Defender for Cloud Apps如何帮助保护 Box 环境

项目
11/28/2024

作为云文件存储和协作工具，Box 使用户能够以简化且高效的方式在组织和合作伙伴之间共享其文档。使用 Box 可能会不仅在内部公开敏感数据，还会向外部协作者公开敏感数据，或者更糟的是，它可以通过共享链接公开。此类事件可能是由恶意参与者或不知道的员工引起的。

将 Box 连接到 Defender for Cloud Apps 可让你深入了解用户的活动，使用基于机器学习的异常情况检测提供威胁检测、信息保护检测（例如检测外部信息共享）以及启用自动修正控制。

主要威胁

泄露的帐户和内部威胁
数据泄漏
安全意识不足
恶意软件
勒索软件
非托管自带设备 (BYOD)

Defender for Cloud Apps如何帮助保护环境

具有内置策略和策略模板的控制框

可以使用以下内置策略模板来检测潜在威胁并通知你：

类型	名称
内置异常情况检测策略	来自匿名 IP 地址的活动来自不常见国家/地区的活动来自可疑 IP 地址的活动不可能旅行终止的用户 (执行的活动需要作为 IdP) Microsoft Entra ID 恶意软件检测多个失败登录尝试勒索软件检测异常管理活动异常文件删除活动异常文件共享活动异常的多个文件下载活动
活动策略模板	从有风险的 IP 地址登录单个用户批量下载潜在的勒索软件活动
文件策略模板	检测与未经授权的域共享的文件检测与个人电子邮件地址共享的文件使用 PII/PCI/PHI 检测文件

有关创建策略的详细信息，请参阅创建策略。

自动化治理控制

除了监视潜在威胁之外，还可以应用并自动执行以下 Box 治理操作来修正检测到的威胁：

类型	Action
数据治理	- 更改文件夹的共享链接访问级别 - 将文件夹置于管理员隔离区中 - 将文件夹放入用户隔离区 - 从文件夹中删除协作者 - 删除文件夹上的直接共享链接 - 删除文件夹上的外部协作者 - 向文件所有者发送 DLP 冲突摘要 - 将冲突摘要发送到最后一个文件编辑器 - 将过期日期设置为文件夹共享链接 - 回收站文件夹
用户治理	- 挂起用户 - 通过Microsoft Entra ID) 在警报 (通知用户 - 要求用户通过Microsoft Entra ID) 重新登录 ( - 通过Microsoft Entra ID) 暂停用户 (

类型

Action

数据治理

- 更改文件夹的共享链接访问级别
- 将文件夹置于管理员隔离区中
- 将文件夹放入用户隔离区
- 从文件夹中删除协作者
- 删除文件夹上的直接共享链接
- 删除文件夹上的外部协作者
- 向文件所有者发送 DLP 冲突摘要
- 将冲突摘要发送到最后一个文件编辑器
- 将过期日期设置为文件夹共享链接
- 回收站文件夹

用户治理

- 挂起用户
- 通过Microsoft Entra ID) 在警报 (通知用户
- 要求用户通过Microsoft Entra ID) 重新登录 (
- 通过Microsoft Entra ID) 暂停用户 (

有关修正来自应用的威胁的详细信息，请参阅治理连接的应用。

实时保护 Box

查看我们的最佳做法，了解如何保护与外部用户协作，以及阻止和保护将敏感数据下载到非托管或有风险的设备。

将 Box 连接到 Microsoft Defender for Cloud Apps

本部分提供有关使用应用连接器 API 将Microsoft Defender for Cloud Apps连接到现有 Box 帐户的说明。通过此连接，可以了解和控制 Box 的使用。有关Defender for Cloud Apps如何保护 Box 的信息，请参阅保护 Box。

注意

使用不是管理员帐户的帐户进行部署会导致 API 测试失败，并且不允许Defender for Cloud Apps扫描 Box 中的所有文件。如果这是一个问题，可以使用选中所有权限的 Co-Admin 进行部署，但 API 测试将继续失败，并且不会扫描 Box 中其他管理员拥有的文件。

若要将 Box 连接到Defender for Cloud Apps：

如果限制应用程序权限访问，请遵循此步骤。否则，请跳到步骤 2。

以管理员用户身份登录到 Box 帐户。
转到自定义应用设置。有关详细信息，请参阅管理自定义应用 - Box 支持

如果设置配置为默认禁用未发布的应用，请输入数据中心的 Defender for Cloud Apps API 密钥（如下表所示），并保存所做的更改。

数据中心	Defender for Cloud Apps API 密钥
US1	`nduj1o3yavu30dii7e03c3n7p49cj2qh`
US2	`w0ouf1apiii9z8o0r6kpr4nu1pvyec75`
US3	`dmcyvu1s9284i2u6gw9r2kb0hhve4a0r`
EU1	`me9cm6n7kr4mfz135yt0ab9f5k4ze8qp`
EU2	`uwdy5r40t7jprdlzo85v8suw1l4cdsbf`

数据中心详细信息显示在“设置”区域的“Defender for Cloud Apps关于”页中。有关详细信息，请参阅查看数据中心。

在Microsoft Defender门户中，选择“设置”。 然后选择“ 云应用”。在 “连接的应用”下，选择“ 应用连接器”。
在 “应用连接器 ”页中，选择“ +连接应用”，然后选择“ Box”。
在 “实例名称 ”页中，输入连接的名称。然后选择“下一步”。
在“ 关注链接 ”弹出窗口中，选择“ 连接框”。
此时会打开 Box 登录页。输入凭据以允许Defender for Cloud Apps访问团队的 Box 应用。
Box 询问你是否希望允许Defender for Cloud Apps访问团队信息、活动日志，以及以团队成员身份执行活动。若要继续，请选择“ 允许”。
返回Microsoft Defender门户中，应收到一条消息，指出 Box 已成功连接。
在Microsoft Defender门户中，选择“设置”。 然后选择“ 云应用”。在 “连接的应用”下，选择“ 应用连接器”。确保已连接应用连接器的状态为 “已连接”。

连接 Box 后：

你将在连接前 7 天内收到事件。
Defender for Cloud Apps将对所有文件执行完全扫描。根据你拥有的文件和用户数，完成完整扫描可能需要一段时间。

若要启用准实时扫描，将检测到活动的文件移动到扫描队列的开头。例如，会立即扫描编辑、更新或共享的文件，而不是等待常规扫描过程。近实时扫描不适用于本质上未修改的文件。例如，查看、预览、打印或导出的文件将作为定期计划的扫描的一部分进行扫描。

如果连接应用时遇到任何问题，请参阅应用连接器故障排除。

后续步骤

使用策略控制云应用

如果你遇到任何问题，我们随时为你提供帮助。若要获取有关产品问题的帮助或支持，请开具支持票证。

通过