Slik bidrar Defender for Cloud Apps til å beskytte Microsoft 365-miljøet

Microsoft 365 gjør det mulig for brukerne å dele dokumentene sine på tvers av organisasjonen og partnere på en strømlinjeformet og effektiv måte som en stor produktivitetsserie som tilbyr lagringsplass i skyen, samarbeid, BI og CRM. Bruk av Microsoft 365 kan vise sensitive data ikke bare internt, men også for eksterne samarbeidspartnere, eller enda verre gjøre det offentlig tilgjengelig via en delt kobling. Slike hendelser kan oppstå på grunn av ondsinnet aktør, eller av en uvitende ansatt. Microsoft 365 tilbyr også et stort miljøsystem for tredjepartsapper for å øke produktiviteten. Bruk av disse appene kan utsette organisasjonen din for risiko for skadelige apper eller bruk av apper med overflødige tillatelser.

Hvis du kobler Microsoft 365 til Defender for Cloud Apps får du bedre innsikt i brukernes aktiviteter, noe som gir trusselregistrering ved hjelp av maskinlæringsbaserte avviksregistreringer, oppdagelse av informasjonsbeskyttelse (for eksempel å oppdage ekstern informasjonsdeling), muliggjør automatiserte utbedringskontroller og oppdager trusler fra aktiverte tredjepartsapper i organisasjonen.

Defender for Cloud Apps integreres direkte med Overvåkingslogger for Microsoft 365 og gir beskyttelse for alle støttede tjenester. Hvis du vil ha en liste over støttede tjenester, kan du se Microsoft 365-tjenester som støtter overvåking.

Bruk denne appkoblingen til å få tilgang til SSPM-funksjoner (SaaS Security Posture Management), via sikkerhetskontroller som gjenspeiles i Microsoft Secure Score. Finn ut mer.

Forbedringer for filskanning for Microsoft 365

Defender for Cloud Apps har lagt til nye forbedringer for filskanning for SharePoint og OneDrive:

• Raskere skanningshastighet i nær sanntid for filer i SharePoint og OneDrive.

• Bedre identifikasjon for tilgangsnivået til en fil i SharePoint: Filtilgangsnivå i SharePoint merkes som standard som intern, og ikke som privat (siden hver fil i SharePoint er tilgjengelig for områdeeieren, og ikke bare av eieren av filen).

  Obs!

  Denne endringen kan påvirke filpolicyene (hvis en filpolicy ser etter interne eller private filer i SharePoint).

Hovedtrusler

• Kompromitterte kontoer og insider-trusler
• Datalekkasje
• Utilstrekkelig sikkerhetsbevissthet
• Skadelige tredjepartsapper
• Skadelig programvare
• Phishing
• Løsepengevirus
• Uadministrert ta med din egen enhet (BYOD)

Slik bidrar Defender for Cloud Apps til å beskytte miljøet ditt

• Oppdage skytrusler, kompromitterte kontoer og ondsinnede innsidere
• Oppdag, klassifiser, merk og beskytt regulerte og sensitive data som er lagret i skyen
• Oppdag og administrer OAuth-apper som har tilgang til miljøet ditt
• Fremtving DLP og samsvarspolicyer for data som er lagret i skyen
• Begrens eksponering av delte data og fremtving samarbeidspolicyer
• Bruk revisjonssporet for aktiviteter for rettsmedisinske undersøkelser

Kontrollere Microsoft 365 med innebygde policyer og policymaler

Du kan bruke følgende innebygde policymaler til å oppdage og varsle deg om potensielle trusler:

Type:	Navn
Innebygd policy for avviksregistrering	Aktivitet fra anonyme IP-adresser Aktivitet fra sjeldent land Aktivitet fra mistenkelige IP-adresser Umulig reise Aktivitet utført av avsluttet bruker (krever Microsoft Entra ID som IdP) Gjenkjenning av skadelig programvare Flere mislykkede påloggingsforsøk Gjenkjenning av løsepengevirus Mistenkelig e-postslettingsaktivitet (forhåndsvisning) Mistenkelig videresending av innboks Uvanlige filslettingsaktiviteter Uvanlige fildelingsaktiviteter Uvanlige nedlastingsaktiviteter for flere filer
Mal for aktivitetspolicy	Pålogging fra en risikabel IP-adresse Massenedlasting av én enkelt bruker Potensiell løsepengevirusaktivitet Endring av tilgangsnivå (Teams) Ekstern bruker lagt til (Teams) Massesletting (Teams)
Mal for filpolicy	Oppdage en fil som er delt med et uautorisert domene Oppdage en fil som er delt med personlige e-postadresser Oppdag filer med PII/PCI/PHI
Policy for avviksregistrering av OAuth-app	Villedende OAuth-appnavn Villedende utgivernavn for en OAuth-app Ondsinnet OAuth-appsamtykke

Hvis du vil ha mer informasjon om hvordan du oppretter policyer, kan du se Opprette en policy.

Automatiser styringskontroller

I tillegg til å overvåke potensielle trusler, kan du bruke og automatisere følgende styringshandlinger for Microsoft 365 for å utbedre oppdagede trusler:

Type:	Handling
Datastyring	OneDrive: – Arv tillatelser for overordnet mappe – Gjør fil/mappe privat – Sett fil/mappe i karantene for administratorer – Sett fil/mappe i karantene for bruker – papirkurvfil/mappe – Fjerne en bestemt samarbeidspartner – Fjerne eksterne samarbeidspartnere i fil/mappe - Bruk Microsoft Purview informasjonsbeskyttelse følsomhetsetikett - Fjern Microsoft Purview informasjonsbeskyttelse følsomhetsetikett SharePoint: – Arv tillatelser for overordnet mappe – Gjør fil/mappe privat – Sett fil/mappe i karantene for administratorer – Sett fil/mappe i karantene for bruker – Sett fil/mappe i karantene for brukeren, og legg til eiertillatelser – papirkurvfil/mappe – Fjerne eksterne samarbeidspartnere i fil/mappe – Fjerne en bestemt samarbeidspartner - Bruk Microsoft Purview informasjonsbeskyttelse følsomhetsetikett - Fjern Microsoft Purview informasjonsbeskyttelse følsomhetsetikett
Brukerstyring	– Varsle brukeren i beredskap (via Microsoft Entra ID) – Krev at brukeren logger på igjen (via Microsoft Entra ID) - Avbryte bruker (via Microsoft Entra ID)
OAuth-appstyring	– Tilbakekalle OAuth-apptillatelse

Hvis du vil ha mer informasjon om utbedring av trusler fra apper, kan du se Styrende tilkoblede apper.

Beskytt Microsoft 365 i sanntid

Se gjennom våre anbefalte fremgangsmåter for å sikre og samarbeide med eksterne brukere og blokkere og beskytte nedlasting av sensitive data til uadministrerte eller risikable enheter.

Defender for Cloud Apps-integrering med Microsoft 365

Defender for Cloud Apps støtter den eldre Microsoft 365 Dedicated Platform samt de nyeste tilbudene fra Microsoft 365-tjenester, ofte kalt vNext-utgivelsesfamilien til Microsoft 365.

I noen tilfeller er en vNext-tjenesteutgivelse litt forskjellig på administrasjons- og administrasjonsnivå fra standardtilbudet for Microsoft 365.

Overvåkingslogging

Defender for Cloud Apps integreres direkte med Overvåkingslogger for Microsoft 365 og mottar alle overvåkede hendelser fra alle støttede tjenester. Hvis du vil ha en liste over støttede tjenester, kan du se Microsoft 365-tjenester som støtter overvåking.

• Overvåkingslogging for Exchange-administrator, som er aktivert som standard i Microsoft 365, loggfører en hendelse i overvåkingsloggen for Microsoft 365 når en administrator (eller en bruker som har fått tilordnet administrative rettigheter) gjør en endring i Exchange Online organisasjonen. Endringer som gjøres ved hjelp av administrasjonssenteret for Exchange eller ved å kjøre en cmdlet i Windows PowerShell, logges i overvåkingsloggen for Exchange-administrator. Hvis du vil ha mer detaljert informasjon om overvåkingslogging for administratorer i Exchange, kan du se overvåkingslogging for administratorer.

• Hendelser fra Exchange, Power BI og Teams vises bare etter at aktiviteter fra disse tjenestene er oppdaget i portalen.

• Multi-geo-distribusjoner støttes bare for OneDrive

integrering av Microsoft Entra

• Hvis Microsoft Entra ID er satt til å synkronisere automatisk med brukerne i det lokale Active Directory-miljøet, overstyrer innstillingene i det lokale miljøet de Microsoft Entra innstillingene, og bruken av handlingen Avvis brukerstyring tilbakestilles.

• For Microsoft Entra påloggingsaktiviteter dukker Defender for Cloud Apps bare opp interaktive påloggingsaktiviteter og påloggingsaktiviteter fra eldre protokoller som ActiveSync. Ikke-interaktive påloggingsaktiviteter kan vises i Microsoft Entra overvåkingslogg.

• Hvis Office-apper er aktivert, importeres grupper som er en del av Microsoft 365 også til Defender for Cloud Apps fra de bestemte Office-appene, for eksempel hvis SharePoint er aktivert, importeres Også Microsoft 365-grupper som SharePoint-grupper.

Karantenestøtte

• I SharePoint og OneDrive støtter Defender for Cloud Apps bare brukerkarantene for filer i delte dokumentbiblioteker (SharePoint Online) og filer i dokumentbiblioteket (OneDrive for Business).

• I SharePoint støtter Defender for Cloud Apps bare karanteneoppgaver for filer med delte dokumenter i bane på engelsk.

Koble Microsoft 365 til Microsoft Defender for Cloud Apps

Denne delen inneholder instruksjoner for hvordan du kobler Microsoft Defender for Cloud Apps til den eksisterende Microsoft 365-kontoen ved hjelp av appkoblings-API-en. Denne tilkoblingen gir deg innsyn i og kontroll over bruken av Microsoft 365. Hvis du vil ha informasjon om hvordan Defender for Cloud Apps beskytter Microsoft 365, kan du se Beskytt Microsoft 365.

Bruk denne appkoblingen til å få tilgang til SSPM-funksjoner (SaaS Security Posture Management), via sikkerhetskontroller som gjenspeiles i Microsoft Secure Score. Finn ut mer.

Forutsetninger:

• Du må ha minst én tilordnet Microsoft 365-lisens for å koble Microsoft 365 til Defender for Cloud Apps.

• Hvis du vil aktivere overvåking av Microsoft 365-aktiviteter i Defender for Cloud Apps, må du aktivere overvåking i Microsoft Purview.

• Overvåkingslogging for Exchange-postboks må være aktivert for hver brukerpostboks før brukeraktivitet i Exchange Online logges, kan du se Exchange-postboksaktiviteter.

• Du må aktivere overvåking i Power BI for å få loggene derfra. Når overvåking er aktivert, Defender for Cloud Apps begynner å hente loggene (med en forsinkelse på 24-72 timer).

• Du må aktivere overvåking i Dynamics 365 for å få loggene derfra. Når overvåking er aktivert, Defender for Cloud Apps begynner å hente loggene (med en forsinkelse på 24-72 timer).

Slik kobler du Microsoft 365 til Defender for Cloud Apps:

1. Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper.

2. Velg +Koble til en app på appkoblinger-siden, og velg deretter Microsoft 365.

   

3. Velg alternativene du trenger på siden Velg Microsoft 365-komponenter , og velg deretter Koble til.

   Obs!

   • For best beskyttelse anbefaler vi å velge alle Microsoft 365-komponenter.
   • Komponenten Azure AD filer krever Azure AD aktivitetskomponenten og Defender for Cloud Apps filovervåking (Innstillinger>CloudApps-filer>>aktiverer filovervåking).

   

4. Velg Koble til Microsoft 365på siden Følg koblingen.

5. Når Microsoft 365 vises som tilkoblet, velger du Ferdig.

6. Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper. Kontroller at statusen for den tilkoblede App Connector er tilkoblet.

SaaS Security Posture Management -data (SSPM) vises i Microsoft Defender Portal på siden For sikker poengsum. Hvis du vil ha mer informasjon, kan du se Sikkerhetsstillingsadministrasjon for SaaS-apper.

Obs!

Når du har koblet til Microsoft 365, ser du data fra en uke tilbake, inkludert eventuelle tredjepartsprogrammer som er koblet til Microsoft 365 som henter API-er. Når det gjelder tredjepartsapper som ikke trakk API-er før tilkoblingen, ser du hendelser fra det øyeblikket du kobler til Microsoft 365, fordi Defender for Cloud Apps aktiverer API-er som har vært deaktivert som standard.

Hvis du har problemer med å koble til appen, kan du se Feilsøke appkoblinger.

Neste trinn

Kontroller skyapper med policyer

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.