从连接的应用中导入用户组
使用 API 连接器连接应用时,Microsoft Defender for Cloud Apps允许导入用户组,例如从 Microsoft 365 和 Microsoft Entra ID。 有两种类型的用户组:
自动组:默认情况下,自动组由 Microsoft Defender for Cloud Apps 创建。 例如,有一个名为 External 的自动用户组,该组合并了来自组织外部的所有应用中的所有用户,这些用户有权访问租户中的文件或用户活动。 Defender for Cloud Apps中存在以下自动组:
- 外部
- Dropbox 管理员
- Microsoft 365 管理员
- Google 工作区管理员
- Box 管理员
- 所有 Salesforce 标准和自定义配置文件,例如 Salesforce 系统管理员。 请参阅 此处的完整列表。
导入的组: 可以从连接的应用中导入任何组。 例如,可以从 Microsoft 365 (Active Directory) 和其他连接的应用中导入用户组。 这些组使你能够在组织中查找威胁,而不是通过查看整个组织或特定用户,而是通过查看特定组来查找威胁。
使用导入的用户组的典型方案包括:
- 调查人力资源人员查看的文档。
- 检查执行组中是否存在异常情况。
- 查找管理员组中是否有人在美国以外执行了活动。
导入用户组
在“Microsoft Defender XDR”中,选择“设置>”“云应用>系统>用户组 > + 导入用户组”。
在 “导入用户组 ”窗格中,选择要从中导入用户组的应用。 显示的应用取决于已部署的连接器。
选择要导入的组。 该列表包括应用中现有用户组的前 50 个组。 如果未看到组,请在列表上方的搜索字段中输入搜索文本。
若要向列表添加新组,请在应用本身中执行此操作,然后返回到 Microsoft Defender 门户,在列表中查看新组。
(可选) 选择在导入过程完成时通过电子邮件通知。
选择“导入”。
导入完成后,从“用户组”页中选择你的 组 ,查看所有组成员的列表。 选择任何组成员以进一步向下钻取更多详细信息,包括使用的应用和帐户活动的摘要。 在 活动日志 中进行调查和创建策略时,还可以选择导入的组作为筛选器。 对于导入的组,组成员会自动同步,就像 Active Directory Connect 一样。
注意
- 导入用户组的最大数量为 500。
- 只有活动用户才会作为导入组的一部分进行导入。 将忽略任何挂起、删除或禁用的用户。
- 在筛选器中提供导入的用户组之前,可能会有短暂的延迟。
- 只有导入用户组后执行的活动才会标记为已由用户组成员执行。
- 初始同步后,组通常每小时更新一次。 但是,由于各种因素,有时这可能需要几个小时。
有关使用用户组筛选器的详细信息,请参阅 活动。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。