Поделиться через

Импорт групп пользователей из подключенных приложений

  • Статья

При подключении приложений с помощью соединителей API Microsoft Defender for Cloud Apps позволяет импортировать группы пользователей, например из Microsoft 365 и Microsoft Entra ID. Существует два типа групп пользователей:

  • Автоматические группы: Автоматические группы создаются по умолчанию Microsoft Defender for Cloud Apps. Например, существует автоматическая группа пользователей с именем External , которая объединяет всех пользователей из всех приложений, которые являются внешними для вашей организации и имеют доступ к файлам или были в действиях пользователей в клиенте. В Defender for Cloud Apps существуют следующие автоматические группы:

    • Внешний
    • Администратор Dropbox
    • Администратор Microsoft 365
    • Администратор Google Workspace
    • Администратор Box
    • Все стандартные и настраиваемые профили Salesforce, например Системный администратор Salesforce. Полный список см. здесь.

  • Импортированные группы: Вы можете импортировать любую группу из подключенных приложений. Например, можно импортировать группы пользователей из Microsoft 365 (Active Directory) и других подключенных приложений. Эти группы позволяют искать угрозы в организации, не просматривая всю организацию или конкретного пользователя, а просматривая определенную группу.

    Типичные сценарии, в которых используются импортированные группы пользователей:

    • Изучение документации, на которую смотрят сотрудники отдела кадров.
    • Проверьте, что в группе руководителей происходит что-то необычное.
    • Найдите, выполнял ли кто-то из группы администраторов действие за пределами США.

Импорт групп пользователей

  1. В Microsoft Defender XDR выберите Параметры Облачные приложения > Системные >> группы > пользователей + Импорт группы пользователей.

  2. В области Импорт группы пользователей выберите приложение, из которого нужно импортировать группу пользователей. Отображаемые приложения зависят от того, какие соединители вы развернули.

  3. Выберите группу, которую вы хотите импортировать. Список включает первые 50 групп из существующих групп пользователей в приложении. Если группа не отображается, введите текст поиска в поле поиска над списком.

    Чтобы добавить новую группу в список, сделайте это в самом приложении, а затем вернитесь на портал Microsoft Defender, чтобы просмотреть новую группу в списке.

  4. (Необязательно) Выберите, чтобы получать уведомления по электронной почте по завершении процесса импорта.

  5. Нажмите Импорт.

После завершения импорта выберите свою группу на странице Группы пользователей , чтобы просмотреть список всех участников группы. Выберите любого участника группы, чтобы получить дополнительные сведения, включая используемые приложения и сводку действий с учетной записью. Импортированные группы также можно выбрать в качестве фильтров при исследовании в журнале действий и при создании политик. Члены группы автоматически синхронизируются для импортированных групп так же, как и для Active Directory Connect.

Примечание.

  • Максимальное число импортируемых групп пользователей — 500.
  • Только активные пользователи будут импортированы в составе импортированной группы. Все приостановленные, удаленные или отключенные пользователи будут игнорироваться.
  • Может быть небольшая задержка, пока импортированные группы пользователей не будут доступны в фильтрах.
  • Только действия, выполненные после импорта группы пользователей, будут помечены как выполненные членом группы пользователей.
  • После начальной синхронизации группы обычно обновляются каждый час. Однако из-за различных факторов могут быть времена, когда это может занять несколько часов.

Дополнительные сведения об использовании фильтров групп пользователей см. в разделе Действия.

Дальнейшие действия

Настройка облачного обнаружения

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.