Microsoft Defender for Cloud Apps 中的新增功能
适用范围:Microsoft Defender for Cloud Apps
本文会经常更新,让你了解最新版本Microsoft Defender for Cloud Apps的新增功能。
有关其他 Microsoft Defender 安全产品的新增功能的详细信息,请参阅:
- Microsoft Defender XDR 中的新增功能
- Microsoft Defender for Endpoint 中的新增功能
- Microsoft Defender for Identity 中的新增功能
有关早期版本的新闻,请参阅存档Microsoft Defender for Cloud Apps的过去更新。
2024 年 10 月
高级搜寻 CloudAppEvents 表中的新异常数据
Defender for Cloud Apps在Microsoft Defender门户中使用高级搜寻的用户现在可以使用新的 LastSeenForUser 和 UncommonForUser 列进行查询和检测规则。
新列旨在帮助你更好地识别可能出现可疑 的不常见活动 ,并允许你创建更准确的自定义检测,以及调查出现的任何可疑活动。
有关详细信息,请参阅 高级搜寻“CloudAppEvents”数据架构。
高级搜寻 CloudAppEvents 表中的新条件访问应用控制/内联数据
Defender for Cloud Apps在Microsoft Defender门户中使用高级搜寻的用户现在可以使用新的 AuditSource 和 SessionData 列进行查询和检测规则。
使用此数据可以进行考虑特定审核源的查询,包括访问和会话控制,以及按特定内联会话进行的查询。
有关详细信息,请参阅 高级搜寻“CloudAppEvents”数据架构。
高级搜寻 CloudAppEvents 表中的新数据 - OAuthAppId
Defender for Cloud Apps在 Microsoft Defender 门户中使用高级搜寻的用户现在可以使用新的 OAuthAppId 列进行查询和检测规则。
使用 OAuthAppId 允许考虑特定 OAuth 应用程序的查询,从而使查询和检测规则更加准确。
有关详细信息,请参阅 高级搜寻“CloudAppEvents”数据架构。
2024 年 9 月
访问业务应用时在浏览器中强制实施 Edge
了解 Edge 浏览器内保护功能的功能的管理员现在可以要求其用户在访问公司资源时使用 Edge。
主要原因是安全性,因为使用 Edge 规避会话控制的障碍远高于使用反向代理技术。
有关详细信息,请参阅: 在访问业务应用时强制实施 Edge 浏览器内保护
将 Mural 连接到 Defender for Cloud Apps (Preview)
Defender for Cloud Apps现在支持使用应用连接器 API 连接到 Mural 帐户,让你能够查看和控制组织的 Mural 使用情况。
有关更多信息,请参阅:
删除向最终用户发送有关阻止操作的电子邮件的功能
自 2024 年 10 月 1 日起,我们将停止在会话策略阻止最终用户的操作时通过电子邮件通知其功能。
此选项可确保如果用户的操作被阻止,他们会收到浏览器消息和电子邮件通知。
在创建新会话策略时,管理员无法再配置此设置。
发生阻止操作时,具有此设置的现有会话策略不会触发对最终用户的电子邮件通知。
最终用户将继续直接通过浏览器接收阻止消息,并停止通过电子邮件接收阻止通知。
“通过电子邮件通知最终用户”选项的屏幕截图:
2024 年 8 月
重新组织Defender for Cloud Apps文档
我们重新组织了Microsoft Defender for Cloud Apps文档,以突出我们的main产品支柱和用例,并与整体Microsoft Defender文档保持一致。
使用每个文档页面顶部和底部的反馈机制向我们发送你对Defender for Cloud Apps文档的评论。
大规模导出活动日志 (预览版)
一个新的用户体验专用于为用户提供从“活动日志”页导出最多六个月或最多 10 万个事件的选项。
可以使用时间范围和各种其他筛选器筛选结果,甚至可以隐藏私人活动。
有关详细信息,请参阅 六个月前导出活动
2024 年 7 月
在阻止页面 (预览版) 中配置和嵌入自定义支持 URL
为使用 Cloud Discovery 阻止的应用自定义Microsoft Defender for Cloud Apps (MDA) 块体验。
可以在阻止页面上设置自定义重定向 URL
- 教育最终用户并将其重定向到组织可接受的使用策略
- 指导最终用户执行保护阻止异常所要遵循的步骤
有关详细信息,请参阅 配置 MDA 块页的自定义 URL
针对 macOS 用户的浏览器内保护和新支持的策略 (预览版)
macOS 中的 Edge 浏览器用户(范围限定为会话策略)现在受浏览器内保护。
现在支持以下会话策略:
- 阻止和监视敏感文件的上传
- 阻止和监视粘贴
- 阻止和监视恶意软件上传
- 阻止和监视恶意软件下载
请参阅 浏览器内保护。
最近 2 个稳定版本的 Edge (支持浏览器内保护,例如,如果最新的 Edge 为 126,则浏览器内保护适用于 v126 和 v125) 。
请参阅 Microsoft Edge 版本。
2024 年 6 月
经典Defender for Cloud Apps门户的自动重定向 - 正式发布
经典Microsoft Defender for Cloud Apps门户体验和功能已融合到 Microsoft Defender XDR 门户中。 从 2024 年 6 月开始,使用经典Defender for Cloud Apps门户的所有客户都会自动重定向到Microsoft Defender XDR,没有还原回到经典门户的选项。
有关详细信息,请参阅 Microsoft Defender XDR 中的Microsoft Defender for Cloud Apps。
Microsoft Entra ID应用会自动载入条件访问应用控制 (预览版)
现在,使用条件访问应用控制创建访问或会话策略时,Microsoft Entra ID应用会自动载入,并可在策略中使用。
创建访问和会话策略时,请通过筛选“自动 Azure AD 载入”、“Microsoft Entra ID应用”或“手动载入”来选择你的应用(对于非Microsoft IdP 应用)。
例如:
使用条件访问应用控件的其他步骤仍包括:
- 使用Defender for Cloud Apps条件访问应用控件为要控制的应用创建Microsoft Entra ID条件访问策略。
- 载入非Microsoft IdP 应用的手动步骤,包括将 IdP 配置为使用 Defender for Cloud Apps。
有关更多信息,请参阅:
macOS (预览版) 上的Defender for Cloud Apps发现
Defender for Cloud Apps现在支持 macOS 设备上的云应用发现以及Microsoft Defender for Endpoint集成。 Defender for Cloud Apps和 Defender for Endpoint 共同提供无缝的影子 IT 可见性和控制解决方案。
结合此增强功能,“云发现”页上的“Win10 终结点用户”选项已重命名为 Defender 托管的终结点。
有关更多信息,请参阅:
- 将 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud Apps 集成
- 调查Microsoft Defender for Endpoint发现的应用
支持自动收集日志的 AKS (预览版)
当接收方类型为 Syslog-tls
时,Microsoft Defender for Cloud Apps日志收集器现在支持Azure Kubernetes 服务 (AKS) ,并且你可以在 AKS 上配置自动日志收集,以便使用Defender for Cloud Apps进行连续报告。
有关详细信息,请参阅在 Azure Kubernetes 服务 (AKS) 上使用 Docker 配置自动日志上传。
高级搜寻 CloudAppEvents 表的新条件访问应用控制/内联数据 (预览版)
Defender for Cloud Apps在Microsoft Defender门户中使用高级搜寻的用户现在可以使用新的 AuditSource 和 SessionData 列进行查询和检测规则。 使用此数据可以进行考虑特定审核源的查询,包括访问和会话控制,以及按特定内联会话进行的查询。
有关详细信息,请参阅 高级搜寻“CloudAppEvents”数据架构。
对同一应用的多个实例的 SSPM 支持已正式发布
Defender for Cloud Apps现在支持跨同一应用的多个实例 (SSPM) SaaS 安全态势管理。 例如,如果有多个 Okta 实例,可以单独为每个实例配置安全功能分数建议。 每个实例在 “应用连接器 ”页上显示为单独的项。 例如:
有关详细信息,请参阅 SaaS 安全态势管理 (SSPM) 。
2024 年 5 月
Microsoft Defender门户中的Defender for Cloud Apps - 正式发布和重定向通知
Microsoft Defender门户中的Defender for Cloud Apps体验已正式发布,并且默认为所有客户启用从经典门户自动重定向。
从 2024 年 6 月 16 日开始,重定向切换将不再可用。 此后,访问经典Microsoft Defender for Cloud Apps门户的所有用户将自动重新路由到Microsoft Defender门户,没有选择退出的选项。
若要准备此更改,我们建议仍使用经典门户的任何客户将操作移动到 Microsoft Defender 门户。 有关详细信息,请参阅 Microsoft Defender XDR 中的Microsoft Defender for Cloud Apps。
在预览) (main Microsoft Defender XDR设置中打开预览选项
现在,预览版客户可以管理预览功能设置以及其他Microsoft Defender XDR预览功能。
选择“设置”>Microsoft Defender XDR>“常规>预览”,根据需要打开或关闭预览功能。 例如:
尚未使用预览功能的客户将继续在“设置云应用>系统>预览功能”>下看到旧版设置。
有关详细信息,请参阅Microsoft Defender XDR预览功能。
适用于政府云的应用治理
Defender for Cloud Apps 中的应用治理功能现已在政府云中提供。 有关更多信息,请参阅:
2024 年 4 月
从Microsoft Defender门户启用数据加密
现在,可以通过从Microsoft Defender门户的“设置”区域启用数据加密,完成使用自己的密钥加密Defender for Cloud Apps静态数据的过程。
此功能现在在经典Microsoft Defender for Cloud Apps门户上受到限制,并且仅在Microsoft Defender门户中可用。
有关详细信息,请参阅使用自己的密钥 (BYOK) 加密静态Defender for Cloud Apps数据。
2024 年 3 月
已发布新的日志收集器版本
我们发布了包含最新漏洞修复的日志收集器的新版本。 新版本为 columbus-0.272.0-signed.jar
,映像名称为 mcaspublic.azurecr.io/public/mcas/logcollector
,标记 latest/0.272.0
为 。
更改包括升级依赖项,例如:
- amazon-corretto
- ubuntu
- libssl
- oauthlib
- logback
- setuptools
有关详细信息,请参阅 高级日志收集器管理。
支持自动日志收集的 Podman (预览版)
Microsoft Defender for Cloud Apps日志收集器现在支持 Podman,你可以在 Podman 上配置自动日志收集,以便使用 Defender for Cloud Apps 进行连续报告。
支持在多个操作系统上使用 Docker 容器自动收集日志。 对于使用 RHEL 版本 7.1 及更高版本的 Linux 分发版,必须使用 Podman 作为容器的运行时系统。
有关详细信息,请参阅 使用 Podman 配置自动日志上传。
高级搜寻 CloudAppEvents 表的新异常数据 (预览版)
Defender for Cloud Apps在 Microsoft Defender 门户中使用高级搜寻的用户现在可以将新的 LastSeenForUser 和 UncommonForUser 列用于查询和检测规则。 使用此数据有助于排除误报和查找异常。
有关详细信息,请参阅 高级搜寻“CloudAppEvents”数据架构。
Microsoft 365 Microsoft Copilot 的新威胁检测
Defender for Cloud Apps现在通过 Microsoft 365 连接器为 Microsoft 365 Microsoft Copilot 中的风险用户活动提供新的检测。
- 相关警报与其他Microsoft Defender XDR警报一起显示在 Microsoft Defender 门户中。
- Defender for Cloud Apps活动日志中提供了适用于 Microsoft 365 活动的 Copilot。
- 在 Microsoft Defender 门户的“高级搜寻”页中,CloudAppEvents 表中提供了适用于 Microsoft 365 活动的 Copilot for Microsoft 365 应用程序Microsoft Copilot。
有关更多信息,请参阅:
- 适用于 Microsoft 365 的 Microsoft Copilot 入门
- Defender for Cloud Apps如何帮助保护 Microsoft 365 环境
- 调查Microsoft Defender XDR中的警报
- Defender for Cloud Apps活动日志
- 使用高级搜寻主动搜寻威胁
- 高级搜寻架构中的 CloudAppEvents 表
面向Microsoft Edge 商业版用户的动态数据保护 (预览版)
Defender for Cloud Apps使用 Microsoft Edge 商业版 并受会话策略约束的用户现在直接从浏览器中受到保护。 浏览器内保护减少了对代理的需求,提高了安全性和工作效率。
受保护的用户使用其云应用时体验流畅,不会出现延迟或应用兼容性问题,并且具有更高级别的安全保护。
默认情况下,浏览器内保护处于打开状态,并且将从 2024 年 3 月初开始逐步跨租户推出。
有关详细信息,请参阅使用 Microsoft Edge 商业版 (Preview) 的浏览器内保护、使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用和会话策略。
Microsoft Defender门户中的Defender for Cloud Apps现在可供所有Defender for Cloud Apps角色使用
Microsoft Defender门户中的Defender for Cloud Apps体验现在适用于所有Defender for Cloud Apps角色,包括以前限制的以下角色:
- 应用/实例管理员
- 用户组管理员
- Cloud Discovery 全局管理员
- Cloud Discovery 报表管理员
有关详细信息,请参阅 Defender for Cloud Apps 中的内置管理员角色。
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高特权角色,在无法使用现有角色时,应仅限于紧急情况下。
2024 年 2 月
正式发布版中对更多连接应用的 SSPM 支持
Defender for Cloud Apps提供 SaaS 应用程序的安全建议,以帮助防范可能的风险。 在具有应用程序连接器后,将通过Microsoft安全功能分数来显示这些建议。
Defender for Cloud Apps现在通过包含以下应用,在正式版中增强了其 SSPM 支持:
正式发布版中的 Google 工作区 现在也支持 SSPM。
注意
如果已有连接到这些应用之一的连接器,则安全功能分数中的分数可能会相应地自动更新。
有关更多信息,请参阅:
针对凭据访问和横向移动的新应用治理警报
我们为应用治理客户添加了以下新警报:
- 应用程序启动多个失败的 KeyVault 读取活动,但未成功
- 主要使用 MS Graph 或 Exchange Web Services 的休眠 OAuth 应用最近发现正在访问 Azure 资源管理器工作负载
有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的应用治理。
2024 年 1 月
对同一应用的多个实例的 SSPM 支持 (预览版)
Defender for Cloud Apps现在支持跨同一应用的多个实例 (SSPM) SaaS 安全态势管理。 例如,如果有多个 AWS 实例,则可以单独为每个实例配置安全功能分数建议。 每个实例在 “应用连接器 ”页上显示为单独的项。 例如:
有关详细信息,请参阅 SaaS 安全态势管理 (SSPM) 。
删除了在会话策略中可以控制上传的文件数的限制 (预览版)
会话策略现在支持控制上传超过 100 个文件的文件夹,对上传中可包含的文件数没有限制。
有关详细信息,请参阅使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用。
经典Defender for Cloud Apps门户的自动重定向 (预览版)
经典Microsoft Defender for Cloud Apps门户体验和功能已融合到 Microsoft Defender XDR 门户中。 从 2024 年 1 月 9 日起,使用具有预览功能的经典Defender for Cloud Apps门户的客户会自动重定向到Microsoft Defender XDR,没有还原回经典门户的选项。
有关更多信息,请参阅:
后续步骤
- 有关此处所列版本之前的版本的说明,请参阅 Microsoft 云应用安全 的过去版本。
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。