通过

美国政府产品/服务的Microsoft Defender for Cloud Apps

  • 项目

Microsoft Defender for Cloud Apps GCC High 和国防部 (DoD) 产品/服务基于 Microsoft Azure 政府 云,旨在与 Microsoft 365 GCC High 和 DoD 相互操作。 GCC High 和 DoD 产品/服务使用与Microsoft Defender for Cloud Apps商业实例相同的基础技术和功能。 因此,应将商业产品/服务的公共文档用作部署和操作服务的起点。

Microsoft Defender for Cloud Apps美国政府服务说明旨在概述 GCC High 和 DoD 环境中的服务产品,并将涵盖商业产品/服务的特征变化。 有关政府产品/服务的详细信息,请参阅 美国政府服务说明

注意

Defender for Cloud Apps使用 GCC 的客户应使用此 URL 登录到服务:https://portal.cloudappsecuritygov.com

美国政府产品/服务的Microsoft Defender for Cloud Apps入门

面向 GCC High 和 DoD 客户的Microsoft Defender for Cloud Apps产品/服务基于 Microsoft Azure 政府 云,旨在与 Microsoft 365 GCC High 和 DoD 环境相互操作。 有关服务及其使用方式的完整详细信息,请参阅Microsoft Defender for Cloud Apps公共文档。 公共文档应用作部署和操作服务的起点,以及以下服务说明详细信息以及 GCC High 或 DoD 环境中功能或特性的更改。

若要开始,请使用“基本设置”页访问 Microsoft Defender for Cloud Apps GCC High 或 DoD 门户,并确保配置了网络要求。 若要将Defender for Cloud Apps配置为使用自己的密钥在静态时加密收集的数据,请参阅使用自己的密钥加密Defender for Cloud Apps静态数据 (BYOK) 。 按照操作指南中的其他步骤获取其他详细说明。

注意

数据加密目前仅适用于特定Microsoft Defender for Cloud Apps政府产品/服务。

Microsoft Defender for Cloud Apps美国政府产品/服务的功能变化

除非另有说明,否则,Microsoft Defender for Cloud Apps新增功能中所述新功能版本(包括预览功能)将在 Microsoft Defender for Cloud Apps 商业环境中发布后的三个月内在 GCC High 和 DoD 环境中提供。

功能支持

美国政府版Microsoft Defender for Cloud Apps提供与Microsoft Defender for Cloud Apps商业环境一起使用,但以下应用治理功能列表除外。 这些功能在 GCC、GCC High 和 DoD 中的支持路线图中:

应用治理预定义应用策略警报:

  • 最近创建的应用的同意率较低

  • 应用的电子邮件搜索活动量很大

  • 应用的大量收件箱规则创建活动

  • 增加对 EWS 的应用 API 调用

  • 访问多个Microsoft 365 服务的可疑应用

应用治理威胁检测警报:

  • 证书更新后从异常位置访问的应用

  • 应用执行的驱动器枚举

  • 应用通过利用 OAuth 重定向漏洞重定向到钓鱼 URL

  • URL 信誉不佳的应用

  • 具有可疑 OAuth 范围的应用进行了图形调用以读取电子邮件并创建了收件箱规则

  • 模拟Microsoft徽标的应用

  • 应用与拼写错误的域相关联

  • 与已知的网络钓鱼活动关联的应用元数据

  • 与以前标记的可疑应用关联的应用元数据

  • 与可疑邮件相关活动关联的应用元数据

  • 具有访问大量电子邮件的 EWS 应用程序权限的应用

  • 应用程序启动多个失败的 KeyVault 读取活动,但未成功

  • 最近发现,主要使用 ARM API 或 MS Graph 的休眠 OAuth 应用正在访问 EWS 工作负载

  • 最近发现,主要使用 ARM 或 EWS 的休眠 OAuth 应用正在访问 MS Graph 工作负载

  • 最近发现主要使用 MS Graph 或 Exchange Web Services 的休眠 OAuth 应用正在访问 ARM 工作负载

  • 没有最近 ARM 活动的休眠 OAuth 应用

  • 没有最近 EWS 活动的休眠 OAuth 应用

  • 没有最近 MS Graph 活动的休眠 OAuth 应用

  • 在虚拟机创建中启动异常峰值的 Entra 业务线应用

  • 凭据更新后对 Exchange 的应用 API 调用增加

  • 具有大量同意吊销的新应用

  • 使用异常用户代理的 OAuth 应用

  • 具有可疑回复 URL 的 OAuth 应用

  • 具有可疑回复 URL 的 Oauth 应用

  • 使用 Microsoft Graph PowerShell 执行的可疑枚举活动

  • 新访问 API 的未使用应用

后续步骤