Verbinden von Apps, um Sichtbarkeit und Kontrolle mit Microsoft Defender for Cloud Apps

Hinweis

Microsoft Defender for Cloud Apps ist jetzt Teil von Microsoft 365 Defender und kann über das Portal unter zugegriffen werden: https://security.microsoft.com. Microsoft 365 Defender korreliert Signale der Microsoft Defender Suite über Endpunkte, Identitäten, E-Mails und SaaS-Apps hinweg, um Erkennungs-, Untersuchungs- und leistungsstarke Reaktionsfunktionen auf Incidentebene bereitzustellen. Es verbessert Ihre betriebliche Effizienz durch eine bessere Priorisierung und kürzere Antwortzeiten, die Ihre organization effektiver schützen. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

App-Connectors nutzen die APIs von App-Anbietern, um für die Apps, mit denen Sie eine Verbindung herstellen, die Transparenz und Steuerung durch Microsoft Defender für Cloud Apps zu verbessern.

Microsoft Defender for Cloud Apps nutzt die vom Cloudanbieter bereitgestellten APIs. Die gesamte Kommunikation zwischen Defender for Cloud Apps und verbundenen Apps wird mit HTTPS verschlüsselt. Jeder Dienst hat seine eigenen Framework- und API-Einschränkungen wie etwa Drosselung, API-Grenzwerte und dynamische API-Fenster mit Zeitversatz. Microsoft Defender for Cloud Apps hat gemeinsam mit den Diensten dafür gesorgt, dass die Nutzung der APIs optimiert wurde und die bestmögliche Leistung bereitgestellt wird. Unter Berücksichtigung verschiedener Einschränkungen, die Dienste den APIs auferlegen, verwenden die Defender for Cloud Apps-Engines die zulässige Kapazität. Einige Vorgänge, z. B. die Überprüfung aller Dateien im Mandanten, erfordern mehrere APIs und werden daher über einen längeren Zeitraum hinweg ausgeführt. Gehen Sie davon aus, dass einige Richtlinien mehrere Stunden oder Tage lang ausgeführt werden.

Unterstützung mehrerer Instanzen

Defender for Cloud Apps unterstützt mehrere Instanzen derselben verbundenen App. Wenn Sie beispielsweise über mehr als eine instance von Salesforce verfügen (eine für Den Vertrieb, eine für Marketing), können Sie beide mit Defender for Cloud Apps verbinden. Sie können die verschiedenen Instanzen über dieselbe Konsole verwalten, um genaue Richtlinien und umfassende Analysen zu erstellen. Diese Unterstützung gilt nur für API-Apps und nicht für Apps, die in der Cloud erkannt wurden, oder Apps, die mit einem Proxy verbunden sind.

Hinweis

Multi-instance wird für Office 365 und Azure nicht unterstützt.

Funktionsweise

Defender for Cloud Apps wird mit Systemadministratorrechten bereitgestellt, um den vollständigen Zugriff auf alle Objekte in Ihrer Umgebung zu ermöglichen.

Der App-Connector-Fluss ist wie folgt:

  1. Defender for Cloud Apps überprüft und speichert Authentifizierungsberechtigungen.

  2. Defender for Cloud Apps fordert die Benutzerliste an. Bei der ersten Ausführung dieser Anforderung kann die Überprüfung eine Weile dauern. Nachdem die Benutzerüberprüfung beendet wurde, wird Defender für Cloud-Apps mit Aktivitäten und Dateien fortgesetzt. Sobald die Überprüfung beginnt, sind einige Aktivitäten in Defender für Cloud-Apps verfügbar.

  3. Nach Erfüllen der Benutzeranforderung überprüft Defender for Cloud Apps in regelmäßigen Abständen Benutzer*innen, Gruppen, Aktivitäten und Dateien. Alle Aktivitäten stehen nach der ersten vollständigen Überprüfung zur Verfügung.

Es kann einige Zeit dauern, bis die Verbindung hergestellt ist. Dies ist abhängig von der Größe des Mandanten, der Anzahl der Benutzer sowie der Größe und Anzahl der Dateien, die überprüft werden müssen.

Abhängig von der App, mit der Sie eine Verbindung herstellen, ermöglicht die API-Verbindung Folgendes:

  • Kontoinformationen: Einblick in Benutzer, Konten, Profilinformationen, Status (gesperrt, aktiv, deaktiviert), Gruppen und Berechtigungen.
  • Überwachungspfad: Einblick in Benutzeraktivitäten, Administratoraktivitäten und Anmeldeaktivitäten
  • Kontogovernance: Möglichkeit zum Sperren von Benutzern, Widerrufen von Kennwörtern etc.
  • App-Berechtigungen: Einblick in ausgestellte Token und deren Berechtigungen.
  • App-Berechtigungsgovernance: Möglichkeit zum Entfernen von Token.
  • Datenüberprüfung: Überprüfen von unstrukturierten Daten mithilfe von zwei Prozessen: in regelmäßigen Abständen (alle 12 Stunden) und in Echtzeit (wird jedes Mal ausgelöst, wenn eine Änderung erkannt wird).
  • Datengovernance: Möglichkeit zum Verschieben von Dateien in die Quarantäne (einschließlich Dateien im Papierkorb) und zum Überschreiben von Dateien

In den folgenden Tabellen sind pro Cloud-App aufgeführt, welche Funktionen mit App-Connectors unterstützt werden:

Hinweis

Da nicht alle App-Connectors alle Funktionen unterstützen, sind einige Zeilen möglicherweise leer.

Benutzer und Aktivitäten

App Auflisten von Konten Auflisten von Gruppen Auflisten von Berechtigungen Anmeldeaktivität Benutzeraktivität Administrative Aktivität
Atlassian
AWS Nicht zutreffend
Azure
Feld
Citrix-Freigabedatei
DocuSign
Dropbox
egnyte
GitHub
GCP Betreff-Google Workspace-Verbindung Betreff-Google Workspace-Verbindung Betreff-Google Workspace-Verbindung Betreff-Google Workspace-Verbindung
Google Workspace ✔ – Google Business oder Enterprise erforderlich
NetDocuments
Office 365
Okta Vom Anbieter nicht unterstützt
OneLogin
Service Now Partial Partial
Salesforce Salesforce Shield-Unterstützung
Puffer
Smartsheet
Webex Vom Anbieter nicht unterstützt
Workday Vom Anbieter nicht unterstützt Vom Anbieter nicht unterstützt Vom Anbieter nicht unterstützt
Workplace by Meta
Zendesk
Zoom

Sichtbarkeit der Benutzer-, App-Governance- und Sicherheitskonfiguration

App Benutzer-Governance Anzeige von App-Berechtigungen Widerrufen von App-Berechtigungen Sichtbarkeit der Sicherheitskonfiguration
Atlassian
AWS Nicht verfügbar Nicht verfügbar
Azure Vom Anbieter nicht unterstützt
Feld Vom Anbieter nicht unterstützt
Citrix Share-Datei Vorschau
DocuSign Vorschau
Dropbox
egnyte
GitHub Vorschau
GCP Betreff-Google Workspace-Verbindung Nicht verfügbar Nicht verfügbar
Google Workspace
NetDocuments
Office 365
Okta Nicht verfügbar Nicht verfügbar Vorschau
OneLogin
Service Now
Salesforce
Puffer
Smartsheet
Webex Nicht verfügbar Nicht verfügbar
Workday Vom Anbieter nicht unterstützt Nicht verfügbar Nicht verfügbar
Workplace by Meta
Zendesk
Zoom Vorschau

Informationsschutz

App DLP: Regelmäßige Backlogüberprüfung DLP: Nahezu in Echtzeit scannen Freigabesteuerelement Dateigovernance Anwenden von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection
Atlassian
AWS ✔ – Nur S3 Bucket-Ermittlung Nicht zutreffend
Azure
Feld
Citrix-Freigabedatei
DocuSign
Dropbox
egnyte
GitHub
GCP Nicht verfügbar Nicht verfügbar Nicht verfügbar Nicht verfügbar Nicht verfügbar
Google Workspace ✔ – erfordert Google Business Enterprise
NetDocuments
Office 365
Okta Nicht verfügbar Nicht verfügbar Nicht verfügbar Nicht verfügbar Nicht verfügbar
OneLogin
Service Now Nicht zutreffend
Salesforce
Puffer
Smartsheet
Webex Nicht zutreffend
Workday Vom Anbieter nicht unterstützt Vom Anbieter nicht unterstützt Vom Anbieter nicht unterstützt Vom Anbieter nicht unterstützt Nicht verfügbar
Workplace by Meta
Zendesk
Zoom

Voraussetzungen

  • Bei einigen Apps kann es erforderlich sein, Listen-IP-Adressen zuzulassen, damit Defender für Cloud-Apps Protokolle sammeln und Zugriff auf die Defender für Cloud Apps-Konsole gewähren kann. Weitere Informationen finden Sie unter Netzwerkanforderungen.

Hinweis

Um Updates abzurufen, wenn URLs und IP-Adressen geändert werden, abonnieren Sie den RSS, wie beschrieben in: URLs und IP-Adressbereiche für Office 365.

ExpressRoute

Defender für Cloud-Apps wird in Azure bereitgestellt und vollständig in ExpressRoute integriert. Alle Interaktionen mit den Defender für Cloud Apps-Apps und dem datenverkehr, der an Defender für Cloud-Apps gesendet wird, einschließlich des Uploads von Ermittlungsprotokollen, werden über ExpressRoute weitergeleitet, um Latenz, Leistung und Sicherheit zu verbessern. Weitere Informationen zum Microsoft-Peering finden Sie unter ExpressRoute-Leitungen und Routingdomänen.

Deaktivieren von App-Connectors

Hinweis

  • Stellen Sie vor dem Deaktivieren eines App-Connectors sicher, dass Die Verbindungsdetails verfügbar sind, da Sie sie benötigen, wenn Sie den Connector erneut aktivieren möchten.
  • Nachdem ein Azure-Connector deaktiviert wurde, kann er nicht mehr aktiviert werden. Wenn der Connector versehentlich deaktiviert ist, wenden Sie sich an den Microsoft-Support.
  • Diese Schritte können nicht verwendet werden, um Apps für die App-Steuerung für bedingten Zugriff und Sicherheitskonfigurations-Apps zu deaktivieren.

So deaktivieren Sie verbundene Apps:

  1. Wählen Sie auf der Seite Verbundene Apps in der entsprechenden Zeile die drei Punkte aus, und wählen Sie App-Connector deaktivieren aus.
  2. Klicken Sie im Popup auf App-Connector deaktivieren instance, um die Aktion zu bestätigen.

Nach der Deaktivierung wird der Connector instance nicht mehr Daten aus dem Connector verwenden.

Erneutes Aktivieren von App-Connectors

So aktivieren Sie verbundene Apps erneut:

  1. Wählen Sie auf der Seite Verbundene Apps in der entsprechenden Zeile die drei Punkte aus, und wählen Sie Einstellungen bearbeiten aus. Dadurch wird der Prozess zum Hinzufügen eines Connectors gestartet.
  2. Fügen Sie den Connector mithilfe der Schritte im entsprechenden API-Connectorhandbuch hinzu. Wenn Sie z. B. GitHub erneut aktivieren, führen Sie die Schritte unter Verbinden von GitHub Enterprise Cloud mit Defender for Cloud Apps aus.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.