从连接的应用导入用户组
使用 API 连接器连接应用时,Microsoft Defender for Cloud Apps 允许导入用户组,例如从 Microsoft 365 和 Microsoft Entra ID 导入。 有两种类型的用户组:
自动组:Microsoft Defender for Cloud Apps 默认创建自动组。 例如,有一个名为“外部”的自动用户组,其中包含来自组织外部所有应用的所有用户,这些用户有权访问文件,或者已经处于租户的用户活动中。 Defender for Cloud Apps 中存在以下自动组:
- 外部
- Dropbox 管理员
- Microsoft 365 管理员
- Google 工作区管理员
- Box 管理员
- 所有 Salesforce 标准和自定义配置文件,例如 Salesforce 系统管理员。 请参阅此处的完整列表。
导入组:可从连接的应用导入任何组。 例如,可从 Microsoft 365 (Active Directory) 和其他连接的应用导入用户组。 借助这些组,可通过查看特定组在组织中查找威胁,而不是通过查看整个组织或某一特定用户。
使用导入的用户组的典型方案包括:
- 调查 HR 人员查看的文档。
- 检查管理层是否存在异常情况。
- 查找管理组中是否有人在美国之外执行了某项活动。
导入用户组
在 Microsoft Defender XDR 中,选择设置 > 云应用 > 系统 > 用户组 > + 导入用户组。
在导入用户组窗格中,选择要从中导入用户组的应用。 显示的应用取决于已部署的连接器。
选择要导入的组。 该列表包括应用中现有用户组的前 50 个组。 如果未看到组,请在列表上方的搜索字段中输入搜索文本。
若要向列表添加新组,请在应用本身中执行此操作,然后返回到 Microsoft Defender 门户,在列表中查看新组。
(可选)选择导入过程结束时接收电子邮件通知。
选择“导入” 。
导入完成后,可从用户组页面选择你的组,来查看所有成员的列表。 选择任何组成员以进一步深入了解更多详细信息,包括所使用的应用和帐户活动的摘要。 在调查活动日志和创建策略时,还可以选择导入的组作为筛选器。 对于导入的组,将自动同步组成员,就像对 Active Directory Connect 一样。
注意
- 导入用户组的最大数量为 500。
- 只有活动用户才会作为导入组的一部分导入。 将忽略已暂停、已删除或已禁用的用户。
- 导入的用户组在筛选器中可用之前,可能有短暂的延迟。
- 只有导入用户组后执行的活动才会标记为已由用户组的成员执行。
- 初始同步后,通常每小时更新一次组。 但是,由于各种因素,在某些时候,更新可能需要几个小时。
若要深入了解如何使用用户组筛选器,请参阅活动。
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。