživatele v Exchange Online, viz Aktivity poštovní schránky Exchange.
Abyste odtud mohli protokoly získat, musíte v Power BI povolit auditování . Jakmile je auditování povolené, začnou Defender for Cloud Apps získávat protokoly (se zpožděním 24 až 72 hodin).
Abyste odtud mohli protokoly získat, musíte v Dynamics 365 povolit auditování. Jakmile je auditování povolené, začnou Defender for Cloud Apps získávat protokoly (se zpožděním 24 až 72 hodin).
Připojení Microsoftu 365 k Defender for Cloud Apps:
Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps. V části Připojené aplikace vyberte Konektory aplikací.
Na stránce Konektory aplikací vyberte +Připojit aplikaci a pak vyberte Microsoft 365.
Na stránce Vybrat součásti Microsoftu 365 vyberte požadované možnosti a pak vyberte Připojit.
Poznámka
- Pro zajištění nejlepší ochrany doporučujeme vybrat všechny součásti Microsoftu 365.
- Komponenta Azure AD files vyžaduje komponentu aktivity Azure AD a monitorování souborů Defender for Cloud Apps (Nastavení>Cloud Apps>Files>Povolit monitorování souborů).
Na stránce Sledovat odkaz vyberte Připojit Microsoft 365.
Jakmile se Microsoft 365 zobrazí jako úspěšně připojený, vyberte Hotovo.
Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps. V části Připojené aplikace vyberte Konektory aplikací. Ujistěte se, že je stav připojeného konektoru aplikace Připojeno.
Data saaS Security Posture Management (SSPM) se zobrazují na portálu Microsoft Defender na stránce Skóre zabezpečení. Další informace najdete v tématu Správa stavu zabezpečení pro aplikace SaaS.
Poznámka
Po připojení Microsoftu 365 uvidíte data z týdne nazpátek, včetně všech aplikací třetích stran připojených k Microsoftu 365, které využívají rozhraní API. U aplikací třetích stran, které před připojením nepřetahovaly rozhraní API, se zobrazují události od okamžiku připojení Microsoftu 365, protože Defender for Cloud Apps zapne všechna rozhraní API, která byla ve výchozím nastavení vypnutá.
Pokud máte nějaké problémy s připojením aplikace, přečtěte si téma Řešení potíží s konektory aplikací.
Další kroky
Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.