Jak Defender for Cloud Apps pomaga chronić środowisko platformy Microsoft 365
Jako główny pakiet zwiększający produktywność zapewniający przechowywanie plików w chmurze, współpracę, analizę biznesowej i narzędzia CRM, platforma Microsoft 365 umożliwia użytkownikom udostępnianie dokumentów w organizacji i partnerom w usprawniony i wydajny sposób. Korzystanie z platformy Microsoft 365 może uwidaczniać dane poufne nie tylko wewnętrznie, ale także współpracownikom zewnętrznym, a co gorsza udostępniać je publicznie za pośrednictwem udostępnionego linku. Takie zdarzenia mogą wystąpić z powodu złośliwego aktora lub nieświadomego pracownika. Platforma Microsoft 365 udostępnia również duży system eko aplikacji innych firm, który pomaga zwiększyć produktywność. Korzystanie z tych aplikacji może narazić organizację na ryzyko złośliwych aplikacji lub używania aplikacji z nadmiernymi uprawnieniami.
Połączenie usługi Microsoft 365 z usługą Defender for Cloud Apps zapewnia lepszy wgląd w działania użytkowników, zapewnia wykrywanie zagrożeń przy użyciu wykrywania anomalii opartych na uczeniu maszynowym, wykrywania ochrony informacji (na przykład wykrywania udostępniania informacji zewnętrznych), włącza zautomatyzowane mechanizmy kontroli korygowania i wykrywa zagrożenia z włączonych aplikacji innych firm w organizacji.
Defender for Cloud Apps integruje się bezpośrednio z dziennikami inspekcji platformy Microsoft 365 i zapewnia ochronę wszystkich obsługiwanych usług. Aby uzyskać listę obsługiwanych usług, zobacz Usługi platformy Microsoft 365, które obsługują inspekcję.
Użyj tego łącznika aplikacji, aby uzyskać dostęp do funkcji saaS Security Posture Management (SSPM) za pośrednictwem mechanizmów kontroli zabezpieczeń odzwierciedlonych w usłudze Microsoft Secure Score. Dowiedz się więcej.
Ulepszenia skanowania plików dla platformy Microsoft 365
Defender for Cloud Apps dodano nowe ulepszenia skanowania plików dla programu SharePoint i usługi OneDrive:
Szybsze skanowanie plików w programach SharePoint i OneDrive niemal w czasie rzeczywistym.
Lepsza identyfikacja poziomu dostępu pliku w programie SharePoint: poziom dostępu do plików w programie SharePoint będzie domyślnie oznaczony jako wewnętrzny, a nie prywatny (ponieważ każdy plik w programie SharePoint jest dostępny dla właściciela witryny, a nie tylko przez właściciela pliku).
Uwaga
Ta zmiana może mieć wpływ na zasady plików (jeśli zasady plików szukają plików wewnętrznych lub prywatnych w programie SharePoint).
Główne zagrożenia
- Konta z naruszeniem zabezpieczeń i zagrożenia wewnętrzne
- Wyciek danych
- Niewystarczająca świadomość zabezpieczeń
- Złośliwe aplikacje innych firm
- Złośliwe oprogramowanie
- Wyłudzanie informacji
- Oprogramowanie wymuszające okup
- Niezarządzane przynieś własne urządzenie (BYOD)
Jak Defender for Cloud Apps pomaga chronić środowisko
- Wykrywanie zagrożeń w chmurze, kont z naruszonymi zabezpieczeniami i złośliwych informacji poufnych
- Odnajdywanie, klasyfikowanie, etykietowanie i ochrona danych regulowanych i poufnych przechowywanych w chmurze
- Odnajdywanie aplikacji OAuth i zarządzanie nimi, które mają dostęp do środowiska
- Wymuszanie zasad DLP i zgodności danych przechowywanych w chmurze
- Ograniczanie ekspozycji udostępnionych danych i wymuszanie zasad współpracy
- Korzystanie ze ścieżki inspekcji działań na potrzeby badań kryminalistycznych
Kontrolowanie platformy Microsoft 365 za pomocą wbudowanych zasad i szablonów zasad
Do wykrywania i powiadamiania o potencjalnych zagrożeniach można użyć następujących wbudowanych szablonów zasad:
| Wpisać | Name (Nazwa) |
|---|---|
| Wbudowane zasady wykrywania anomalii |
Działanie z anonimowych adresów IP Aktywność z rzadkiego kraju Działanie z podejrzanych adresów IP Niemożliwa podróż Działanie wykonywane przez użytkownika zakończone (wymaga Tożsamość Microsoft Entra jako dostawcy tożsamości) Wykrywanie złośliwego oprogramowania Wiele nieudanych prób logowania Wykrywanie oprogramowania wymuszającego okup Podejrzane działanie usuwania wiadomości e-mail (wersja zapoznawcza) Podejrzane przekazywanie skrzynki odbiorczej Nietypowe działania usuwania plików Nietypowe działania udziału plików Nietypowe działania pobierania wielu plików |
| Szablon zasad działania | Logowanie z ryzykownej adresu IP Pobieranie zbiorcze przez jednego użytkownika Potencjalna aktywność oprogramowania wymuszającego okup Zmiana poziomu dostępu (Teams) Dodano użytkownika zewnętrznego (Teams) Usuwanie zbiorcze (Teams) |
| Szablon zasad plików | Wykrywanie pliku udostępnionego nieautoryzowanej domenie Wykrywanie pliku udostępnionego osobistym adresom e-mail Wykrywanie plików przy użyciu interfejsu PII/PCI/PHI |
| Zasady wykrywania anomalii aplikacji OAuth |
Myląca nazwa aplikacji OAuth Wprowadzająca w błąd nazwa wydawcy aplikacji OAuth Zgoda złośliwej aplikacji OAuth |
Aby uzyskać więcej informacji na temat tworzenia zasad, zobacz Tworzenie zasad.
Automatyzowanie kontrolek ładu
Oprócz monitorowania potencjalnych zagrożeń można zastosować i zautomatyzować następujące akcje ładu platformy Microsoft 365 w celu skorygowania wykrytych zagrożeń:
| Wpisać | Akcja |
|---|---|
| Zarządzanie danymi |
OneDrive: — Dziedzicz uprawnienia folderu nadrzędnego — Ustaw plik/folder jako prywatny — Umieszczanie pliku/folderu w kwarantannie administratora — Umieszczanie pliku/folderu w kwarantannie użytkownika — Plik/folder kosza — Usuwanie określonego współpracownika — Usuwanie zewnętrznych współpracowników w pliku/folderze — Stosowanie etykiety poufności Microsoft Purview Information Protection - Usuń etykietę poufności Microsoft Purview Information Protection SharePoint: — Dziedzicz uprawnienia folderu nadrzędnego — Ustaw plik/folder jako prywatny — Umieszczanie pliku/folderu w kwarantannie administratora — Umieszczanie pliku/folderu w kwarantannie użytkownika — Umieść plik/folder w kwarantannie użytkownika i dodaj uprawnienia właściciela — Plik/folder kosza — Usuwanie zewnętrznych współpracowników w pliku/folderze — Usuwanie określonego współpracownika — Stosowanie etykiety poufności Microsoft Purview Information Protection - Usuń etykietę poufności Microsoft Purview Information Protection |
| Ład użytkowników | — Powiadamianie użytkownika o alertach (za pośrednictwem Tożsamość Microsoft Entra) — Wymagaj od użytkownika ponownego zalogowania się (za pośrednictwem Tożsamość Microsoft Entra) — Wstrzymywanie użytkownika (za pośrednictwem Tożsamość Microsoft Entra) |
| Zarządzanie aplikacjami OAuth | — Odwoływanie uprawnień aplikacji OAuth |
Aby uzyskać więcej informacji na temat korygowania zagrożeń z aplikacji, zobacz Zarządzanie połączonymi aplikacjami.
Ochrona platformy Microsoft 365 w czasie rzeczywistym
Zapoznaj się z naszymi najlepszymi rozwiązaniami dotyczącymi zabezpieczania i współpracy z użytkownikami zewnętrznymi oraz blokowania i ochrony pobierania poufnych danych na urządzenia niezarządzane lub ryzykowne.
integracja Defender for Cloud Apps z platformą Microsoft 365
Defender for Cloud Apps obsługuje starszą wersję platformy dedykowanej platformy Microsoft 365, a także najnowsze oferty usług Platformy Microsoft 365, powszechnie nazywane rodziną wersji vNext platformy Microsoft 365.
W niektórych przypadkach wersja usługi vNext różni się nieco na poziomie administracyjnym i zarządzania od standardowej oferty platformy Microsoft 365.
Rejestrowanie inspekcji
Defender for Cloud Apps integruje się bezpośrednio z dziennikami inspekcji platformy Microsoft 365 i odbiera wszystkie zdarzenia inspekcji ze wszystkich obsługiwanych usług. Aby uzyskać listę obsługiwanych usług, zobacz Usługi platformy Microsoft 365, które obsługują inspekcję.
Rejestrowanie inspekcji administratora programu Exchange, które jest domyślnie włączone w usłudze Microsoft 365, rejestruje zdarzenie w dzienniku inspekcji platformy Microsoft 365, gdy administrator (lub użytkownik, któremu przypisano uprawnienia administracyjne) wprowadza zmianę w organizacji Exchange Online. Zmiany wprowadzone przy użyciu centrum administracyjnego programu Exchange lub przez uruchomienie polecenia cmdlet w Windows PowerShell są rejestrowane w dzienniku inspekcji administratora programu Exchange. Aby uzyskać bardziej szczegółowe informacje na temat rejestrowania inspekcji administratora w programie Exchange, zobacz Rejestrowanie inspekcji administratora.
Zdarzenia z programów Exchange, Power BI i Teams będą wyświetlane dopiero po wykryciu działań z tych usług w portalu.
Wdrożenia z wieloma lokalizacjami geograficznymi są obsługiwane tylko w usłudze OneDrive
integracja Microsoft Entra
Jeśli Tożsamość Microsoft Entra jest ustawiona na automatyczną synchronizację z użytkownikami w środowisku lokalnym usługi Active Directory, ustawienia w środowisku lokalnym zastępują ustawienia Microsoft Entra, a użycie akcji Wstrzymanie ładu użytkownika zostanie przywrócone.
W przypadku Microsoft Entra działań logowania Defender for Cloud Apps tylko interaktywne działania logowania i logowania ze starszych protokołów, takich jak ActiveSync. Nieinterakcyjne działania logowania mogą być wyświetlane w dzienniku inspekcji Microsoft Entra.
Jeśli aplikacje pakietu Office są włączone, grupy należące do platformy Microsoft 365 są również importowane do Defender for Cloud Apps z określonych aplikacji pakietu Office, na przykład jeśli program SharePoint jest włączony, grupy platformy Microsoft 365 są również importowane jako grupy programu SharePoint.
Obsługa kwarantanny
W programach SharePoint i OneDrive Defender for Cloud Apps obsługuje kwarantannę użytkowników tylko dla plików w bibliotekach dokumentów udostępnionych (SharePoint Online) i plików w bibliotece Dokumenty (OneDrive dla Firm).
W programie SharePoint Defender for Cloud Apps obsługuje zadania kwarantanny tylko dla plików z dokumentami udostępnionymi w ścieżce w języku angielskim.
Łączenie platformy Microsoft 365 z usługą Microsoft Defender for Cloud Apps
Ta sekcja zawiera instrukcje dotyczące łączenia Microsoft Defender for Cloud Apps z istniejącym kontem platformy Microsoft 365 przy użyciu interfejsu API łącznika aplikacji. To połączenie zapewnia wgląd w korzystanie z platformy Microsoft 365 i kontrolę nad tym. Aby uzyskać informacje o tym, jak Defender for Cloud Apps chroni platformę Microsoft 365, zobacz Ochrona platformy Microsoft 365.
Użyj tego łącznika aplikacji, aby uzyskać dostęp do funkcji saaS Security Posture Management (SSPM) za pośrednictwem mechanizmów kontroli zabezpieczeń odzwierciedlonych w usłudze Microsoft Secure Score. Dowiedz się więcej.
Wymagania wstępne:
Aby połączyć usługę Microsoft 365 z usługą Defender for Cloud Apps, musisz mieć co najmniej jedną przypisaną licencję platformy Microsoft 365.
Aby włączyć monitorowanie działań platformy Microsoft 365 w Defender for Cloud Apps, musisz włączyć inspekcję w usłudze Microsoft Purview.
Rejestrowanie inspekcji skrzynki pocztowej programu Exchange musi być włączone dla każdej skrzynki pocztowej użytkownika przed zarejestrowaniem aktywności użytkownika w Exchange Online, zobacz Działania skrzynki pocztowej programu Exchange.
Aby uzyskać dzienniki, musisz włączyć inspekcję w usłudze Power BI . Po włączeniu inspekcji Defender for Cloud Apps rozpoczyna pobieranie dzienników (z opóźnieniem 24–72 godzin).
Aby uzyskać dzienniki, należy włączyć inspekcję w Dynamics 365. Po włączeniu inspekcji Defender for Cloud Apps rozpoczyna pobieranie dzienników (z opóźnieniem 24–72 godzin).
Aby połączyć usługę Microsoft 365 z usługą Defender for Cloud Apps:
W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji.
Na stronie Łączniki aplikacji wybierz pozycję +Połącz aplikację, a następnie wybierz pozycję Microsoft 365.
Na stronie Wybieranie składników platformy Microsoft 365 wybierz wymagane opcje, a następnie wybierz pozycję Połącz.
Uwaga
- Aby uzyskać najlepszą ochronę, zalecamy wybranie wszystkich składników platformy Microsoft 365.
- Składnik plików Azure AD wymaga składnika działań Azure AD i Defender for Cloud Apps monitorowaniaplików(Ustawienia>Pliki usługi Cloud Apps>Włączanie monitorowania plików>).
Na stronie Postępuj zgodnie z linkiem wybierz pozycję Połącz z platformą Microsoft 365.
Po wyświetleniu platformy Microsoft 365 jako pomyślnie połączonej wybierz pozycję Gotowe.
W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji. Upewnij się, że stan połączonego łącznika aplikacji to Połączony.
Dane SaaS Security Posture Management (SSPM) są wyświetlane w portalu Microsoft Defender na stronie Wskaźnik bezpieczeństwa. Aby uzyskać więcej informacji, zobacz Zarządzanie stanem zabezpieczeń dla aplikacji SaaS.
Uwaga
Po nawiązaniu połączenia z platformą Microsoft 365 będą widoczne dane z tygodnia wstecz, w tym wszystkie aplikacje innych firm połączone z usługą Microsoft 365, które ściągają interfejsy API. W przypadku aplikacji innych firm, które nie ściągały interfejsów API przed połączeniem, zobaczysz zdarzenia od momentu nawiązania połączenia z platformą Microsoft 365, ponieważ Defender for Cloud Apps włącza wszystkie interfejsy API, które były domyślnie wyłączone.
Jeśli masz jakiekolwiek problemy z połączeniem aplikacji, zobacz Rozwiązywanie problemów z łącznikami aplikacji.
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.