Condividi tramite

Importare gruppi di utenti da app connesse

  • Articolo

Quando si connettono le app usando i connettori API, Microsoft Defender for Cloud Apps consente di importare gruppi di utenti, ad esempio da Microsoft 365 e Microsoft Entra ID. Esistono due tipi di gruppi di utenti:

  • Gruppi automatici: I gruppi automatici vengono creati per impostazione predefinita per Microsoft Defender for Cloud Apps. Ad esempio, esiste un gruppo di utenti automatico denominato External che combina tutti gli utenti di tutte le app esterne all'organizzazione e che hanno accesso ai file o erano in attività utente nel tenant. In Defender for Cloud Apps sono presenti i gruppi automatici seguenti:

    • Esterno
    • Amministratore di Dropbox
    • Amministratore di Microsoft 365
    • Amministratore di Google Workspace
    • Amministratore di Box
    • Tutti i profili salesforce standard e personalizzati, ad esempio Salesforce System Administrator. Vedere l'elenco completo qui.

  • Gruppi importati: È possibile importare qualsiasi gruppo dalle app connesse. Ad esempio, è possibile importare gruppi di utenti da Microsoft 365 (Active Directory) e da altre app connesse. Questi gruppi consentono di cercare le minacce nell'organizzazione, non esaminando l'intera organizzazione o un utente specifico, ma esaminando un gruppo specifico.

    Gli scenari tipici che usano gruppi di utenti importati includono:

    • Analisi della documentazione che gli utenti delle risorse umane esaminano.
    • Controllare se si verifica qualcosa di insolito nel gruppo esecutivo.
    • Verificare se un utente del gruppo di amministratori ha eseguito un'attività al di fuori degli Stati Uniti.

Importare i gruppi di utenti

  1. In Microsoft Defender XDR selezionare Impostazioni > App > cloud Gruppo di utenti > di sistema > + Importa gruppo di utenti.

  2. Nel riquadro Importa gruppo di utenti selezionare l'app da cui importare il gruppo di utenti. Le app visualizzate dipendono dai connettori distribuiti.

  3. Selezionare il gruppo da importare. L'elenco include i primi 50 gruppi dei gruppi di utenti esistenti nell'app. Se il gruppo non viene visualizzato, immettere il testo di ricerca nel campo di ricerca sopra l'elenco.

    Per aggiungere un nuovo gruppo all'elenco, eseguire questa operazione nell'app stessa e quindi tornare al portale di Microsoft Defender per visualizzare il nuovo gruppo nell'elenco.

  4. (Facoltativo) Selezionare per ricevere una notifica tramite posta elettronica al termine del processo di importazione.

  5. Selezionare Importa.

Al termine dell'importazione, selezionare il gruppo nella pagina Gruppi di utenti per visualizzare un elenco di tutti i membri del gruppo. Selezionare un membro del gruppo per eseguire il drill-down per altri dettagli, tra cui le app usate e un riepilogo delle attività dell'account. I gruppi importati possono anche essere selezionati come filtri durante l'analisi nel log attività e durante la creazione di criteri. I membri del gruppo vengono sincronizzati automaticamente per i gruppi importati, proprio come per Active Directory Connect.

Nota

  • Il numero massimo di gruppi di utenti importati è 500.
  • Solo gli utenti attivi verranno importati come parte del gruppo importato. Tutti gli utenti sospesi, eliminati o disabilitati verranno ignorati.
  • Può verificarsi un breve ritardo fino a quando i gruppi di utenti importati non sono disponibili nei filtri.
  • Solo le attività eseguite dopo l'importazione di un gruppo di utenti verranno contrassegnate come eseguite da un membro del gruppo di utenti.
  • Dopo la sincronizzazione iniziale, i gruppi vengono in genere aggiornati ogni ora. Tuttavia, a causa di vari fattori ci potrebbero essere momenti in cui questo potrebbe richiedere diverse ore.

Per altre informazioni sull'uso dei filtri del gruppo utenti, vedere Attività.

Passaggi successivi

Configurare l'individuazione cloud

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.