Defender for Cloud Apps 如何協助保護Microsoft 365 環境
作為提供雲端檔案記憶體、共同作業、BI 和 CRM 工具的主要生產力套件,Microsoft 365 可讓您的使用者以簡化且有效率的方式,跨組織和合作夥伴共用其檔。 使用 Microsoft 365 不僅可能會在內部公開您的敏感數據,也會向外部共同作業者公開您的敏感數據,甚至更壞的情況是透過共用連結公開。 這類事件可能是因為惡意執行者或非知情的員工所造成。 Microsoft 365 也提供大型的第三方應用程式生態系統,以協助提升生產力。 使用這些應用程式可能會讓您的組織面臨惡意應用程式的風險,或使用具有過多許可權的應用程式。
將 Microsoft 365 連線到 Defender for Cloud Apps 可讓您更深入瞭解用戶的活動、使用機器學習型異常偵測提供威脅偵測、資訊保護偵測 (例如偵測外部資訊共用) 、啟用自動化補救控制,以及偵測組織中已啟用的第三方應用程式的威脅。
Defender for Cloud Apps 直接與 Microsoft 365 的稽核記錄整合,併為所有支持的服務提供保護。 如需支援服務的清單, 請參閱Microsoft支援稽核的 365 服務。
使用此應用程式連接器,透過反映在安全分數Microsoft的安全性控制,存取 SaaS 安全性狀態管理 (SSPM) 功能。 深入了解。
Microsoft 365 的檔案掃描改善
Defender for Cloud Apps 已新增 SharePoint 和 OneDrive 的檔案掃描改善:
加快 SharePoint 和 OneDrive 中檔案的近乎實時掃描速度。
SharePoint 中檔案存取層級的更佳識別:SharePoint 中的檔案存取層級預設會標示為 內部,而非 私人 (,因為網站擁有者可以存取 SharePoint 中的每個檔案,而不只是由檔案擁有者) 存取。
注意事項
如果檔案原則在 SharePoint) 中尋找 內部 或 私人 檔案,此變更可能會影響您的檔案原則 (。
主要威脅
- 遭入侵的帳戶和內部威脅
- 數據外洩
- 安全性感知不足
- 惡意的第三方應用程式
- 惡意程式碼
- 網路釣魚
- 勒索軟體
- Unmanaged 將您自己的裝置 (BYOD)
Defender for Cloud Apps 如何協助保護您的環境
- 偵測雲端威脅、遭入侵的帳戶和惡意測試人員
- 探索、分類、標記和保護儲存在雲端中的控管和敏感性資料
- 探索和管理可存取您環境的 OAuth 應用程式
- 針對儲存在雲端的資料強制執行 DLP 和合規性原則
- 限制共用資料的暴露程度,並強制執行共同作業原則
- 使用活動的稽核線索來啟動鑒識調查
使用內建原則和原則範本控制Microsoft 365
您可以使用下列內建原則範本來偵測潛在威脅並通知您:
| 類型 | 姓名 |
|---|---|
| 內建異常偵測原則 |
來自匿名 IP 位址的活動 來自不常使用國家/地區的活動。 來自可疑IP位址的活動 不可能的移動 由已終止的使用者執行的活動 (需要 Microsoft Entra ID 為IdP) 惡意程式碼偵測 多次失敗的登入嘗試 勒索軟體偵測 預覽) (可疑的電子郵件刪除活動 可疑收件匣轉寄 不尋常的檔案刪除活動 不尋常的檔案共享活動 不尋常的多個檔案下載活動 |
| 活動原則範本 | 從具風險的IP位址登入 單一使用者大量下載 潛在的勒索軟體活動 Teams) (存取層級變更 已新增外部使用者 (Teams) Teams) (大量刪除 |
| 檔案原則範本 | 偵測與未經授權網域共用的檔案 偵測與個人電子郵件地址共用的檔案 使用 PII/PCI/PHI 偵測檔案 |
| OAuth 應用程式異常偵測原則 |
誤導 OAuth 應用程式名稱 OAuth 應用程式的誤導發行者名稱 惡意 OAuth 應用程式同意 |
如需建立原則的詳細資訊,請參閱 建立原則。
自動化控管控件
除了監視潛在威脅之外,您還可以套用並自動化下列Microsoft 365 治理動作,以補救偵測到的威脅:
| 類型 | 動作 |
|---|---|
| 資料管理 |
OneDrive: - 繼承父資料夾許可權 - 將檔案/資料夾設為私用 - 將檔案/資料夾放在系統管理隔離中 - 將檔案/資料夾放在使用者隔離中 - 垃圾桶檔案/資料夾 - 移除特定共同作業者 - 移除檔案/資料夾上的外部共同作業者 - 套用 Microsoft Purview 資訊保護 敏感度標籤 - 移除 Microsoft Purview 資訊保護 敏感度標籤 SharePoint: - 繼承父資料夾許可權 - 將檔案/資料夾設為私用 - 將檔案/資料夾放在系統管理隔離中 - 將檔案/資料夾放在使用者隔離中 - 將檔案/資料夾放在使用者隔離區中,並新增擁有者許可權 - 垃圾桶檔案/資料夾 - 移除檔案/資料夾上的外部共同作業者 - 移除特定共同作業者 - 套用 Microsoft Purview 資訊保護 敏感度標籤 - 移除 Microsoft Purview 資訊保護 敏感度標籤 |
| 使用者控管 | - 透過 Microsoft Entra ID) 通知使用者警示 ( - 要求使用者透過 Microsoft Entra ID) 再次登入 ( - 透過 Microsoft Entra ID) 暫停使用者 ( |
| OAuth 應用程式控管 | - 撤銷 OAuth 應用程式許可權 |
如需從應用程式補救威脅的詳細資訊,請參閱 治理連線的應用程式。
實時保護 Microsoft 365
檢閱我們與 外部用戶保護及共同 作業,以及 封鎖和保護將敏感數據下載到非受控或具風險裝置的最佳做法。
Defender for Cloud Apps 與 Microsoft 365 整合
Defender for Cloud Apps 支援舊版 Microsoft 365 專用平臺,以及Microsoft 365 服務的最新供應專案,通常稱為 Microsoft 365 的 vNext 發行系列。
在某些情況下,vNext 服務版本在系統管理層級與標準Microsoft 365 供應專案稍有不同。
稽核記錄
Defender for Cloud Apps 直接與 Microsoft 365 的稽核記錄整合,並接收來自所有支援服務的所有稽核事件。 如需支援服務的清單, 請參閱Microsoft支援稽核的 365 服務。
在 Microsoft 365 中預設啟用的 Exchange 系統管理員稽核記錄,會在系統管理員 (或已獲指派系統管理許可權的使用者) 在您的 Exchange Online 組織中進行變更時,記錄Microsoft 365 稽核記錄中的事件。 使用 Exchange 系統管理中心或在 Windows PowerShell 中執行 Cmdlet 所做的變更會記錄在 Exchange 系統管理員稽核記錄中。 如需有關 Exchange 系統管理員稽核記錄的詳細資訊,請參閱系統管理員稽核記錄功能。
來自 Exchange、Power BI 和 Teams 的事件只會在入口網站中偵測到來自這些服務的活動之後出現。
只有 OneDrive 支援多地理位置部署
Microsoft Entra整合
如果您的 Microsoft Entra ID 設定為自動與 Active Directory 內部部署環境中的使用者同步,內部部署環境中的設定會覆寫 Microsoft Entra 設定,並還原暫停使用者治理動作的使用。
針對 Microsoft Entra 登入活動,Defender for Cloud Apps 只會呈現來自ActiveSync等舊版通訊協定的互動式登入活動和登入活動。 您可以在 Microsoft Entra 稽核記錄中檢視非互動式登入活動。
如果啟用 Office 應用程式,屬於 Microsoft 365 的群組也會從特定 Office 應用程式匯入至 Defender for Cloud Apps,例如,如果啟用 SharePoint,Microsoft 365 群組也會匯入為 SharePoint 群組。
隔離支援
在 SharePoint 和 OneDrive 中,Defender for Cloud Apps 僅支援共用文檔庫中檔案的使用者隔離, (SharePoint Online) ,以及文檔庫 (商務用 OneDrive) 中的檔案。
在 SharePoint 中,Defender for Cloud Apps 僅針對路徑為英文的共用文檔支持隔離工作。
將 Microsoft 365 連線到 Microsoft Defender for Cloud Apps
本節提供使用應用程式連接器 API 將 Microsoft Defender for Cloud Apps 連線到現有Microsoft 365 帳戶的指示。 此連線可讓您瞭解並控制Microsoft 365 使用。 如需 Defender for Cloud Apps 如何保護 Microsoft 365 的詳細資訊,請參閱保護 Microsoft 365。
使用此應用程式連接器,透過反映在安全分數Microsoft的安全性控制,存取 SaaS 安全性狀態管理 (SSPM) 功能。 深入了解。
必要條件:
您必須至少有一個指派Microsoft 365 授權,才能將 Microsoft 365 連線到 Defender for Cloud Apps。
若要在 Defender for Cloud Apps 中啟用Microsoft 365 活動的監視,您必須在 purview 中啟用稽核Microsoft。
必須先開啟每個使用者信箱的 Exchange 信箱稽核記錄,才能記錄 Exchange Online 中的用戶活動,請參閱 Exchange 信箱活動。
您必須在 Power BI 中啟用稽核 ,才能從該處取得記錄。 啟用稽核之後,Defender for Cloud Apps 會開始取得記錄 (,延遲 24-72 小時) 。
您必須在 Dynamics 365 中啟用稽核,才能從該處取得記錄。 啟用稽核之後,Defender for Cloud Apps 會開始取得記錄 (,延遲 24-72 小時) 。
若要將 Microsoft 365 連線到 Defender for Cloud Apps:
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [ 已連線的應用程式] 底下,選取 [應用程式連接器]。
在 [ 應用程式連接器] 頁面中,選取 [+連線應用程式],然後選 取 [Microsoft 365]。
![[連線 O365] 功能表選項。](media/connect-o365.png)
在 [ 選取Microsoft 365 元件 ] 頁面中,選取您需要的選項,然後選取 [ 連線]。
注意事項
- 為了獲得最佳保護,建議您選取所有Microsoft 365 元件。
- Azure AD 檔案元件需要 Azure AD 活動元件和 Defender for Cloud Apps 檔案監視 (設定>Cloud Apps>檔案>啟用檔案監視) 。
在 [ 追蹤連結] 頁面上,選 取 [聯機Microsoft 365]。
Microsoft 365 顯示為已成功連線之後,請選取 [ 完成]。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [ 已連線的應用程式] 底下,選取 [應用程式連接器]。 確定已連線應用程式連接器的狀態為 [已連線]。
SaaS 安全性狀態管理 (SSPM) 數據會顯示在 Microsoft Defender 入口網站的 [安全分數] 頁面上。 如需詳細資訊,請參閱 SaaS 應用程式的安全性狀態管理。
注意事項
聯機Microsoft 365 之後,您會看到一周的數據,包括連線到Microsoft 365 並提取 API 的任何第三方應用程式。 對於未在連線前提取 API 的第三方應用程式,您會在連線Microsoft 365 時看到事件,因為 Defender for Cloud Apps 開啟默認關閉的任何 API。
如果您在連線應用程式時遇到任何問題,請參閱 針對應用程式連接器進行疑難解答。
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。