使用Defender for Cloud Apps保护组织的最佳做法

本文提供了使用 Microsoft Defender for Cloud Apps 保护组织的最佳做法。 这些最佳做法来自我们在Defender for Cloud Apps方面的经验和像你这样的客户的体验。

本文中讨论的最佳做法包括：

• 发现和评估云应用
• 应用云管理策略
• 限制共享数据的公开并强制实施协作策略
• 发现、分类、标记和保护存储在云中的管控和敏感数据
• 对存储在云中的数据强制实施 DLP 和合规性策略
• 阻止和保护敏感数据下载到非托管或有风险的设备上
• 通过强制实施实时会话控件，实现与外部用户的安全协作
• 检测云威胁、被盗用帐户、恶意预览体验成员和勒索软件
• 将活动的审核记录用于取证调查
• 安全 IaaS 服务和自定义应用

发现和评估云应用

通过将Defender for Cloud Apps与Microsoft Defender for Endpoint集成，可以在企业网络或安全 Web 网关之外使用云发现。 结合用户和设备信息，可以识别有风险的用户或设备，查看他们使用的应用，并在 Defender for Endpoint 门户中进一步调查。

最佳做法：使用 Defender for Endpoint 启用影子 IT 发现
详细信息：云发现分析 Defender for Endpoint 收集的流量日志，并针对云应用目录评估已标识的应用，以提供合规性和安全性信息。 通过配置云发现，可以了解云使用情况、影子 IT 以及用户正在使用的未批准的应用的持续监视。
有关详细信息，请参阅：

• Microsoft Defender for Endpoint与 Defender for Cloud Apps 集成
• 设置云发现
• 在网络中发现和管理影子 IT

---

最佳做法：配置应用发现策略以主动识别风险、不合规和热门应用
详细信息：通过应用发现策略，可以更轻松地跟踪组织中发现的重要应用程序，从而帮助你有效地管理这些应用程序。 创建策略，以在检测标识为有风险、不符合、趋势或高容量的新应用时接收警报。
有关详细信息，请参阅：

• 云发现策略
• 云发现异常情况检测策略
• 获取即时行为分析和异常情况检测

---

最佳做法：管理用户授权的 OAuth 应用
详细信息：许多用户不经意地向第三方应用授予 OAuth 权限以访问其帐户信息，这样做时，无意中还授予对其他云应用中其数据的访问权限。 通常，IT 无法了解这些应用，因此很难权衡应用的安全风险与它提供的工作效率优势。

Defender for Cloud Apps让你能够调查和监视用户授予的应用权限。 可以使用此信息来识别潜在的可疑应用，如果确定存在风险，可以禁止访问它。
有关详细信息，请参阅：

• 管理 OAuth 应用
• OAuth 应用策略

---

---

---

---

应用云管理策略

最佳做法：标记应用和导出块脚本
详细信息：查看组织中已发现的应用列表后，可以保护环境免受不必要的应用使用。 可以将 “已批准 ”标记应用于组织批准的应用，将 “未批准 ”标记应用于未批准的应用。 可以使用发现筛选器监视未批准的应用，或导出脚本，以阻止使用本地安全设备阻止未批准的应用。 使用标记和导出脚本，可以通过仅允许访问安全应用来组织应用并保护环境。
有关详细信息，请参阅：

• 治理发现的应用

---

限制共享数据的公开并强制实施协作策略

最佳做法：连接 Microsoft 365
详细信息：将 Microsoft 365 连接到 Defender for Cloud Apps 可让你即时了解用户的活动、他们正在访问的文件，并提供 Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 的治理操作。
有关详细信息，请参阅：

• 连接应用
• 将 Microsoft 365 连接到 Microsoft Defender for Cloud Apps

---

最佳做法：连接应用
详细信息：将应用连接到Defender for Cloud Apps可让你更深入地了解用户的活动、威胁检测和管理功能。 若要查看支持哪些第三方应用 API，请转到 “连接应用”。

有关详细信息，请参阅：

• 连接应用

---

最佳做法：创建策略以删除与个人帐户共享
详细信息：将 Microsoft 365 连接到 Defender for Cloud Apps 可让你即时了解用户的活动、他们正在访问的文件，并提供 Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 的治理操作。
有关详细信息，请参阅：

• 管理连接的应用

---

发现、分类、标记和保护存储在云中的管控和敏感数据

最佳做法：与 Microsoft Purview 信息保护 集成
详细信息：通过与 Microsoft Purview 信息保护 集成，可以自动应用敏感度标签并选择性地添加加密保护。 启用集成后，可以应用标签作为治理操作，按分类查看文件，按分类级别调查文件，并创建精细策略以确保正确处理分类文件。 如果不启用集成，则无法从云中自动扫描、标记和加密文件的功能中受益。
有关详细信息，请参阅：

• Microsoft Purview 信息保护集成
• 教程：从Microsoft Purview 信息保护自动应用敏感度标签

---

最佳做法：创建数据公开策略
详细信息：使用文件策略检测信息共享并扫描云应用中的机密信息。 创建以下文件策略，以在检测到数据泄露时发出警报：

• 在外部共享包含敏感数据的文件
• 在外部共享并标记为机密的文件
• 与未经授权的域共享的文件
• 保护 SaaS 应用上的敏感文件

有关详细信息，请参阅：

• 内容检查
• 文件策略
• 信息保护策略

---

最佳做法：在 “文件” 页中查看报表
详细信息：使用应用连接器连接各种 SaaS 应用后，Defender for Cloud Apps扫描这些应用存储的文件。 此外，每次修改文件时，都会再次扫描该文件。 可以使用“ 文件 ”页了解和调查云应用中存储的数据类型。 为了帮助你进行调查，可以按域、组、用户、创建日期、扩展名、文件名和类型、文件 ID、敏感度标签等进行筛选。 使用这些筛选器，你可以控制你选择调查文件的方式，以确保你的任何数据都没有风险。 更好地了解数据的使用方式后，可以创建策略来扫描这些文件中的敏感内容。
有关详细信息，请参阅：

• 连接应用
• 文件筛选器
• 内容检查

---

---

---

---

对存储在云中的数据强制实施 DLP 和合规性策略

最佳做法：防止机密数据与外部用户共享
详细信息：创建文件策略，检测用户何时尝试与组织外部的人员共享具有 机密 敏感度标签的文件，并配置其治理操作以删除外部用户。 此策略可确保机密数据不会离开组织，外部用户无法访问它。
有关详细信息，请参阅：

• 管理连接的应用

---

---

---

---

阻止和保护敏感数据下载到非托管或有风险的设备上

最佳做法：管理和控制对高风险设备的访问
详细信息：使用条件访问应用控制在 SaaS 应用上设置控件。 可以创建会话策略来监视高风险、低信任会话。 同样，可以创建会话策略，阻止和保护尝试从非托管或有风险的设备访问敏感数据的用户下载。 如果不创建会话策略来监视高风险会话，你将失去阻止和保护 Web 客户端中的下载的能力，以及Microsoft和第三方应用中监视低信任会话的能力。
有关详细信息，请参阅：

• 使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用
• 会话策略

---

---

---

---

通过强制实施实时会话控件，实现与外部用户的安全协作

最佳做法：使用条件访问应用控制监视与外部用户的会话
详细信息：若要保护环境中的协作，可以创建会话策略来监视内部和外部用户之间的会话。 这不仅使你能够监视用户 (之间的会话，并通知他们正在) 监视其会话活动，而且还使你能够限制特定活动。 创建用于监视活动的会话策略时，可以选择要监视的应用和用户。
有关详细信息，请参阅：

• 使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用
• 会话策略

---

---

---

---

检测云威胁、被盗用帐户、恶意预览体验成员和勒索软件

最佳做法：优化异常策略、设置 IP 范围、发送警报反馈
详细信息：异常情况检测策略 (UEBA) 和机器学习 (ML) 提供现用的用户和实体行为分析，以便可以跨云环境立即运行高级威胁检测。

当环境中的用户执行异常活动时，将触发异常情况检测策略。 Defender for Cloud Apps持续监视用户的活动，并使用 UEBA 和 ML 来学习和了解用户的正常行为。 可以优化策略设置以满足组织要求，例如，可以设置策略的敏感度，以及将策略范围限定为特定组。

• 优化和作用域异常情况检测策略：例如，若要减少不可能的旅行警报中的误报数，可以将策略的敏感度滑块设置为低。 如果组织中的用户经常是公司旅行者，则可以将其添加到用户组并在策略范围内选择该组。

• 设置 IP 范围：设置 IP 地址范围后，Defender for Cloud Apps可以识别已知的 IP 地址。 配置 IP 地址范围后，可以标记、分类和自定义日志和警报的显示和调查方式。 添加 IP 地址范围有助于减少误报检测并提高警报的准确性。 如果选择不添加 IP 地址，则可能需要调查的误报和警报数量可能会增加。

• 发送警报反馈

  在消除或解决警报时，请确保发送反馈，其中包含你关闭警报的原因或解决方式。 此信息可帮助Defender for Cloud Apps改进警报并减少误报。

有关详细信息，请参阅：

• 获取即时行为分析和异常情况检测
• 使用 IP 范围和标记

---

最佳做法：检测来自意外位置或国家/地区的活动
详细信息：创建活动策略，以便在用户从意外位置或国家/地区登录时通知你。 这些通知可以提醒你环境中可能泄露的会话，以便你可以在威胁发生之前检测和修正这些威胁。
有关详细信息，请参阅：

• 威胁防护策略

---

最佳做法：创建 OAuth 应用策略
详细信息：创建 OAuth 应用策略，以便在 OAuth 应用满足特定条件时通知你。 例如，当超过 100 个用户访问需要高权限级别的特定应用时，可以选择收到通知。
有关详细信息，请参阅：

• OAuth 应用策略

---

---

---

---

将活动的审核记录用于取证调查

最佳做法：调查警报时使用活动的审核线索
详细信息：当用户、管理员或登录活动不符合策略时，将触发警报。 请务必调查警报，以了解环境中是否存在可能的威胁。

可以通过在“ 警报”页上 选择警报并查看与该警报相关的活动的审核线索来调查该警报。 审核跟踪使你能够查看相同类型、相同用户、相同 IP 地址和位置的活动，从而提供警报的整体情况。 如果警报需要进一步调查，请创建一个计划来解决组织中的这些警报。

消除警报时，请务必调查并了解它们为何不重要，或者它们是否为误报。 如果存在大量此类活动，可能还需要考虑查看和优化触发警报的策略。
有关详细信息，请参阅：

• 活动

---

---

---

---

安全 IaaS 服务和自定义应用

最佳做法：连接 Azure、AWS 和 GCP
详细信息：将其中每个云平台连接到Defender for Cloud Apps可帮助你改进威胁检测功能。 通过监视这些服务的管理和登录活动，可以检测并收到有关可能的暴力攻击、恶意使用特权用户帐户以及环境中其他威胁的通知。 例如，可以识别风险，例如 VM 的异常删除，甚至这些应用中的模拟活动。
有关详细信息，请参阅：

• 将 Azure 连接到 Microsoft Defender for Cloud Apps
• 将 Amazon Web Services 连接到Microsoft Defender for Cloud Apps
• 将 Google 工作区连接到Microsoft Defender for Cloud Apps

---

最佳做法：载入自定义应用
详细信息：若要深入了解业务线应用中的活动，可以将自定义应用加入到Defender for Cloud Apps。 配置自定义应用后，你将看到有关谁在使用自定义应用、使用它们的 IP 地址以及传入和传出应用流量的信息。

此外，还可以将自定义应用加入为条件访问应用控制应用，以监视其低信任会话。 Microsoft Entra ID应用会自动载入。

有关详细信息，请参阅：

• 将自定义应用添加到云发现
• 载入用于条件访问应用控制的非Microsoft IdP 目录应用
• 为条件访问应用控制载入非Microsoft IdP 自定义应用