Defender for Cloud Apps如何帮助保护 Microsoft 365 环境
作为提供云文件存储、协作、BI 和 CRM 工具的主要生产力套件,Microsoft 365 使用户能够以简化且高效的方式在组织和合作伙伴之间共享其文档。 使用 Microsoft 365 可能会不仅在内部公开敏感数据,还会向外部协作者公开敏感数据,或者更糟的是,通过共享链接公开敏感数据。 此类事件可能是由于恶意参与者或由不知情的员工引起的。 Microsoft 365 还提供了一个大型第三方应用生态系统,以帮助提高工作效率。 使用这些应用可能会使组织面临恶意应用或使用权限过多的应用的风险。
将 Microsoft 365 连接到 Defender for Cloud Apps 可让你深入了解用户的活动,使用基于机器学习的异常情况检测提供威胁检测、信息保护检测 ((例如检测外部信息共享) ),启用自动修正控制,并检测组织中已启用的第三方应用的威胁。
Defender for Cloud Apps直接与 Microsoft 365 的审核日志集成,并为所有受支持的服务提供保护。 有关支持的服务的列表,请参阅 支持审核的 Microsoft 365 服务。
使用此应用连接器通过安全分数中反映的安全控制来访问 SaaS 安全态势管理 (SSPM Microsoft) 功能。 了解详细信息。
Microsoft 365 的文件扫描改进
Defender for Cloud Apps为 SharePoint 和 OneDrive 添加了新的文件扫描改进:
SharePoint 和 OneDrive 中文件的准实时扫描速度更快。
在 SharePoint 中更好地识别文件访问级别:SharePoint 中的文件访问级别将默认标记为 “内部”,而不是标记为 “专用 (,因为 SharePoint 中的每个文件都可以由网站所有者访问,而不仅仅是文件所有者) 。
注意
如果文件策略在 SharePoint) 中查找 内部 文件或 专用 文件,则此更改可能会影响文件策略 (。
主要威胁
- 泄露的帐户和内部威胁
- 数据泄漏
- 安全意识不足
- 恶意第三方应用
- 恶意软件
- 网络钓鱼
- 勒索软件
- 非托管自带设备 (BYOD)
Defender for Cloud Apps如何帮助保护环境
- 检测云威胁、泄露的帐户和恶意预览体验成员
- 发现、分类、标记和保护存储在云中的管控和敏感数据
- 发现和管理有权访问环境的 OAuth 应用
- 对存储在云中的数据强制实施 DLP 和合规性策略
- 限制共享数据的公开并强制实施协作策略
- 将活动的审核记录用于取证调查
使用内置策略和策略模板控制 Microsoft 365
可以使用以下内置策略模板来检测潜在威胁并通知你:
| 类型 | 名称 |
|---|---|
| 内置异常情况检测策略 |
来自匿名 IP 地址的活动 来自不常见国家/地区的活动 来自可疑 IP 地址的活动 不可能旅行 终止的用户 (执行的活动需要作为 IdP) Microsoft Entra ID 恶意软件检测 多个失败登录尝试 勒索软件检测 可疑电子邮件删除活动 (预览版) 可疑收件箱转发 异常文件删除活动 异常文件共享活动 异常的多个文件下载活动 |
| 活动策略模板 | 从有风险的 IP 地址登录 单个用户批量下载 潜在的勒索软件活动 Teams) (访问级别更改 (Teams) 添加了外部用户 批量删除 (Teams) |
| 文件策略模板 | 检测与未经授权的域共享的文件 检测与个人电子邮件地址共享的文件 使用 PII/PCI/PHI 检测文件 |
| OAuth 应用异常检测策略 |
误导性 OAuth 应用名称 OAuth 应用的误导性发布者名称 恶意 OAuth 应用同意 |
有关创建策略的详细信息,请参阅 创建策略。
自动化治理控制
除了监视潜在威胁之外,还可以应用并自动执行以下Microsoft 365 治理操作来修正检测到的威胁:
| 类型 | Action |
|---|---|
| 数据治理 |
OneDrive: - 继承父文件夹权限 - 将文件/文件夹设为专用 - 将文件/文件夹置于管理员隔离区中 - 将文件/文件夹放入用户隔离区 - 回收站文件/文件夹 - 删除特定协作者 - 删除文件/文件夹上的外部协作者 - 应用Microsoft Purview 信息保护敏感度标签 - 删除Microsoft Purview 信息保护敏感度标签 SharePoint: - 继承父文件夹权限 - 将文件/文件夹设为专用 - 将文件/文件夹置于管理员隔离区中 - 将文件/文件夹放入用户隔离区 - 将文件/文件夹放入用户隔离区并添加所有者权限 - 回收站文件/文件夹 - 删除文件/文件夹上的外部协作者 - 删除特定协作者 - 应用Microsoft Purview 信息保护敏感度标签 - 删除Microsoft Purview 信息保护敏感度标签 |
| 用户治理 | - 通过Microsoft Entra ID) 在警报 (通知用户 - 要求用户通过Microsoft Entra ID) 重新登录 ( - 通过Microsoft Entra ID) 暂停用户 ( |
| OAuth 应用治理 | - 撤销 OAuth 应用权限 |
有关修正来自应用的威胁的详细信息,请参阅 治理连接的应用。
实时保护 Microsoft 365
查看我们的最佳做法, 了解如何保护与外部用户协作 , 以及阻止和保护将敏感数据下载到非托管或有风险的设备。
Defender for Cloud Apps与 Microsoft 365 集成
Defender for Cloud Apps支持旧版 Microsoft 365 专用平台以及 Microsoft 365 服务的最新产品/服务,通常称为 Microsoft 365 的 vNext 发布系列。
在某些情况下,vNext 服务版本在行政和管理级别与标准 Microsoft 365 产品/服务略有不同。
审核日志记录
Defender for Cloud Apps直接与 Microsoft 365 的审核日志集成,并从所有受支持的服务接收所有审核事件。 有关支持的服务的列表,请参阅 支持审核的 Microsoft 365 服务。
Exchange 管理员审核日志记录(默认在 Microsoft 365 中启用)在 Microsoft 365 审核日志中记录Microsoft 365 审核日志中的事件时,管理员 (或已分配管理权限的用户) Exchange Online组织中进行更改。 使用 Exchange 管理中心或在 Windows PowerShell 中运行 cmdlet 所做的更改将记录在 Exchange 管理员审核日志中。 有关 Exchange 中管理员审核日志记录的更多详细信息,请参阅管理员审核日志记录。
只有在门户中检测到来自这些服务的活动后, 才会显示来自 Exchange、 Power BI 和 Teams 的事件。
仅 OneDrive 支持多地理位置部署
Microsoft Entra集成
如果Microsoft Entra ID设置为自动与本地 Active Directory 环境中的用户同步,则本地环境中的设置将覆盖Microsoft Entra设置,并恢复使用“挂起用户治理”操作。
对于Microsoft Entra登录活动,Defender for Cloud Apps仅显示来自 ActiveSync 等旧协议的交互式登录活动和登录活动。 可以在Microsoft Entra审核日志中查看非交互式登录活动。
如果启用了 Office 应用,则属于 Microsoft 365 的组也会从特定 Office 应用导入到Defender for Cloud Apps,例如,如果启用了 SharePoint,Microsoft 365 个组也会作为 SharePoint 组导入。
隔离支持
在 SharePoint 和 OneDrive 中,Defender for Cloud Apps仅支持共享文档库中的文件 (SharePoint Online) 和文档库 (OneDrive for Business) 中的文件的用户隔离。
在 SharePoint 中,Defender for Cloud Apps仅支持对路径为英语共享文档的文件执行隔离任务。
将 Microsoft 365 连接到 Microsoft Defender for Cloud Apps
本部分提供有关使用应用连接器 API 将Microsoft Defender for Cloud Apps连接到现有 Microsoft 365 帐户的说明。 通过此连接,你可以查看和控制Microsoft 365 的使用。 有关Defender for Cloud Apps如何保护 Microsoft 365 的信息,请参阅保护 Microsoft 365。
使用此应用连接器通过安全分数中反映的安全控制来访问 SaaS 安全态势管理 (SSPM Microsoft) 功能。 了解详细信息。
先决条件:
必须至少分配一个 Microsoft 365 许可证才能将 Microsoft 365 连接到Defender for Cloud Apps。
若要在 Defender for Cloud Apps 中启用Microsoft 365 活动的监视,需要在 Microsoft Purview 中启用审核。
在记录Exchange Online中的用户活动之前,必须为每个用户邮箱启用 Exchange 邮箱审核日志记录,请参阅 Exchange 邮箱活动。
必须在 Power BI 中启用审核 才能从中获取日志。 启用审核后,Defender for Cloud Apps开始获取日志 (,) 延迟 24-72 小时。
必须在 Dynamics 365 中启用审核才能从中获取日志。 启用审核后,Defender for Cloud Apps开始获取日志 (,) 延迟 24-72 小时。
若要将 Microsoft 365 连接到 Defender for Cloud Apps,
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。
在 “应用连接器 ”页中,选择“ +连接应用”,然后选择“ Microsoft 365”。
在 “选择Microsoft 365 组件 ”页中,选择所需的选项,然后选择“ 连接”。
注意
- 为了获得最佳保护,建议选择所有Microsoft 365 组件。
- Azure AD 文件组件需要 Azure AD 活动组件和Defender for Cloud Apps文件监视 (设置>云应用>文件>启用文件监视) 。
在 “关注链接 ”页上,选择“ 连接Microsoft 365”。
Microsoft 365 显示为“已成功连接”后,选择“ 完成”。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。 确保已连接应用连接器的状态为 “已连接”。
SaaS 安全态势管理 (SSPM) 数据显示在“安全功能分数”页上的 Microsoft Defender 门户中。 有关详细信息,请参阅 SaaS 应用的安全态势管理。
注意
连接 Microsoft 365 后,你将看到一周前的数据,包括连接到 Microsoft 365 拉取 API 的任何第三方应用程序。 对于在连接之前未拉取 API 的第三方应用,你会看到从连接Microsoft 365 的那一刻起的事件,因为Defender for Cloud Apps打开默认关闭的任何 API。
如果连接应用时遇到任何问题,请参阅 应用连接器故障排除。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。