Microsoft Defender for Cloud Apps 中的新增功能

将应用连接到 Defender for Cloud Apps

本文会频繁更新,以便用户了解 Defender for Cloud Apps 最新发布的内容。

有关其他 Microsoft Defender 安全产品新增功能的详细信息,请参阅:

有关早期版本的新闻,请参阅 Microsoft Defender for Cloud Apps 的历史更新存档

2024 年 11 月

内部会话控制应用程序通知

条件访问应用控制服务在内部使用企业应用程序“Microsoft Defender for Cloud Apps - 会话控制”。
请确保没有 CA 策略限制对此应用程序的访问。 对于限制所有或特定应用程序的策略,请确保此应用程序被列为例外,或确认阻止策略是故意的。

有关详细信息,请参阅 示例:创建Microsoft用于 Defender for Cloud Apps 的条件访问策略。

Defender for Cloud Apps 对 Graph API 的支持(预览版)

Defender for Cloud Apps 客户现在可以通过图形 API 查询有关已发现应用的数据。 使用图形 API 自定义视图并在“发现的应用”页上自动执行流,例如应用筛选器以查看特定数据。 API 仅支持 GET 功能。

有关详细信息,请参阅:

公开管理中的 SaaS 安全计划

Microsoft安全暴露管理 提供了使用安全 计划在特定安全领域跟踪曝光的集中指标驱动方式。 “SaaS 安全计划”为与 SaaS 安全性相关的所有最佳做法提供了一个集中位置,分为 12 个可衡量指标。 这些指标旨在帮助有效管理和确定大量安全建议的优先级。 此功能正式发布(全球) - 请注意Microsoft美国政府云中当前不可用的安全暴露管理数据和功能 - GCC、GCC High 和 DoD

有关详细信息,请参阅 SaaS 安全计划

了解应用源(预览版)

使用应用治理的 Defender for Cloud Apps 用户将能够了解连接到 Microsoft 365 的 OAuth 应用的起源。 可以筛选和监视具有外部来源的应用,以主动查看此类应用并改善组织的安全状况。

有关详细信息,请参阅 有关 OAuth 应用的详细见解。

权限筛选器和导出功能(预览版)

使用应用治理的 Defender for Cloud Apps 用户可以利用新的 权限 筛选器和导出功能快速识别具有特定权限的应用,以访问 Microsoft 365。

有关详细信息,请参阅 有关应用治理的筛选器。

使用应用治理的 Defender for Cloud Apps 用户现在可以了解所有热门Microsoft第一方 API 权限的特权级别。 特权级别分类的增强覆盖范围使你能够查看和监视具有强大权限的应用以及有权访问 Microsoft 365 的其他非图形 API。

有关详细信息,请参阅 有关应用治理的 OAuth 应用权限相关详细信息。

深入了解 EWS API 访问的数据使用情况见解(预览版)

使用应用治理的 Defender for Cloud Apps 用户现在可以与 Microsoft Graph 一起使用旧版 EWS API 对应用访问的数据进行精细见解。 数据使用情况见解的增强覆盖范围使你能够更深入地了解使用旧版 EWS API 访问电子邮件的应用。

有关详细信息,请参阅 有关应用治理的 OAuth 应用数据使用情况见解。

2024 年 10 月

高级搜寻 CloudAppEvents 表中的新异常数据

在 Microsoft Defender 门户中使用高级搜寻的 Defender for Cloud Apps 用户现在可以利用新的 LastSeenForUserUncommonForUser 列来查询和检测规则。
新列旨在帮助你更好地 识别可能出现可疑的常见活动 ,并允许你创建更准确的自定义检测,以及调查出现的任何可疑活动。

有关详细信息,请参阅高级搜寻“CloudAppEvents”数据架构

高级搜寻 CloudAppEvents 表中的新条件访问应用控制/内联数据

在 Microsoft Defender 门户中使用高级搜寻的 Defender for Cloud Apps 用户现在可以使用新的 AuditSourceSessionData 列进行查询和检测规则。
使用这些数据可以进行考虑特定审核源的查询,包括访问和会话控制,以及按特定内联会话进行的查询。

有关详细信息,请参阅高级搜寻“CloudAppEvents”数据架构

高级搜寻 CloudAppEvents 表中的新数据 - OAuthAppId

在 Microsoft Defender 门户中使用高级搜寻的 Defender for Cloud Apps 用户现在可以将新的 OAuthAppId 列用于查询和检测规则。

使用 OAuthAppId 可以考虑特定的 OAuth 应用程序的查询,使查询和检测规则更加准确。

有关详细信息,请参阅高级搜寻“CloudAppEvents”数据架构

访问商业应用程序时强制实施 Edge 浏览器内保护

了解 Edge 浏览器内保护功能的管理员现在可以要求其用户在访问公司资源时使用 Edge。

主要原因是安全性,因为使用 Edge 规避会话控制的障碍远高于反向代理技术。

有关详细信息,请参阅:访问商业应用程序时强制实施 Edge 浏览器内保护

将 Mural 连接到 Defender for Cloud Apps(预览版)

Defender for Cloud Apps 现在支持使用应用连接器 API 连接到 Mural 帐户,让你能够了解和控制组织的 Mural 使用情况。

有关详细信息,请参阅:

删除向最终用户发送电子邮件告知被阻止操作的功能

从 2024 年 10 月 1 日起,我们将停用在会话策略阻止操作时通过电子邮件通知最终用户的功能。

此选项可确保用户在其操作被阻止时收到浏览器消息和电子邮件通知。

创建新会话策略时,管理员无法再配置此设置。

使用此设置的现有会话策略不会在发生阻止操作时向最终用户触发电子邮件通知。

最终用户将继续通过浏览器直接接收阻止消息,并不再通过电子邮件接收阻止通知。

例如:

如何阻止通过电子邮件通知最终用户的屏幕截图。

2024 年 8 月

重新组织的 Defender for Cloud Apps 文档

我们重新组织了 Microsoft Defender for Cloud Apps 文档,以突出我们的主要产品支柱和用例,并与我们的整体 Microsoft Defender 文档保持一致。

使用每个文档页面顶部和底部的反馈机制,向我们发送有关 Defender for Cloud Apps 文档的意见。

大规模导出活动日志(预览版)

一种新的用户体验,致力于为用户提供从“活动日志”页面导出长达六个月或多达 10 万个事件的选项。

可以使用时间范围和其他各种筛选器筛选结果,甚至隐藏专用活动。

有关详细信息,请参阅导出近六个月的活动

2024 年 7 月

在阻止页中配置和嵌入自定义支持 URL(预览版)

为使用 Cloud Discovery 阻止的应用自定义 Microsoft Defender for Cloud Apps (MDA) 阻止体验。

可以在块页上设置自定义重定向 URL

  • 教育并引导最终用户了解组织可接受的使用策略
  • 指导最终用户遵循以下步骤以确保块的例外情况

有关详细信息,请参阅为 MDA 块页配置自定义 URL

面向 macOS 用户的浏览器内保护和新支持的策略(预览版)

适用于会话策略的 macOS 的 Edge 浏览器用户现在受浏览器内保护。

现在支持以下会话策略:

  • 阻止和监视敏感文件上传
  • 阻止和监视粘贴
  • 阻止和监视恶意软件上传
  • 阻止和监视恶意软件下载

请参阅浏览器内保护

最近 2 个稳定版本的 Edge 支持浏览器内保护(例如,如果最新的 Edge 为 126,则浏览器内保护适用于 v126 和 v125)。

请参阅 Microsoft Edge 版本

2024 年 6 月

经典 Defender for Cloud Apps 门户的自动重定向 - 正式发布版

经典 Microsoft Defender for Cloud Apps 门户体验和功能已聚合到 Microsoft Defender XDR 门户中。 自 2024 年 6 月起,使用经典 Defender for Cloud Apps 门户的所有客户会自动重定向到 Microsoft Defender XDR,且无法恢复为经典门户。

有关详细信息,请参阅 Microsoft Defender XDR 中的 Microsoft Defender for Cloud Apps

Microsoft Entra ID 应用会自动加入条件访问应用控制(预览版)

现在,当你使用条件访问应用控制创建访问或会话策略时,Microsoft Entra ID 应用会自动加入,并可供你在策略中使用。

创建访问和会话策略时,通过对 Microsoft Entra ID 应用筛选自动 Azure AD 加入,或对非 Microsoft IdP 应用筛选手动加入,来选择应用。

例如:

用于访问和会话策略的新应用筛选器的屏幕截图。

使用条件访问应用控制的额外步骤仍包括:

  • 为想要使用 Defender for Cloud Apps 条件访问应用控制的应用创建 Microsoft Entra ID 条件访问策略
  • 手动加入非 Microsoft IdP 应用的步骤,包括配置 IdP 以使用 Defender for Cloud Apps。

有关详细信息,请参阅:

macOS 上的 Defender for Cloud Apps 发现(预览版)

Defender for Cloud Apps 现在与 Microsoft Defender for Endpoint 集成一起支持 macOS 设备上的云应用发现。 Defender for Cloud Apps 和 Defender for Cloud Apps 共同提供无缝的影子 IT 可见性和控制解决方案。

与此增强功能一起,Cloud Discovery 页上的 Win10 终结点用户选项已重命名为 Defender 托管的终结点

有关详细信息,请参阅:

AKS 支持自动日志收集(预览版)

Microsoft Defender for Cloud Apps 日志收集器现在支持 Azure Kubernetes 服务 (AKS)。当接收器类型为 Syslog-tls 时,可以在 AKS 上配置自动日志收集,以便使用 Defender for Cloud Apps 进行连续报表。

有关详细信息,请参阅在 Azure Kubernetes 服务 (AKS) 上使用 Docker 配置自动日志上传

高级搜寻 CloudAppEvents 表的新条件访问应用控制/内联数据

在 Microsoft Defender 门户中使用高级搜寻的 Defender for Cloud Apps 用户现在可以使用新的 AuditSourceSessionData 列进行查询和检测规则。 使用这些数据可以进行考虑特定审核源的查询,包括访问和会话控制,以及按特定内联会话进行的查询。

有关详细信息,请参阅高级搜寻“CloudAppEvents”数据架构

对同一应用程序的多个实例的 SSPM 支持已正式发布

Defender for Cloud Apps 现在支持跨同一应用的多个实例执行 SaaS 安全状况管理 (SSPM)。 例如,存在多个 Okta 实例时,可单独为每个实例配置安全功能分数建议。 每个实例均会在应用连接器页面上显示为单独的项目。 例如:

“打开安全功能分数建议”选项的屏幕截图。

有关详细信息,请参阅 SaaS 安全状况管理 (SSPM)

2024 年 5 月

Microsoft Defender 门户中的 Defender for Cloud Apps - 正式发布以及针对重定向的提前通知

Microsoft Defender 门户中的 Defender for Cloud Apps 体验现已正式发布,且默认情况下,经典门户中的自动重定向适用于所有客户。

从 2024 年 6 月 16 日起,此重定向切换将不再可用。 此后,访问经典 Microsoft Defender for Cloud Apps 门户的所有用户均会自动重新路由到 Microsoft Defender 门户,且无选择退出的选项。

若要为此变更进行准备,建议仍在使用经典门户的所有客户将操作迁移到 Microsoft Defender 门户。 有关详细信息,请参阅 Microsoft Defender XDR 中的 Microsoft Defender for Cloud Apps

在主 Microsoft Defender XDR 设置中打开预览选项(预览版)

现在,预览版客户可以管理预览功能的设置以及其他 Microsoft Defender XDR 预览功能。

选择设置 > Microsoft Defender XDR > 常规>预览版,根据需要打开或关闭预览功能。 例如:

Microsoft Defender XDR 预览功能设置页的屏幕截图。

尚未使用预览功能的客户可以继续在设置 > 云应用 > 系统 > 预览版功能下查看旧设置。

有关详细信息,请参阅 Microsoft Defender XDR 预览功能

适用于政府云的应用治理

Defender for Cloud Apps 中的应用治理功能现在可在政府云中使用。 有关详细信息,请参阅:

2024 年 4 月

从 Microsoft Defender 门户启用数据加密

现在,可以使用自己的密钥,通过从 Microsoft Defender 门户的设置区域启用数据加密,完成对 Defender for Cloud Apps 静态数据进行加密的过程。

此功能现在仅限于经典 Microsoft Defender for Cloud Apps 门户,并且仅适用于 Microsoft Defender 门户。

有关详细信息,请参阅使用自己的密钥 (BYOK) 加密 Defender for Cloud Apps 数据

2024 年 3 月

发布了新的日志收集器版本

我们发布了一个新的日志收集器版本,其中包含最新的漏洞修复程序。 新版本为 columbus-0.272.0-signed.jar,图像名称为 mcaspublic.azurecr.io/public/mcas/logcollector,标记为 latest/0.272.0

更改包括升级依赖项,例如:

  • amazon-corretto
  • Ubuntu
  • libssl
  • oauthlib
  • logback
  • setuptools

有关详细信息,请参阅高级日志收集器管理

Podman 支持自动日志收集(预览版)

Microsoft Defender for Cloud Apps 日志收集器现在支持 Podman,可以在 Podman 上配置自动日志收集,以便使用 Defender for Cloud Apps 连续报表。

在多个操作系统上使用 Docker 容器支持自动日志收集。 对于使用 RHEL 版本 7.1 及更高版本的 Linux 发行版,必须使用 Podman 作为容器的运行时系统。

有关更多信息,请参阅使用 Podman 配置自动日志上传

高级搜寻 CloudAppEvents 表的新异常数据

在 Microsoft Defender 门户中使用高级搜寻的 Defender for Cloud Apps 用户现在可以使用新的 LastSeenForUserUncommonForUser 列进行查询和检测规则。 使用这些数据有助于排除假正并发现异常。

有关详细信息,请参阅高级搜寻“CloudAppEvents”数据架构

Microsoft Copilot for Microsoft 365 的新威胁检测

Defender for Cloud Apps 现在使用 Microsoft 365 连接器为 Microsoft Copilot for Microsoft 365 中的风险用户活动提供新的检测。

  • 相关警报与其他 Microsoft Defender XDR 警报一起显示在 Microsoft Defender 门户中。
  • Defender for Cloud Apps 活动日志中提供了 Copilot for Microsoft 365 活动。
  • 在 Microsoft Defender 门户的高级搜寻页中,Copilot Microsoft 365 活动在 Microsoft Copilot for Microsoft 365 应用程序下的 CloudAppEvents 表中提供。

有关详细信息,请参阅:

为 Microsoft Edge for Business 用户提供动态数据保护(预览版)

使用 Microsoft Edge for Business 且受会话策略约束的 Defender for Cloud Apps 用户现在直接在浏览器中受到保护。 浏览器内保护减少了对代理的需求,提高了安全性和工作效率。

受保护的用户可体验到流畅的云应用程序使用体验,且没有延迟或应用程序兼容性问题,并且具有更高级别的安全保护。

浏览器内保护功能默认开启,并从 2024 年 3 月初开始逐步向所有租户推广。

有关详细信息,请参阅使用 Microsoft Edge for Business(预览版)进行浏览器内保护使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用会话策略

Microsoft Defender 门户中的 Defender for Cloud Apps 现在适用于所有 Defender for Cloud Apps 角色

Microsoft Defender 门户中的 Defender for Cloud Apps 体验现在适用于所有 Defender for Cloud Apps 角色,包括以前受限的以下角色:

  • 应用/实例管理员
  • 用户组管理员
  • Cloud Discovery 全局管理员
  • Cloud Discovery 报表管理员

有关详细信息,请参阅 Defender for Cloud Apps 中的内置管理员角色

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高特权角色,当无法使用现有角色时,应将其限制为紧急情况。

2024 年 2 月

针对正式版中更多已连接应用的 SSPM 支持

Defender for Cloud Apps 可提供针对 SaaS 应用程序的安全建议,从而帮助规避可能出现的风险。 将连接器连接到应用程序后,将通过 Microsoft 安全功能分数显示这些建议。

Defender for Cloud Apps 现已通过包括在正式版中包括以下应用来增强其 SSPM 支持:

如今在正式版中,Google Workspace 也支持 SSPM。

注意

如果已将某一连接器连接到其中一个应用,则安全功能分数中的分数可能会相应自动更新。

有关详细信息,请参阅:

针对凭据访问和横向移动的新应用治理警报

我们已为应用治理客户添加以下新警报:

有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的应用治理

2024 年 1 月

针对同一应用的多个实例的 SSPM 支持(预览版)

Defender for Cloud Apps 现在支持跨同一应用的多个实例执行 SaaS 安全状况管理 (SSPM)。 例如,存在多个 AWS 实例时,可单独为每个实例配置安全功能分数建议。 每个实例均会在应用连接器页面上显示为单独的项目。 例如:

“打开安全功能分数建议”选项的屏幕截图。

有关详细信息,请参阅 SaaS 安全状况管理 (SSPM)

已删除可在会话策略中控制上传文件数的限制(预览版)

会话策略现在支持对上传超过 100 个文件的文件夹进行控制,但对上传中可包含的文件数没有限制。

有关详细信息,请参阅使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用

经典 Defender for Cloud Apps 门户的自动重定向(预览版)

经典 Microsoft Defender for Cloud Apps 门户体验和功能已聚合到 Microsoft Defender XDR 门户中。 自 2024 年 1 月 9 日起,使用带预览功能的经典 Defender for Cloud Apps 门户的客户会自动重定向到 Microsoft Defender XDR,且无法恢复为经典门户。

有关详细信息,请参阅:

后续步骤

如果遇到任何问题,我们随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证