Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
App-connectors bruger API'erne for appudbydere til at give større synlighed og kontrol ved at Microsoft Defender for Cloud Apps over de apps, du opretter forbindelse til.
Microsoft Defender for Cloud Apps bruger de API'er, der leveres af cloududbyderen. Al kommunikation mellem Defender for Cloud Apps og forbundne apps krypteres ved hjælp af HTTPS. Hver tjeneste har sine egne struktur- og API-begrænsninger, f.eks. begrænsning, API-grænser, api-vinduer med dynamisk tidsskift m.m. Microsoft Defender for Cloud Apps arbejder sammen med tjenesterne for at optimere brugen af API'erne og sikre den bedste ydeevne. Under hensyntagen til de forskellige begrænsninger, som tjenester pålægger API'erne, bruger de Microsoft Defender for Cloud Apps motorer den tilladte kapacitet. Nogle handlinger, f.eks. scanning af alle filer i lejeren, kræver mange API'er, så de er spredt over en længere periode. Forvent, at nogle politikker kører i flere timer eller flere dage.
Vigtigt!
Fra og med den 1. september 2024 udfasede Microsoft den Files side fra Microsoft Defender for Cloud Apps. Du kan få flere oplysninger under Filpolitikker i Microsoft Defender for Cloud Apps.
Understøttelse af flere forekomster
Defender for Cloud Apps understøtter flere forekomster af den samme tilsluttede app. Hvis du f.eks. har mere end én forekomst af Salesforce (én for salg, én til marketing), kan du oprette forbindelse mellem begge dele og Defender for Cloud Apps. Du kan administrere de forskellige forekomster fra den samme konsol for at oprette detaljerede politikker og foretage en dybere undersøgelse. Denne understøttelse gælder kun for APPS, der er forbundet med API, ikke for apps, der er registreret i cloudmiljøet, eller apps, der er forbundet med proxy.
Bemærk!
Flere forekomster understøttes ikke for Microsoft 365 og Azure.
Sådan fungerer det
Defender for Cloud Apps installeres med systemadministratorrettigheder for at give fuld adgang til alle objekter i dit miljø.
App Connector-flowet er som følger:
- Defender for Cloud Apps scanner og gemmer godkendelsestilladelser.
- Defender for Cloud Apps anmoder om brugerlisten. Første gang, den foretager anmodningen, kan det tage et stykke tid, indtil scanningen er fuldført. Når brugerscanningen er fuldført, flyttes Defender for Cloud Apps til aktiviteter og filer. Så snart scanningen starter, er nogle aktiviteter tilgængelige i Defender for Cloud Apps.
- Når brugeranmodningen er fuldført, scanner Defender for Cloud Apps jævnligt brugere, grupper, aktiviteter og filer. Alle aktiviteter er tilgængelige efter den første fulde scanning.
Denne forbindelse kan tage noget tid afhængigt af lejerens størrelse, antallet af brugere og størrelsen og antallet af filer, der skal scannes.
Afhængigt af den app, du opretter forbindelse til, aktiverer API-forbindelsen følgende elementer:
- Kontooplysninger – synlighed i brugere, konti, profiloplysninger, status (suspenderet, aktiv, deaktiveret) grupper og rettigheder.
- Overvågningsspor – synlighed i brugeraktiviteter, administratoraktiviteter, logonaktiviteter.
- Kontostyring – mulighed for at suspendere brugere, tilbagekalde adgangskoder med mere.
- Apptilladelser – Synlighed i udstedte tokens og deres tilladelser.
- Styring af apptilladelser – mulighed for at fjerne tokens.
- Datascanning – Scanning af ustrukturerede data ved hjælp af to processer – med jævne mellemrum (hver 12. time) og i realtidsscanning (udløst, hver gang der registreres en ændring).
- Datastyring – mulighed for at sætte filer i karantæne, herunder filer i papirkurv, og overskrive filer.
Følgende tabeller indeholder pr. cloudapp, hvilke muligheder der understøttes med App-connectors:
Bemærk!
Da det ikke er alle app-connectors, der understøtter alle funktioner, kan nogle rækker være tomme.
Brugere og aktiviteter
| App | Vis konti | Listegrupper | Listerettigheder | Log på aktivitet | Brugeraktivitet | Administrativ aktivitet |
|---|---|---|---|---|---|---|
| Asana | ✔ | ✔ | ✔ | |||
| Atlassisk | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | Ikke relevant | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| Boksen | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | ||||||
| DocuSign | Understøttes med DocuSign-skærm | Understøttes med DocuSign-skærm | Understøttes med DocuSign-skærm | Understøttes med DocuSign-skærm | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Github | ✔ | ✔ | ✔ | ✔ | ||
| GCP | Forbindelse til Emne i Google Workspace | Forbindelse til Emne i Google Workspace | Forbindelse til Emne i Google Workspace | Forbindelse til Emne i Google Workspace | ✔ | ✔ |
| Google Workspace | ✔ | ✔ | ✔ | ✔ | ✔ – kræver Google Business eller Enterprise | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Miro | ✔ | ✔ | ✔ | |||
| Vægmaleri | ✔ | ✔ | ✔ | |||
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Okta | ✔ | Understøttes ikke af udbyderen | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | Delvis | Delvis |
| Salesforce | Understøttes med Salesforce Shield | Understøttes med Salesforce Shield | Understøttes med Salesforce Shield | Understøttes med Salesforce Shield | Understøttes med Salesforce Shield | Understøttes med Salesforce Shield |
| Slæk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | Understøttes ikke af udbyderen | ||
| Arbejdsdag | ✔ | Understøttes ikke af udbyderen | Understøttes ikke af udbyderen | ✔ | ✔ | Understøttes ikke af udbyderen |
| Arbejdsplads efter meta | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zoom |
Synlighed af bruger, appstyring og sikkerhedskonfiguration
| App | Brugerstyring | Få vist apptilladelser | Tilbagekald apptilladelser | SaaS Security Posture Management (SSPM) |
|---|---|---|---|---|
| Asana | ||||
| Atlassisk | ✔ | |||
| AWS | Ikke relevant | Ikke relevant | ||
| Azure | Understøttes ikke af udbyderen | |||
| Boksen | ✔ | Understøttes ikke af udbyderen | ||
| Citrix ShareFile | ✔ | |||
| DocuSign | ✔ | |||
| Dropbox | ✔ | |||
| Egnyte | ||||
| Github | ✔ | ✔ | ||
| GCP | Forbindelse til Emne i Google Workspace | Ikke relevant | Ikke relevant | |
| Google Workspace | ✔ | ✔ | ✔ | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
| Miro | ||||
| Vægmaleri | ||||
| NetDocuments | Preview | |||
| Okta | Ikke relevant | Ikke relevant | ✔ | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | |
| Slæk | ||||
| Smartsheet | ||||
| Webex | Ikke relevant | Ikke relevant | ||
| Arbejdsdag | Understøttes ikke af udbyderen | Ikke relevant | Ikke relevant | |
| Arbejdsplads efter meta | Preview | |||
| Zendesk | ✔ | |||
| Zoom | Preview |
Beskyttelse af oplysninger
| App | DLP – Periodisk efterslæbsscanning | DLP – næsten realtidsscanning | Delingskontrol | Filstyring | Anvend følsomhedsmærkater fra Microsoft Purview Information Protection |
|---|---|---|---|---|---|
| Asana | |||||
| Atlassisk | |||||
| AWS | ✔ - Kun S3 Bucket-søgning | ✔ | ✔ | Ikke relevant | |
| Azure | |||||
| Boksen | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | |||||
| DocuSign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| Github | |||||
| GCP | Ikke relevant | Ikke relevant | Ikke relevant | Ikke relevant | Ikke relevant |
| Google Workspace | ✔ | ✔ – kræver Google Business Enterprise | ✔ | ✔ | ✔ |
| Okta | Ikke relevant | Ikke relevant | Ikke relevant | Ikke relevant | Ikke relevant |
| Miro | |||||
| Vægmaleri | |||||
| NetDocuments | |||||
| Okta | Ikke relevant | Ikke relevant | Ikke relevant | Ikke relevant | Ikke relevant |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | Ikke relevant | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| Slæk | |||||
| Smartsheet | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | Ikke relevant |
| Arbejdsdag | Understøttes ikke af udbyderen | Understøttes ikke af udbyderen | Understøttes ikke af udbyderen | Understøttes ikke af udbyderen | Ikke relevant |
| Arbejdsplads efter meta | |||||
| Zendesk | Preview | ||||
| Zoom |
Forudsætninger
Når du arbejder med Microsoft 365-connectoren, skal du bruge en licens til hver tjeneste, hvor du vil have vist sikkerhedsanbefalinger. Hvis du f.eks. vil have vist anbefalinger til Microsoft Forms, skal du bruge en licens, der understøtter Formularer.
For nogle apps skal du muligvis tillade liste-IP-adresser for at gøre det muligt for Defender for Cloud Apps at indsamle logge og give adgang til Defender for Cloud Apps-konsollen. Du kan få flere oplysninger under Netværkskrav.
Bemærk!
Hvis du vil hente opdateringer, når URL-adresser og IP-adresser ændres, skal du abonnere på RSS som forklaret i: Microsoft 365 URL-adresser og IP-adresseområder.
Aktivér app-connectors
Hvis du vil aktivere en app-connector for første gang, skal du konfigurere en API-forbindelse for den specifikke cloudapp, du vil oprette forbindelse til. Se de enkelte connectorvejledninger for hver app for at få en detaljeret vejledning.
- Log på Microsoft Defender-portalen.
- Gå til Cloud Apps>Connected-apps.
- Vælg Opret forbindelse til en app eller Tilføj en ny connector.
- Vælg den cloudapp, du vil oprette forbindelse til.
- Følg vejledningen i den tilsvarende appspecifikke vejledning til API-connectors. Disse instruktioner omfatter de påkrævede tilladelser og godkendelsestrin.
Hver cloudapp har sin egen aktiveringsproces baseret på de API'er, den understøtter.
ExpressRoute
Defender for Cloud Apps udrulles i Azure og er fuldt integreret med ExpressRoute. Alle interaktioner med de Defender for Cloud Apps apps og trafik, der sendes til Defender for Cloud Apps, herunder upload af registreringslogge, dirigeres via ExpressRoute for at opnå forbedret ventetid, ydeevne og sikkerhed. Du kan få flere oplysninger om Microsoft Peering under ExpressRoute-kredsløb og routingdomæner.
Deaktiver appconnectors
Bemærk!
- Før du deaktiverer en appconnector, skal du sørge for, at du har forbindelsesoplysningerne tilgængelige, da du skal bruge dem, hvis du vil aktivere connectoren igen.
- Disse trin kan ikke bruges til at deaktivere apps til kontrol af betinget adgang og sikkerhedskonfigurationsapps.
Sådan deaktiverer du forbundne apps:
- Gå til Forbundne apps.
- Vælg Deaktiver app-connector.
- Vælg Deaktiver forekomst af app-connector for at bekræfte handlingen.
Når connectorforekomsten er deaktiveret, holder den op med at bruge data fra connectoren.
Genaktiver appconnectors
Sådan genaktiverer du forbundne apps:
- Gå til Forbundne apps.
- Vælg Rediger indstillinger. Denne handling starter processen for at tilføje en connector.
- Tilføj connectoren ved hjælp af trinnene i den relevante VEJLEDNING til API-connectors. Hvis du f.eks. genaktiverer GitHub, kan du bruge trinnene i Opret forbindelse til GitHub Enterprise Cloud for at Microsoft Defender for Cloud Apps.
Foretag fejlfinding af manglende aktiviteter, når du har oprettet forbindelse til en app
Hvis de forventede aktiviteter ikke vises, når du har oprettet forbindelse til en app, kan du bruge følgende kontroller til at bestemme, hvor dataene skal være tilgængelige, og om yderligere konfiguration er påkrævet.
1. Kontrollér, at connectoren er i orden
Kontrollér, at der er oprettet forbindelse til appconnectoren, og at der ikke er nogen konfigurationsadvarsler eller tilladelsesproblemer.
2. Kontrollér forventninger til indtagelsesforsinkelse
Nogle forbindelser har forventet ventetid, før aktiviteter vises. Valider, om connectoren har en dokumenteret forsinkelse i indtagelse, før manglende aktivitet behandles som et problem.
3. Bekræft, at connectoren understøtter aktivitetsindtagelse
Kontrollér, om connectoren understøtter aktivitetssamling under sektionen Brugere og aktiviteter.
4. Gennemse connectorspecifikke aktivitetsindstillinger For forbindelser, der understøtter aktivitetstyper, der kan vælges, skal du bekræfte, at de påkrævede indstillinger er aktiveret. Hvis du f.eks. undersøger logonaktivitet, skal du kontrollere, at connectoren er konfigureret til at indsamle de relevante logondata.
5. Kontrollér indstillingerne for udrulning, der er begrænset
Hvis områdeudrulning er aktiveret, skal du bekræfte, at den konto, der udfører aktiviteten, er inkluderet i de aktuelle regler for udrulning. Aktiviteter, der genereres af udeladte brugere, grupper eller apps, indtages ikke. Kontrollér også, om konto-id'er matches korrekt på tværs af forbundne programmer, især når der bruges forskellige id-formater.
6. Valider den forventede logføringsoverflade
Afhængigt af aktivitetstypen skal du kontrollere, om hændelsen vises i den relevante kilde, der er angivet i følgende tabel.
| Hændelse | Kilde |
|---|---|
| Defender for Cloud Apps ændringer i politikadministration | Microsoft Defender for Cloud Apps aktivitetslog |
| Microsoft Entra logonhændelser | Microsoft Entra logonlogge |
| Identitetsrelaterede undersøgelsesdata | Avancerede identitetstabeller til jagt |
7. Anvend filtre, før du afslutter, at dataene mangler
Brug filtre som f.eks.:
- Tidsinterval
- Bruger eller administrator
- Aktivitetstype
- App eller arbejdsbelastning
8. Kontrollér, om der er kendte begrænsninger for omfang
Nogle aktiviteter er muligvis ikke fuldt repræsenteret i alle logføringsoverflader. Hvis der mangler en hændelse fra én kilde, skal du bekræfte, om aktiviteten er dokumenteret som tilgængelig i en anden kilde.
Vigtigt!
Manglende aktivitet angiver ikke altid connectorfejl. Bekræft først, om aktiviteten er forventet i Defender for Cloud Apps, Microsoft Entra logge, Microsoft 365-overvågningslogge eller Avanceret jagt.
Undersøg yderligere
Undersøg yderligere, når:
- Connectoren viser en tilstand, der er i orden, men der vises ingen forventede data i nogen understøttet logføringsoverflade.
- Påkrævede aktivitetsindstillinger er slået til, men hændelsen mangler stadig efter en rimelig valideringsperiode.
- Den samme aktivitetstype er konsekvent utilgængelig på tværs af flere kontroller.