每周操作指南 - Microsoft Defender for Cloud Apps
本文列出了建议使用Microsoft Defender for Cloud Apps执行的每周操作活动。
查看 SaaS 安全态势管理
其中:在Microsoft Defender XDR门户中,选择“安全功能分数”。
角色:安全性和合规性管理员、SOC 分析师
SaaS 安全态势管理 (SSPM Microsoft Defender for Cloud Apps 中的) 功能,使你能够更深入地了解、自动识别 SaaS 应用错误配置,并帮助你修正这些错误配置以提高组织安全性。
Defender for Cloud Apps SSPM 功能集成到Microsoft Defender XDR中,以便安全团队可以通过Microsoft安全功能分数查看整个企业的整体安全态势。
若要查看每个产品的安全功能分数建议,请在“Microsoft Defender XDR”中选择“安全评分>建议的操作”,并按产品对列表进行分组。
检查应用连接器、日志收集器和 SIEM 代理运行状况
其中:在Microsoft Defender XDR门户中,选择“设置>云应用”。
角色:安全性和合规性管理员、SOC 分析师
当连接器、代理或日志收集器发生故障,并且无法向Defender for Cloud Apps管理员发送通知时,将引发系统警报。 建议定期检查系统警报,以监视应用连接器、日志收集器和 SIEM 代理的运行状况。
如果使用 SIEM 代理,则可以将系统警报直接发送到 SIEM 系统。 在“Microsoft Defender XDR”中,选择“设置>云应用>系统 > SIEM 代理”,并配置 SIEM 代理。 在 “数据类型” 部分中,选择“ 警报”,并确保 “警报类型”筛选器 包含系统警报。
我们还建议查看以下设置,以确保它们正确且最新:
| 状态到检查 | Microsoft Defender XDR中的检查位置 |
|---|---|
| 应用连接器 | 设置 > 云应用 > 连接的应用 > 应用连接器 |
| 条件访问应用控制应用 | 设置 > 云应用 > 连接应用 > 条件访问应用控制应用 |
| 自动上传日志 | 设置 > 云应用 > Cloud Discovery > 自动上传日志 |
| API 令牌 | 设置 > 云应用 > 系统 > API 令牌 |
有关更多信息,请参阅:
- 使用 Microsoft Defender for Cloud Apps 连接应用以获取可见性和控制
- 使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用
- 为连续报告配置自动日志上传
- 管理 API 令牌
跟踪Microsoft Defender XDR中的新更改
其中:在Microsoft 365 管理中心,选择“运行状况>消息中心”
角色:安全管理员
Microsoft 365 消息中心可帮助你跟踪即将发生的更改,包括新功能、计划内维护或其他可能影响Defender for Cloud Apps环境的重要公告。
有关详细信息,请参阅 跟踪 Microsoft 365 消息中心中的新增功能和更改功能。
查看治理日志
其中:在Microsoft Defender XDR门户中的“云应用”下,选择“治理日志”。
角色:安全性和合规性管理员
治理日志提供配置Defender for Cloud Apps运行的每个任务的状态记录,包括手动任务和自动任务。 这些任务包括在策略中配置的任务、对文件和用户设置的治理操作,以及设置Defender for Cloud Apps采取的任何其他操作。
有关详细信息,请参阅 治理连接的应用。