Cara aplikasi Defender untuk Cloud membantu melindungi lingkungan Microsoft 365 Anda

Sebagai rangkaian produktivitas utama yang menyediakan penyimpanan file cloud, kolaborasi, BI, dan alat CRM, Microsoft 365 memungkinkan pengguna Anda berbagi dokumen mereka di seluruh organisasi dan mitra Anda dengan cara yang efisien dan efisien. Menggunakan Microsoft 365 dapat mengekspos data sensitif Anda tidak hanya secara internal, tetapi juga untuk kolaborator eksternal, atau bahkan lebih buruk membuatnya tersedia untuk umum melalui tautan bersama. Insiden tersebut mungkin terjadi karena aktor jahat, atau oleh karyawan yang tidak sadar. Microsoft 365 juga menyediakan sistem eko aplikasi pihak ketiga besar untuk membantu meningkatkan produktivitas. Menggunakan aplikasi ini dapat mengekspos organisasi Anda terhadap risiko aplikasi berbahaya atau penggunaan aplikasi dengan izin yang berlebihan.

Koneksi Microsoft 365 ke Defender untuk Cloud Apps memberi Anda wawasan yang ditingkatkan tentang aktivitas pengguna Anda, menyediakan deteksi ancaman menggunakan deteksi anomali berbasis pembelajaran mesin, deteksi perlindungan informasi (seperti mendeteksi berbagi informasi eksternal), memungkinkan kontrol remediasi otomatis, dan mendeteksi ancaman dari aplikasi pihak ketiga yang diaktifkan di organisasi Anda.

Defender untuk Cloud Apps terintegrasi langsung dengan Log audit Microsoft 365 dan memberikan perlindungan untuk semua layanan yang didukung. Untuk daftar layanan yang didukung, lihat layanan Microsoft 365 yang mendukung audit.

Gunakan konektor aplikasi ini untuk mengakses fitur SaaS Security Posture Management (SSPM), melalui kontrol keamanan yang tercermin dalam Skor Aman Microsoft. Pelajari selengkapnya.

Peningkatan pemindaian file untuk Microsoft 365

Defender untuk Cloud Apps telah menambahkan penyempurnaan pemindaian file baru untuk SharePoint dan OneDrive:

• Kecepatan pemindaian mendekati real-time yang lebih cepat untuk file di SharePoint dan OneDrive.

• Identifikasi yang lebih baik untuk tingkat akses file di SharePoint: tingkat akses file di SharePoint akan ditandai secara default sebagai Internal, dan bukan sebagai Privat (karena setiap file di SharePoint dapat diakses oleh pemilik situs, dan tidak hanya oleh pemilik file).

  Catatan

  Perubahan ini dapat memengaruhi kebijakan file Anda (jika kebijakan file mencari file Internal atau Privat di SharePoint).

Ancaman utama

• Akun yang disusupi dan ancaman orang dalam
• Kebocoran data
• Kesadaran keamanan tidak memadai
• Aplikasi pihak ketiga berbahaya
• Malware
• Pengelabuan
• Ransomware
• Tidak terkelola bawa perangkat Anda sendiri (BYOD)

Bagaimana aplikasi Defender untuk Cloud membantu melindungi lingkungan Anda

• Mendeteksi ancaman cloud, akun yang disusupi, dan orang dalam berbahaya
• Menemukan, mengklasifikasikan, memberi label, dan melindungi data yang diatur dan sensitif yang disimpan di cloud
• Menemukan dan mengelola aplikasi OAuth yang memiliki akses ke lingkungan Anda
• Menerapkan kebijakan DLP dan kepatuhan untuk data yang disimpan di cloud
• Membatasi paparan data bersama dan menerapkan kebijakan kolaborasi
• Menggunakan jejak audit aktivitas untuk investigasi forensik

Mengontrol Microsoft 365 dengan kebijakan bawaan dan templat kebijakan

Anda dapat menggunakan templat kebijakan bawaan berikut untuk mendeteksi dan memberi tahu Anda tentang potensi ancaman:

Jenis	Nama
Kebijakan deteksi anomali bawaan	Aktivitas dari alamat IP anonim Aktivitas dari negara yang jarang Aktivitas dari alamat IP yang mencurigakan Perjalanan yang tidak memungkinkan Aktivitas yang dilakukan oleh pengguna yang dihentikan (memerlukan ID Microsoft Entra sebagai IdP) Deteksi malware Beberapa upaya masuk yang gagal Deteksi ransomware Aktivitas penghapusan email yang mencurigakan (Pratinjau) Penerusan kotak masuk yang mencurigakan Aktivitas penghapusan file yang tidak biasa Aktivitas berbagi file yang tidak biasa Beberapa aktivitas pengunduhan file yang tidak biasa
Templat kebijakan aktivitas	Masuk dari alamat IP berisiko Unduhan massal oleh satu pengguna Potensi aktivitas ransomware Perubahan tingkat akses (Teams) Pengguna eksternal ditambahkan (Teams) Penghapusan massal (Teams)
Templat kebijakan file	Mendeteksi file yang dibagikan dengan domain yang tidak sah Mendeteksi file yang dibagikan dengan alamat email pribadi Mendeteksi file dengan PII/PCI/PHI
Kebijakan deteksi anomali aplikasi OAuth	Nama aplikasi OAuth menyesatkan Nama penerbit untuk aplikasi OAuth menyesatkan Persetujuan aplikasi OAuth berbahaya

Untuk informasi selengkapnya tentang membuat kebijakan, lihat Membuat kebijakan.

Mengotomatiskan kontrol tata kelola

Selain memantau potensi ancaman, Anda dapat menerapkan dan mengotomatiskan tindakan tata kelola Microsoft 365 berikut untuk memulihkan ancaman yang terdeteksi:

Jenis	Perbuatan
Tata kelola data	OneDrive: - Mewarisi izin folder induk - Membuat file/folder privat - Menempatkan file/folder di karantina admin - Menempatkan file/folder di karantina pengguna - File/folder sampah - Menghapus kolaborator tertentu - Hapus kolaborator eksternal pada file/folder - Terapkan label sensitivitas Perlindungan Informasi Microsoft Purview - Menghapus label sensitivitas Perlindungan Informasi Microsoft Purview Sharepoint: - Mewarisi izin folder induk - Membuat file/folder privat - Menempatkan file/folder di karantina admin - Menempatkan file/folder di karantina pengguna - Letakkan file/folder di karantina pengguna dan tambahkan izin pemilik - File/folder sampah - Hapus kolaborator eksternal pada file/folder - Menghapus kolaborator tertentu - Terapkan label sensitivitas Perlindungan Informasi Microsoft Purview - Menghapus label sensitivitas Perlindungan Informasi Microsoft Purview
Tata kelola pengguna	- Beri tahu pengguna tentang pemberitahuan (melalui ID Microsoft Entra) - Mengharuskan pengguna untuk masuk lagi (melalui ID Microsoft Entra) - Menangguhkan pengguna (melalui MICROSOFT Entra ID)
Tata kelola aplikasi OAuth	- Mencabut izin aplikasi OAuth

Untuk informasi selengkapnya tentang memulihkan ancaman dari aplikasi, lihat Mengatur aplikasi yang terhubung.

Melindungi Microsoft 365 secara real time

Tinjau praktik terbaik kami untuk mengamankan dan berkolaborasi dengan pengguna eksternal dan memblokir dan melindungi pengunduhan data sensitif ke perangkat yang tidak dikelola atau berisiko.

Integrasi aplikasi Defender untuk Cloud dengan Microsoft 365

Defender untuk Cloud Apps mendukung Platform Khusus Microsoft 365 warisan serta penawaran terbaru layanan Microsoft 365, biasanya disebut sebagai keluarga rilis vNext Microsoft 365.

Dalam beberapa kasus, rilis layanan vNext sedikit berbeda pada tingkat administratif dan manajemen dari penawaran Microsoft 365 standar.

Penglogan Audit

Defender untuk Cloud Apps terintegrasi langsung dengan Log audit Microsoft 365 dan menerima semua peristiwa yang diaudit dari semua layanan yang didukung. Untuk daftar layanan yang didukung, lihat layanan Microsoft 365 yang mendukung audit.

• Pengelogan audit administrator Exchange, yang diaktifkan secara default di Microsoft 365, mencatat peristiwa di log audit Microsoft 365 saat administrator (atau pengguna yang telah diberi hak administratif) membuat perubahan di organisasi Exchange Online Anda. Perubahan yang dilakukan menggunakan pusat admin Exchange atau dengan menjalankan cmdlet di Windows PowerShell dicatat dalam log audit admin Exchange. Untuk informasi selengkapnya tentang pengelogan audit admin di Exchange, lihat Pengelogan audit administrator.

• Peristiwa dari Exchange, Power BI, dan Teams hanya akan muncul setelah aktivitas dari layanan tersebut terdeteksi di portal.

• Penyebaran multi-geo hanya didukung untuk OneDrive

Integrasi Microsoft Entra

• Jika ID Microsoft Entra Anda diatur untuk secara otomatis disinkronkan dengan pengguna di lingkungan lokal Active Directory Anda, pengaturan di lingkungan lokal mengambil alih pengaturan Microsoft Entra dan penggunaan tindakan Tangguhkan tata kelola pengguna dikembalikan.

• Untuk aktivitas masuk Microsoft Entra, Defender untuk Cloud Apps hanya menampilkan aktivitas masuk interaktif dan aktivitas masuk dari protokol warisan seperti ActiveSync. Aktivitas masuk non-interaktif dapat dilihat di log audit Microsoft Entra.

• Jika aplikasi Office diaktifkan, grup yang merupakan bagian dari Microsoft 365 juga diimpor ke aplikasi Defender untuk Cloud dari aplikasi Office tertentu, misalnya, jika SharePoint diaktifkan, grup Microsoft 365 juga diimpor sebagai grup SharePoint.

Dukungan karantina

• Di SharePoint dan OneDrive, aplikasi Defender untuk Cloud mendukung karantina pengguna hanya untuk file di pustaka Dokumen Bersama (SharePoint Online) dan file di pustaka Dokumen (OneDrive for Business).

• Di SharePoint, Defender untuk Cloud Apps hanya mendukung tugas karantina untuk file dengan Dokumen Bersama dalam jalur dalam bahasa Inggris.

Koneksi Aplikasi Microsoft 365 ke Microsoft Defender untuk Cloud

Bagian ini menyediakan instruksi untuk menyambungkan aplikasi Microsoft Defender untuk Cloud ke akun Microsoft 365 yang sudah ada menggunakan API konektor aplikasi. Koneksi ini memberi Anda visibilitas ke dalam dan kontrol atas penggunaan Microsoft 365. Untuk informasi tentang cara aplikasi Defender untuk Cloud melindungi Microsoft 365, lihat Melindungi Microsoft 365.

Gunakan konektor aplikasi ini untuk mengakses fitur SaaS Security Posture Management (SSPM), melalui kontrol keamanan yang tercermin dalam Skor Aman Microsoft. Pelajari selengkapnya.

Prasyarat:

• Anda harus memiliki setidaknya satu lisensi Microsoft 365 yang ditetapkan untuk menyambungkan Microsoft 365 ke aplikasi Defender untuk Cloud.

• Untuk mengaktifkan pemantauan aktivitas Microsoft 365 di aplikasi Defender untuk Cloud, Anda diharuskan mengaktifkan audit di portal kepatuhan Microsoft Purview.

• Pengelogan audit Kotak Surat Exchange harus diaktifkan untuk setiap kotak surat pengguna sebelum aktivitas pengguna di Exchange Online dicatat, lihat Aktivitas Kotak Surat Exchange.

• Anda harus mengaktifkan audit di Power BI untuk mendapatkan log dari sana. Setelah audit diaktifkan, Defender untuk Cloud Apps mulai mendapatkan log (dengan penundaan 24-72 jam).

• Anda harus mengaktifkan audit di Dynamics 365 untuk mendapatkan log dari sana. Setelah audit diaktifkan, Defender untuk Cloud Apps mulai mendapatkan log (dengan penundaan 24-72 jam).

Untuk menyambungkan Microsoft 365 ke aplikasi Defender untuk Cloud:

1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps. Di bawah aplikasi yang Koneksi, pilih App Koneksi ors.

2. Di halaman Konektor aplikasi, pilih +Koneksi aplikasi, lalu pilih Microsoft 365.

   

3. Di halaman Pilih komponen Microsoft 365, pilih opsi yang Anda butuhkan, lalu pilih Koneksi.

   Catatan

   • Untuk perlindungan terbaik, sebaiknya pilih semua komponen Microsoft 365.
   • Komponen file Azure AD, memerlukan komponen aktivitas Azure AD dan pemantauan file Defender untuk Cloud Apps (Pengaturan> Cloud Apps>Files>Enable file monitoring).

   

4. Pada halaman Ikuti tautan, pilih Koneksi Microsoft 365.

5. Setelah Microsoft 365 ditampilkan sebagai berhasil tersambung, pilih Selesai.

6. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps. Di bawah aplikasi yang Koneksi, pilih App Koneksi ors. Pastikan status App Koneksi or yang tersambung Koneksi.

Data SaaS Security Posture Management (SSPM) ditampilkan di Portal Pertahanan Microsoft pada halaman Skor Aman. Untuk informasi selengkapnya, lihat Manajemen postur keamanan untuk aplikasi SaaS.

Catatan

Setelah menyambungkan Microsoft 365, Anda akan melihat data dari seminggu ke belakang termasuk aplikasi pihak ketiga yang terhubung ke Microsoft 365 yang menarik API. Untuk aplikasi pihak ketiga yang tidak menarik API sebelum koneksi, Anda akan melihat peristiwa sejak Anda menyambungkan Microsoft 365 karena aplikasi Defender untuk Cloud mengaktifkan API apa pun yang telah dinonaktifkan secara default.

Jika Anda mengalami masalah saat menyambungkan aplikasi, lihat Pemecahan Masalah Koneksi or Aplikasi.

Langkah berikutnya

Mengontrol aplikasi cloud dengan kebijakan

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.