Condividi tramite


Come Defender per il cloud Apps consente di proteggere l'ambiente Microsoft 365

In qualità di suite di produttività principale che offre strumenti di archiviazione, collaborazione, BI e CRM cloud, Microsoft 365 consente agli utenti di condividere i propri documenti in tutta l'organizzazione e i partner in modo semplificato ed efficiente. L'uso di Microsoft 365 può esporre i dati sensibili non solo internamente, ma anche a collaboratori esterni o persino peggio renderli disponibili pubblicamente tramite un collegamento condiviso. Tali eventi possono verificarsi a causa di un attore malintenzionato o di un dipendente non a conoscenza. Microsoft 365 offre anche un sistema eco-system di app di terze parti di grandi dimensioni per aumentare la produttività. L'uso di queste app può esporre l'organizzazione al rischio di app dannose o l'uso di app con autorizzazioni eccessive.

La connessione di Microsoft 365 a Defender per il cloud Apps offre informazioni dettagliate migliorate sulle attività degli utenti, fornisce il rilevamento delle minacce usando rilevamenti anomalie basati su Machine Learning, rilevamenti di protezione delle informazioni (ad esempio il rilevamento della condivisione di informazioni esterne), consente controlli di correzione automatizzati e rileva le minacce dalle app di terze parti abilitate nell'organizzazione.

Defender per il cloud App si integra direttamente con I log di controllo di Microsoft 365 e forniscono la protezione per tutti i servizi supportati. Per un elenco dei servizi supportati, vedere Servizi di Microsoft 365 che supportano il controllo.

Usare questo connettore di app per accedere alle funzionalità di SSPM (Security Posture Management) SaaS, tramite controlli di sicurezza riflessi in Microsoft Secure Score. Altre informazioni.

Miglioramenti dell'analisi dei file per Microsoft 365

Defender per il cloud App ha aggiunto nuovi miglioramenti per l'analisi dei file per SharePoint e OneDrive:

  • Velocità di analisi quasi in tempo reale più rapida per i file in SharePoint e OneDrive.

  • Identificazione migliore per il livello di accesso di un file in SharePoint: il livello di accesso ai file in SharePoint verrà contrassegnato per impostazione predefinita come Interno e non come Privato (poiché ogni file in SharePoint è accessibile dal proprietario del sito e non solo dal proprietario del file).

    Nota

    Questa modifica potrebbe influire sui criteri dei file (se un criterio di file sta cercando file interni o privati in SharePoint).

Principali minacce

  • Account compromessi e minacce interne
  • Perdita di dati
  • Consapevolezza della sicurezza insufficiente
  • App di terze parti dannose
  • Malware
  • Phishing
  • Ransomware
  • Unmanaged Bring Your Own Device (BYOD)

Come le app Defender per il cloud aiutano a proteggere l'ambiente

Controllare Microsoft 365 con criteri e modelli di criteri predefiniti

È possibile usare i modelli di criteri predefiniti seguenti per rilevare e notificare potenziali minacce:

Type Nome
Criteri di rilevamento anomalie predefiniti Attività da indirizzi IP anonimi
Attività da un paese non frequente
Attività da indirizzi IP sospetti
Comunicazione impossibile
Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP)
Rilevamento malware
Più tentativi di accesso non riusciti
Rilevamento ransomware
Attività di eliminazione sospetta della posta elettronica (anteprima)
Inoltro sospetto per la Posta in arrivo
Attività insolite di eliminazione di file
Attività insolite di condivisione file
Attività insolite di download di più file
Modello di criteri attività Logon from a risky IP address (Accesso da indirizzo IP rischioso)
Mass download by a single user (Download di massa da un singolo utente)
Potenziale attività ransomware
Modifica del livello di accesso (Teams)
Utente esterno aggiunto (Teams)
Eliminazione di massa (Teams)
Modello di criteri file Rilevare un file condiviso con un dominio non autorizzato
Rilevare un file condiviso con indirizzi di posta elettronica personali
Rilevare i file con PII/PCI/PHI
Criteri di rilevamento anomalie dell'app OAuth Nome dell'app OAuth fuorviante
Nome dell'editore fuorviante per un'app OAuth
Consenso dell'app OAuth dannosa

Per altre informazioni sulla creazione di criteri, vedere Creare un criterio.

Automatizzare i controlli di governance

Oltre al monitoraggio delle potenziali minacce, è possibile applicare e automatizzare le azioni di governance di Microsoft 365 seguenti per correggere le minacce rilevate:

Type Azione
Governance dei dati OneDrive:
- Ereditare le autorizzazioni della cartella padre
- Rendere privato il file o la cartella
- Inserire file/cartella in quarantena amministratore
- Inserire file/cartella in quarantena utente
- File/cartella cestino
- Rimuovere un collaboratore specifico
- Rimuovere collaboratori esterni in file/cartella
- Applicare l'etichetta di riservatezza di Microsoft Purview Information Protection
- Rimuovere l'etichetta di riservatezza di Microsoft Purview Information Protection
SharePoint:
- Ereditare le autorizzazioni della cartella padre
- Rendere privato il file o la cartella
- Inserire file/cartella in quarantena amministratore
- Inserire file/cartella in quarantena utente
- Inserire file/cartella in quarantena utente e aggiungere autorizzazioni di proprietario
- File/cartella cestino
- Rimuovere collaboratori esterni in file/cartella
- Rimuovere un collaboratore specifico
- Applicare l'etichetta di riservatezza di Microsoft Purview Information Protection
- Rimuovere l'etichetta di riservatezza di Microsoft Purview Information Protection
Governance dell'utente - Notifica all'utente all'avviso (tramite Microsoft Entra ID)
- Richiedi all'utente di accedere di nuovo (tramite Microsoft Entra ID)
- Sospendere l'utente (tramite Microsoft Entra ID)
Governance delle app OAuth - Revocare l'autorizzazione dell'app OAuth

Per altre informazioni sulla correzione delle minacce dalle app, vedere Governance delle app connesse.

Proteggere Microsoft 365 in tempo reale

Esaminare le procedure consigliate per proteggere e collaborare con utenti esterni e bloccare e proteggere il download di dati sensibili in dispositivi non gestiti o rischiosi.

integrazione di Defender per il cloud Apps con Microsoft 365

Defender per il cloud Apps supporta la piattaforma microsoft 365 dedicata legacy, nonché le offerte più recenti dei servizi di Microsoft 365, comunemente denominata famiglia di versioni vNext di Microsoft 365.

In alcuni casi, una versione del servizio vNext differisce leggermente a livello amministrativo e di gestione rispetto all'offerta standard di Microsoft 365.

Registrazione del controllo

Defender per il cloud App si integra direttamente con I log di controllo di Microsoft 365 ricevono tutti gli eventi controllati da tutti i servizi supportati. Per un elenco dei servizi supportati, vedere Servizi di Microsoft 365 che supportano il controllo.

  • La registrazione di controllo dell'amministratore di Exchange, abilitata per impostazione predefinita in Microsoft 365, registra un evento nel log di controllo di Microsoft 365 quando un amministratore (o un utente a cui sono stati assegnati privilegi amministrativi) apporta una modifica nell'organizzazione di Exchange Online. Le modifiche effettuate utilizzando il centro di amministrazione di Exchange o eseguendo un cmdlet in Windows PowerShell vengono registrate nel log di controllo amministrazione di Exchange. Per altre informazioni sulla registrazione di controllo amministrazione di Exchange, vedere Registrazione controlli dell'amministratore.

  • Gli eventi di Exchange, Power BI e Teams verranno visualizzati solo dopo che le attività di tali servizi vengono rilevate nel portale.

  • Le distribuzioni con più aree geografiche sono supportate solo per OneDrive

Integrazione di Microsoft Entra

  • Se l'ID Microsoft Entra è impostato per la sincronizzazione automatica con gli utenti nell'ambiente locale di Active Directory, le impostazioni nell'ambiente locale sostituiscono le impostazioni di Microsoft Entra e l'uso dell'azione Sospendi governance utente viene ripristinata.

  • Per le attività di accesso di Microsoft Entra, Defender per il cloud Apps visualizza solo attività di accesso interattive e attività di accesso da protocolli legacy come ActiveSync. Le attività di accesso non interattive possono essere visualizzate nel log di controllo di Microsoft Entra.

  • Se app Office sono abilitati, anche i gruppi che fanno parte di Microsoft 365 vengono importati in app Defender per il cloud dalle app Office specifiche, ad esempio se SharePoint è abilitato, anche i gruppi di Microsoft 365 vengono importati come gruppi di SharePoint.

Supporto per la quarantena

  • In SharePoint e OneDrive Defender per il cloud Apps supporta la quarantena utente solo per i file nelle raccolte documenti condivisi (SharePoint Online) e nei file nella raccolta documenti (OneDrive for Business).

  • In SharePoint Defender per il cloud App supporta le attività di quarantena solo per i file con documenti condivisi nel percorso in inglese.

Connettere Microsoft 365 ad Microsoft Defender per il cloud Apps

Questa sezione fornisce istruzioni per connettere Microsoft Defender per il cloud Apps all'account Microsoft 365 esistente usando l'API del connettore app. Questa connessione offre visibilità e controllo sull'uso di Microsoft 365. Per informazioni su come Defender per il cloud Apps protegge Microsoft 365, vedere Proteggere Microsoft 365.

Usare questo connettore di app per accedere alle funzionalità di SSPM (Security Posture Management) SaaS, tramite controlli di sicurezza riflessi in Microsoft Secure Score. Altre informazioni.

Prerequisiti:

  • È necessario avere almeno una licenza di Microsoft 365 assegnata per connettere Microsoft 365 ad Defender per il cloud Apps.

  • Per abilitare il monitoraggio delle attività di Microsoft 365 in Defender per il cloud Apps, è necessario abilitare il controllo in Microsoft Purview.

  • La registrazione di controllo delle cassette postali di Exchange deve essere attivata per la cassetta postale di ogni utente prima che venga registrata l'attività dell'utente in Exchange Online. Vedere Attività su cassette postali di Exchange.

  • È necessario abilitare il controllo in Power BI per ottenere i log da questa posizione. Dopo aver abilitato il controllo, Defender per il cloud App inizia a ottenere i log (con un ritardo di 24-72 ore).

  • È necessario abilitare il controllo in Dynamics 365 per ottenere i log da questa posizione. Dopo aver abilitato il controllo, Defender per il cloud App inizia a ottenere i log (con un ritardo di 24-72 ore).

Per connettere Microsoft 365 ad Defender per il cloud Apps:

  1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse selezionare Connettori app.

  2. Nella pagina Connettore app selezionare +Connetti un'app e quindi selezionare Microsoft 365.

    Opzione di menu Connect O365 ( Connetti office 365).

  3. Nella pagina Seleziona componenti di Microsoft 365 selezionare le opzioni necessarie e quindi selezionare Connetti.

    Nota

    • Per una migliore protezione, è consigliabile selezionare tutti i componenti di Microsoft 365.
    • Il componente file di Azure AD richiede il componente attività di Azure AD e Defender per il cloud il monitoraggio dei file delle app (Impostazioni>file>delle app>cloud Abilita il monitoraggio dei file).

    connettere i componenti di O365.

  4. Nella pagina Segui il collegamento selezionare Connetti Microsoft 365.

  5. Dopo aver visualizzato Microsoft 365 come connesso correttamente, selezionare Fine.

  6. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse selezionare Connettori app. Verificare che lo stato del connettore app connesso sia Connesso.

I dati di SSPM (Security Posture Management) SaaS vengono visualizzati nel portale di Microsoft Defender nella pagina Punteggio di sicurezza. Per altre informazioni, vedere Gestione del comportamento di sicurezza per le app SaaS.

Nota

Dopo la connessione a Microsoft 365, verranno visualizzati i dati di una settimana, incluse le applicazioni di terze parti connesse a Microsoft 365 che eseguono il pull delle API. Per le app di terze parti che non estraggono LE API prima della connessione, vengono visualizzati gli eventi dal momento in cui ci si connette a Microsoft 365 perché Defender per il cloud Apps attiva tutte le API disattivate per impostazione predefinita.

In caso di problemi di connessione dell'app, vedere Risoluzione dei problemi relativi ai connettori app.

Passaggi successivi

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.