Как Defender for Cloud Apps помогает защитить среду Microsoft 365
Microsoft 365, предоставляющий облачное файловое хранилище, совместную работу, бизнес-аналитику и инструменты CRM, позволяет пользователям делиться своими документами в вашей организации и партнерами упрощенным и эффективным способом. Использование Microsoft 365 может предоставлять конфиденциальные данные не только внутренним, но и внешним участникам совместной работы или, что еще хуже, сделать их общедоступными через общую ссылку. Такие инциденты могут возникать из-за злонамеренного субъекта или незнающего сотрудника. Microsoft 365 также предоставляет большую стороннюю экосистему приложений для повышения производительности. Использование этих приложений может привести к риску вредоносных приложений или использования приложений с чрезмерными разрешениями.
Подключение Microsoft 365 к Defender for Cloud Apps позволяет получить улучшенные аналитические сведения о действиях пользователей, обеспечить обнаружение угроз с помощью обнаружения аномалий на основе машинного обучения, обнаружения защиты информации (например, обнаружение внешнего обмена информацией), включить автоматизированные средства управления исправлением и обнаружить угрозы из включенных сторонних приложений в вашей организации.
Defender for Cloud Apps интегрируется непосредственно с журналами аудита Microsoft 365 и обеспечивает защиту для всех поддерживаемых служб. Список поддерживаемых служб см. в статье Службы Microsoft 365, поддерживающие аудит.
Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.
Улучшения сканирования файлов для Microsoft 365
Defender for Cloud Apps добавлены новые улучшения проверки файлов для SharePoint и OneDrive:
Более высокая скорость сканирования файлов в SharePoint и OneDrive практически в реальном времени.
Улучшенная идентификация для уровня доступа к файлу в SharePoint: уровень доступа к файлам в SharePoint будет по умолчанию помечен как внутренний, а не как частный (так как каждый файл в SharePoint доступен владельцу сайта, а не только владельцу файла).
Примечание.
Это изменение может повлиять на политики файлов (если политика файлов ищет внутренние или частные файлы в SharePoint).
Основные угрозы
- Скомпрометированные учетные записи и внутренние угрозы
- Утечка данных
- Недостаточная осведомленность о безопасности
- Вредоносные сторонние приложения
- Вредоносная программа
- Фишинговое
- Программа-шантажист
- Неуправляемый перенос собственного устройства (BYOD)
Как Defender for Cloud Apps помогает защитить среду
- Обнаружение облачных угроз, скомпрометированных учетных записей и вредоносных участников программы предварительной оценки
- Обнаружение, классификация, применение меток и защита регламентированных и конфиденциальных данных, хранящихся в облаке
- Обнаружение приложений OAuth, имеющих доступ к вашей среде, и управление ими
- Применение политики защиты от потери данных и политики соответствия требованиям для данных, хранящихся в облаке
- Ограничение раскрытия общих данных и обеспечение соблюдения политик совместной работы
- Использование журнала аудита действий для криминалистических исследований
Управление Microsoft 365 с помощью встроенных политик и шаблонов политик
Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:
| Тип | Имя |
|---|---|
| Встроенная политика обнаружения аномалий |
Действия с анонимных IP-адресов. Действия из редкой страны Действия с подозрительных IP-адресов Неосуществимое перемещение Действие, выполненное прерванным пользователем (требуется Microsoft Entra ID в качестве поставщика удостоверений) Обнаружение вредоносных программ Многократные неудачные попытки входа. Обнаружение программ-шантажистов Подозрительные действия по удалению электронной почты (предварительная версия) Подозрительная пересылка папки "Входящие" Необычные действия по удалению файлов Необычные действия общего доступа к файлам Необычные действия по скачиванию нескольких файлов |
| Шаблон политики действий | Вход с опасного IP-адреса Массовое скачивание одним пользователем Потенциальная активность программ-шантажистов Изменение уровня доступа (Teams) Добавлен внешний пользователь (Teams) Массовое удаление (Teams) |
| Шаблон политики файлов | Обнаружение файла, к которым предоставлен общий доступ с несанкционированным доменом Обнаружение файлов, к которым предоставлен общий доступ с личными адресами электронной почты Обнаружение файлов с помощью PII,PCI/PHI |
| Политика обнаружения аномалий приложения OAuth |
Вводя в заблуждение имя приложения OAuth Неправильное имя издателя для приложения OAuth Согласие вредоносного приложения OAuth |
Дополнительные сведения о создании политик см. в разделе Создание политики.
Автоматизация элементов управления
Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению Microsoft 365 для устранения обнаруженных угроз:
| Тип | Действие |
|---|---|
| Управление данными |
OneDrive: — наследовать разрешения родительской папки — сделать файл или папку закрытыми — поместить файл или папку в карантин администратора. — поместить файл или папку в карантин пользователя — Корзина файла или папки — Удаление определенного участника совместной работы — Удаление внешних участников совместной работы в файле или папке — Применение метки конфиденциальности Защита информации Microsoft Purview — удаление метки конфиденциальности Защита информации Microsoft Purview SharePoint: — наследовать разрешения родительской папки — сделать файл или папку закрытыми — поместить файл или папку в карантин администратора. — поместить файл или папку в карантин пользователя — поместите файл или папку в карантин пользователя и добавьте разрешения владельца. — Корзина файла или папки — Удаление внешних участников совместной работы в файле или папке — Удаление определенного участника совместной работы — Применение метки конфиденциальности Защита информации Microsoft Purview — удаление метки конфиденциальности Защита информации Microsoft Purview |
| Управление пользователями | — уведомление пользователя об оповещении (через Microsoft Entra ID) — требовать от пользователя повторного входа (через Microsoft Entra ID). — Приостановить пользователя (через Microsoft Entra ID) |
| Управление приложениями OAuth | — Отмена разрешения приложения OAuth |
Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.
Защита Microsoft 365 в режиме реального времени
Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.
интеграция Defender for Cloud Apps с Microsoft 365
Defender for Cloud Apps поддерживает устаревшую выделенную платформу Microsoft 365, а также последние предложения служб Microsoft 365, которые обычно называют семейством выпусков vNext Microsoft 365.
В некоторых случаях выпуск службы vNext немного отличается на уровне администрирования и управления от стандартного предложения Microsoft 365.
Ведение журнала аудита
Defender for Cloud Apps интегрируется непосредственно с журналами аудита Microsoft 365 и получает все события аудита от всех поддерживаемых служб. Список поддерживаемых служб см. в статье Службы Microsoft 365, поддерживающие аудит.
Ведение журнала аудита администратора Exchange, которое включено по умолчанию в Microsoft 365, регистрирует событие в журнале аудита Microsoft 365, когда администратор (или пользователь, которому назначены права администратора) вносит изменения в Exchange Online организации. Изменения, внесенные с помощью Центра администрирования Exchange или с помощью командлета в Windows PowerShell регистрируются в журнале аудита администратора Exchange. Более подробную информацию о ведении журнала аудита действий администратора в Exchange см. в статье Ведение журнала аудита действий администратора.
События из Exchange, Power BI и Teams будут отображаться только после обнаружения действий из этих служб на портале.
Развертывания с несколькими регионами поддерживаются только для OneDrive.
интеграция Microsoft Entra
Если Microsoft Entra ID настроен на автоматическую синхронизацию с пользователями в локальной среде Active Directory, параметры в локальной среде переопределяют параметры Microsoft Entra и использование действия "Приостановить управление пользователями" будет отменено.
Для Microsoft Entra действий входа Defender for Cloud Apps отображаются только интерактивные действия входа и действия входа из устаревших протоколов, таких как ActiveSync. Неинтерактивные действия входа можно просмотреть в журнале аудита Microsoft Entra.
Если включены приложения Office, группы, входящие в Microsoft 365, также импортируются в Defender for Cloud Apps из определенных приложений Office, например, если включена sharePoint, группы Microsoft 365 также импортируются как группы SharePoint.
Поддержка карантина
В SharePoint и OneDrive Defender for Cloud Apps поддерживает карантин пользователей только для файлов в библиотеках общих документов (SharePoint Online) и файлов в библиотеке документов (OneDrive для бизнеса).
В SharePoint Defender for Cloud Apps поддерживает задачи карантина только для файлов с общими документами в пути на английском языке.
Подключение Microsoft 365 к Microsoft Defender for Cloud Apps
В этом разделе приведены инструкции по подключению Microsoft Defender for Cloud Apps к существующей учетной записи Microsoft 365 с помощью API соединителя приложений. Это подключение позволяет отслеживать использование Microsoft 365 и управлять ими. Сведения о том, как Defender for Cloud Apps защищает Microsoft 365, см. в разделе Защита Microsoft 365.
Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.
Предварительные требования:
Для подключения Microsoft 365 к Defender for Cloud Apps требуется по крайней мере одна назначенная лицензия Microsoft 365.
Чтобы включить мониторинг действий Microsoft 365 в Defender for Cloud Apps, необходимо включить аудит в Microsoft Purview.
Ведение журнала аудита почтовых ящиков Exchange должно быть включено для каждого почтового ящика пользователя, прежде чем будет зарегистрировано действие пользователя в Exchange Online. См. раздел Действия почтовых ящиков Exchange.
Чтобы получить оттуда журналы , необходимо включить аудит в Power BI . После включения аудита Defender for Cloud Apps начинает получать журналы (с задержкой в 24–72 часа).
Чтобы получить оттуда журналы, необходимо включить аудит в Dynamics 365. После включения аудита Defender for Cloud Apps начинает получать журналы (с задержкой в 24–72 часа).
Чтобы подключить Microsoft 365 к Defender for Cloud Apps, выполните приведенные далее действия.
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.
На странице Соединители приложений выберите +Подключить приложение, а затем выберите Microsoft 365.
На странице Выбор компонентов Microsoft 365 выберите необходимые параметры и нажмите кнопку Подключить.
Примечание.
- Для оптимальной защиты рекомендуется выбрать все компоненты Microsoft 365.
- Компоненту Azure AD файлов требуется компонент действий Azure AD и Defender for Cloud Apps мониторинг файлов (Параметры Файлы облачных>приложений>>Включить мониторинг файлов).
На странице Перейти по ссылке выберите Подключить Microsoft 365.
После того как Microsoft 365 отобразится как успешно подключенная, нажмите кнопку Готово.
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.
Данные управления безопасностью SaaS (SSPM) отображаются на портале Microsoft Defender на странице Оценка безопасности. Дополнительные сведения см. в статье Управление состоянием безопасности для приложений SaaS.
Примечание.
После подключения к Microsoft 365 вы увидите данные из недели назад, включая все сторонние приложения, подключенные к Microsoft 365, которые извлекают API. Для сторонних приложений, которые не извлекали API-интерфейсы до подключения, отображаются события с момента подключения к Microsoft 365, так как Defender for Cloud Apps включает все API, которые были отключены по умолчанию.
Если у вас возникли проблемы с подключением к приложению, см. статью Устранение неполадок с соединителями приложений.
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.