Sådan hjælper Defender for Cloud Apps med at beskytte dit Microsoft 365-miljø
Microsoft 365 er en stor produktivitetspakke med værktøjer til lagring, samarbejde, BI og CRM i cloudmiljøet og gør det muligt for dine brugere at dele deres dokumenter på tværs af din organisation og dine partnere på en strømlinet og effektiv måde. Brug af Microsoft 365 kan udsætte dine følsomme data ikke kun internt, men også for eksterne samarbejdspartnere eller endnu værre gøre dem offentligt tilgængelige via et delt link. Sådanne hændelser kan opstå på grund af ondsindet agent eller af en uvidende medarbejder. Microsoft 365 indeholder også et stort økosystem til tredjepartsapps, der hjælper med at øge produktiviteten. Brug af disse apps kan udsætte din organisation for risikoen for skadelige apps eller brug af apps med overdrevne tilladelser.
Hvis du opretter forbindelse mellem Microsoft 365 og Defender for Cloud Apps får du bedre indsigt i dine brugeres aktiviteter, trusselsregistrering ved hjælp af registrering af uregelmæssigheder baseret på maskinel indlæring, registrering af beskyttelse af oplysninger (f.eks. registrering af deling af eksterne oplysninger), muliggør automatiserede afhjælpningskontroller og registrerer trusler fra aktiverede tredjepartsapps i din organisation.
Defender for Cloud Apps integreres direkte med Microsoft 365's overvågningslogge og sikrer beskyttelse af alle understøttede tjenester. Du kan se en liste over understøttede tjenester i Microsoft 365-tjenester, der understøtter overvågning.
Brug denne app-connector til at få adgang til SSPM-funktioner (Security Posture Management) via sikkerhedskontroller, der afspejles i Microsoft Secure Score. Få mere at vide.
Forbedringer af filscanning for Microsoft 365
Defender for Cloud Apps har tilføjet nye forbedringer af filscanning for SharePoint og OneDrive:
Hurtigere scanningshastighed næsten i realtid for filer i SharePoint og OneDrive.
Bedre identifikation af en fils adgangsniveau i SharePoint: Filadgangsniveauet i SharePoint markeres som standard som intern og ikke som privat (da alle filer i SharePoint er tilgængelige for webstedets ejer og ikke kun filejeren).
Bemærk!
Denne ændring kan påvirke dine filpolitikker (hvis en filpolitik søger efter interne eller private filer i SharePoint).
Vigtigste trusler
- Kompromitterede konti og insidertrusler
- Datalækage
- Utilstrækkelig sikkerhedsbevidsthed
- Skadelige tredjepartsapps
- Malware
- Phishing
- Ransomware
- Ikke-administreret BYOD (Bring Your Own Device)
Sådan hjælper Defender for Cloud Apps med at beskytte dit miljø
- Registrer skytrusler, kompromitterede konti og ondsindede insidere
- Opdag, klassificer, mærk og beskyt regulerede og følsomme data, der er gemt i cloudmiljøet
- Find og administrer OAuth-apps, der har adgang til dit miljø
- Gennemtving DLP- og overholdelsespolitikker for data, der er gemt i cloudmiljøet
- Begræns eksponering af delte data, og gennemtving samarbejdspolitikker
- Brug revisionssporet for aktiviteter i forbindelse med retsmedicinske undersøgelser
Kontrollér Microsoft 365 med indbyggede politikker og politikskabeloner
Du kan bruge følgende indbyggede politikskabeloner til at registrere og give dig besked om potentielle trusler:
| Type | Navn |
|---|---|
| Indbygget politik for registrering af uregelmæssigheder |
Aktivitet fra anonyme IP-adresser Aktivitet fra sjældne lande Aktivitet fra mistænkelige IP-adresser Umulig rejse Aktivitet udført af afsluttet bruger (kræver Microsoft Entra ID som IdP) Registrering af malware Flere mislykkede logonforsøg Ransomware-registrering Mistænkelig aktivitet til sletning af mail (prøveversion) Mistænkelig videresendelse af indbakke Usædvanlige aktiviteter for filsletning Usædvanlige aktiviteter for fildeling Usædvanligt antal fildownloadaktiviteter |
| Skabelon for aktivitetspolitik | Logon fra en risikabel IP-adresse Massedownload af en enkelt bruger Potentiel ransomware-aktivitet Ændring af adgangsniveau (Teams) Ekstern bruger er tilføjet (Teams) Massesletning (Teams) |
| Skabelon til filpolitik | Registrer en fil, der er delt med et uautoriseret domæne Registrer en fil, der er delt med personlige mailadresser Registrer filer med PII/PCI/PHI |
| Politik for registrering af uregelmæssigheder i OAuth-appen |
Vildledende OAuth-appnavn Vildledende udgivernavn for en OAuth-app Samtykke til skadelig OAuth-app |
Du kan få flere oplysninger om oprettelse af politikker under Opret en politik.
Automatiser styringskontrolelementer
Ud over at overvåge potentielle trusler kan du anvende og automatisere følgende Microsoft 365-styringshandlinger for at afhjælpe registrerede trusler:
| Type | Handling |
|---|---|
| Datastyring |
OneDrive: - Nedarv tilladelser til overordnet mappe - Gør fil/mappe privat - Sæt fil/mappe i administrator karantæne - Sæt filen/mappen i bruger karantæne - Papirkurv/mappe - Fjern en bestemt samarbejdspartner - Fjern eksterne samarbejdspartnere i filen/mappen - Anvend Microsoft Purview Information Protection følsomhedsmærkat - Fjern Microsoft Purview Information Protection følsomhedsmærkat SharePoint: - Nedarv tilladelser til overordnet mappe - Gør fil/mappe privat - Sæt fil/mappe i administrator karantæne - Sæt filen/mappen i bruger karantæne – Sæt fil/mappe i bruger karantæne, og tilføj ejertilladelser - Papirkurv/mappe - Fjern eksterne samarbejdspartnere i filen/mappen - Fjern en bestemt samarbejdspartner - Anvend Microsoft Purview Information Protection følsomhedsmærkat - Fjern Microsoft Purview Information Protection følsomhedsmærkat |
| Brugerstyring | - Giv brugeren besked ved underretning (via Microsoft Entra ID) - Kræv, at brugeren logger på igen (via Microsoft Entra ID) - Afbryd brugeren (via Microsoft Entra ID) |
| OAuth-appstyring | - Tilbagekald tilladelsen til OAuth-appen |
Du kan få flere oplysninger om afhjælpning af trusler fra apps under Styring af forbundne apps.
Beskyt Microsoft 365 i realtid
Gennemse vores bedste praksis for sikring og samarbejde med eksterne brugere og blokering og beskyttelse af download af følsomme data til ikke-administrerede eller risikable enheder.
Defender for Cloud Apps integration med Microsoft 365
Defender for Cloud Apps understøtter den ældre Microsoft 365 Dedicated Platform samt de nyeste tilbud fra Microsoft 365-tjenester, der ofte kaldes vNext-udgivelsesfamilien af Microsoft 365.
I nogle tilfælde adskiller en version af vNext-tjenesten sig en smule på administrations- og administrationsniveau fra microsoft 365-standardtilbud.
Overvågningslogføring
Defender for Cloud Apps integreres direkte med Microsoft 365's overvågningslogge og modtager alle overvågede hændelser fra alle understøttede tjenester. Du kan se en liste over understøttede tjenester i Microsoft 365-tjenester, der understøtter overvågning.
Overvågningslogføring for Exchange-administrator, som som er aktiveret som standard i Microsoft 365, logfører en hændelse i Microsoft 365-overvågningsloggen, når en administrator (eller en bruger, der har fået tildelt administrative rettigheder) foretager en ændring i din Exchange Online organisation. Ændringer, der foretages ved hjælp af Exchange Administration eller ved at køre en cmdlet i Windows PowerShell logføres i Exchange-administratorens overvågningslog. Du kan finde flere detaljerede oplysninger om logføring af administratorovervågning i Exchange under Logføring af administratorrevision.
Hændelser fra Exchange, Power BI og Teams vises kun, når aktiviteter fra disse tjenester er registreret på portalen.
Multi-Geo-installationer understøttes kun for OneDrive
Microsoft Entra integration
Hvis din Microsoft Entra ID er indstillet til automatisk at synkronisere med brugerne i dit Active Directory-miljø i det lokale miljø, tilsidesætter indstillingerne i det lokale miljø de Microsoft Entra indstillinger, og brugen af handlingen Afbryd brugerstyring gendannes.
I forbindelse med Microsoft Entra logonaktiviteter viser Defender for Cloud Apps kun interaktive logonaktiviteter og logonaktiviteter fra ældre protokoller, f.eks. ActiveSync. Ikke-interaktive logonaktiviteter kan vises i overvågningsloggen for Microsoft Entra.
Hvis Office-apps er aktiveret, importeres grupper, der er en del af Microsoft 365, også til Defender for Cloud Apps fra de specifikke Office-apps, f.eks. hvis SharePoint er aktiveret, importeres Microsoft 365-grupper også som SharePoint-grupper.
Karantænesupport
I SharePoint og OneDrive understøtter Defender for Cloud Apps kun brugerkartoteket for filer i Biblioteker med delte dokumenter (SharePoint Online) og filer i dokumentbiblioteket (OneDrive for Business).
I SharePoint understøtter Defender for Cloud Apps kun karantæneopgaver for filer med delte dokumenter på engelsk.
Forbind Microsoft 365 med Microsoft Defender for Cloud Apps
Dette afsnit indeholder en vejledning i, hvordan du opretter forbindelse Microsoft Defender for Cloud Apps til din eksisterende Microsoft 365-konto ved hjælp af API'en til app-connectoren. Denne forbindelse giver dig indsigt i og kontrol over brugen af Microsoft 365. Du kan få oplysninger om, hvordan Defender for Cloud Apps beskytter Microsoft 365, under Beskyt Microsoft 365.
Brug denne app-connector til at få adgang til SSPM-funktioner (Security Posture Management) via sikkerhedskontroller, der afspejles i Microsoft Secure Score. Få mere at vide.
Forudsætninger:
Du skal have mindst én tildelt Microsoft 365-licens for at oprette forbindelse mellem Microsoft 365 og Defender for Cloud Apps.
Hvis du vil aktivere overvågning af Microsoft 365-aktiviteter i Defender for Cloud Apps, skal du aktivere overvågning i Microsoft Purview.
Overvågningslogføring af Exchange-postkasse skal være aktiveret for hver brugerpostkasse, før brugeraktivitet i Exchange Online logføres, skal du se Exchange-postkasseaktiviteter.
Du skal aktivere overvågning i Power BI for at hente loggene derfra. Når overvågning er aktiveret, begynder Defender for Cloud Apps at hente loggene (med en forsinkelse på 24-72 timer).
Du skal aktivere overvågning i Dynamics 365 for at hente loggene derfra. Når overvågning er aktiveret, begynder Defender for Cloud Apps at hente loggene (med en forsinkelse på 24-72 timer).
Sådan opretter du forbindelse mellem Microsoft 365 og Defender for Cloud Apps:
Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under Forbundne apps skal du vælge App Connectors.
På siden App-connectors skal du vælge +Opret forbindelse til en app og derefter vælge Microsoft 365.
På siden Vælg Microsoft 365-komponenter skal du vælge de ønskede indstillinger og derefter vælge Opret forbindelse.
Bemærk!
- For at opnå den bedste beskyttelse anbefaler vi, at du vælger alle Microsoft 365-komponenter.
- Komponenten Azure AD filer kræver komponenten Azure AD aktiviteter og Defender for Cloud Apps filovervågning (Indstillinger>CloudApps-filer>>aktiverer filovervågning).
På siden Følg linket skal du vælge Opret forbindelse til Microsoft 365.
Når Microsoft 365 vises som korrekt forbundet, skal du vælge Udført.
Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under Forbundne apps skal du vælge App Connectors. Kontrollér, at statussen for den tilsluttede App Connector er Tilsluttet.
SaaS SSPM-data (Security Posture Management) vises på Microsoft Defender-portalen på siden Secure Score. Du kan få flere oplysninger under Administration af sikkerhedsholdning for SaaS-apps.
Bemærk!
Når du har oprettet forbindelse til Microsoft 365, får du vist data fra en uge tilbage, herunder eventuelle tredjepartsprogrammer, der er forbundet til Microsoft 365, og som trækker API'er. I forbindelse med tredjepartsapps, der ikke trak API'er før forbindelse, kan du se hændelser fra det øjeblik, du opretter forbindelse til Microsoft 365, fordi Defender for Cloud Apps aktiverer api'er, der som standard er slået fra.
Hvis du har problemer med at oprette forbindelse til appen, skal du se Fejlfinding af App Connectors.
Næste trin
Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.