Come Defender per il cloud Apps consente di proteggere l'ambiente Microsoft 365
In qualità di suite di produttività principale che offre strumenti di archiviazione, collaborazione, BI e CRM cloud, Microsoft 365 consente agli utenti di condividere i propri documenti in tutta l'organizzazione e i partner in modo semplificato ed efficiente. L'uso di Microsoft 365 può esporre i dati sensibili non solo internamente, ma anche a collaboratori esterni o persino peggio renderli disponibili pubblicamente tramite un collegamento condiviso. Tali eventi possono verificarsi a causa di un attore malintenzionato o di un dipendente non a conoscenza. Microsoft 365 offre anche un sistema eco-system di app di terze parti di grandi dimensioni per aumentare la produttività. L'uso di queste app può esporre l'organizzazione al rischio di app dannose o l'uso di app con autorizzazioni eccessive.
Connessione ing di Microsoft 365 a Defender per il cloud Apps offre informazioni dettagliate migliorate sulle attività degli utenti, fornisce il rilevamento delle minacce usando rilevamenti anomalie basati su Machine Learning, rilevamenti di protezione delle informazioni (ad esempio il rilevamento della condivisione di informazioni esterne), abilita controlli di correzione automatizzati e rileva le minacce da app di terze parti abilitate nell'organizzazione.
Defender per il cloud App si integra direttamente con I log di controllo di Microsoft 365 e forniscono la protezione per tutti i servizi supportati. Per un elenco dei servizi supportati, vedere Servizi di Microsoft 365 che supportano il controllo.
Usare questo connettore di app per accedere alle funzionalità di SSPM (Security Posture Management) SaaS, tramite controlli di sicurezza riflessi in Microsoft Secure Score. Altre informazioni.
Miglioramenti dell'analisi dei file per Microsoft 365
Defender per il cloud App ha aggiunto nuovi miglioramenti per l'analisi dei file per SharePoint e OneDrive:
Velocità di analisi quasi in tempo reale più rapida per i file in SharePoint e OneDrive.
Identificazione migliore per il livello di accesso di un file in SharePoint: il livello di accesso ai file in SharePoint verrà contrassegnato per impostazione predefinita come Interno e non come Privato (poiché ogni file in SharePoint è accessibile dal proprietario del sito e non solo dal proprietario del file).
Nota
Questa modifica potrebbe influire sui criteri dei file (se un criterio di file sta cercando file interni o privati in SharePoint).
Principali minacce
- Account compromessi e minacce interne
- Perdita di dati
- Consapevolezza della sicurezza insufficiente
- App di terze parti dannose
- Malware
- Phishing
- Ransomware
- Unmanaged Bring Your Own Device (BYOD)
Come le app Defender per il cloud aiutano a proteggere l'ambiente
- Rilevare minacce cloud, account compromessi e utenti malintenzionati
- Individuare, classificare, etichettare e proteggere i dati regolamentati e sensibili archiviati nel cloud
- Individuare e gestire app OAuth che hanno accesso all'ambiente
- Applicare criteri di prevenzione della perdita dei dati e conformità per i dati archiviati nel cloud
- Limitare l'esposizione dei dati condivisi e applicare i criteri di collaborazione
- Usare il audit trail delle attività per le indagini forensi
Controllare Microsoft 365 con criteri e modelli di criteri predefiniti
È possibile usare i modelli di criteri predefiniti seguenti per rilevare e notificare potenziali minacce:
| Type | Nome |
|---|---|
| Criteri di rilevamento anomalie predefiniti | Attività da indirizzi IP anonimi Attività da un paese non frequente Attività da indirizzi IP sospetti Comunicazione impossibile Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP) Rilevamento malware Più tentativi di accesso non riusciti Rilevamento ransomware Attività di eliminazione sospetta della posta elettronica (anteprima) Inoltro sospetto per la Posta in arrivo Attività insolite di eliminazione di file Attività insolite di condivisione file Attività insolite di download di più file |
| Modello di criteri attività | Logon from a risky IP address (Accesso da indirizzo IP rischioso) Mass download by a single user (Download di massa da un singolo utente) Potenziale attività ransomware Modifica del livello di accesso (Teams) Utente esterno aggiunto (Teams) Eliminazione di massa (Teams) |
| Modello di criteri file | Rilevare un file condiviso con un dominio non autorizzato Rilevare un file condiviso con indirizzi di posta elettronica personali Rilevare i file con PII/PCI/PHI |
| Criteri di rilevamento anomalie dell'app OAuth | Nome dell'app OAuth fuorviante Nome dell'editore fuorviante per un'app OAuth Consenso dell'app OAuth dannosa |
Per altre informazioni sulla creazione di criteri, vedere Creare un criterio.
Automatizzare i controlli di governance
Oltre al monitoraggio delle potenziali minacce, è possibile applicare e automatizzare le azioni di governance di Microsoft 365 seguenti per correggere le minacce rilevate:
| Type | Azione |
|---|---|
| Governance dei dati | OneDrive: - Ereditare le autorizzazioni della cartella padre - Rendere privato il file o la cartella - Inserire file/cartella in quarantena amministratore - Inserire file/cartella in quarantena utente - File/cartella cestino - Rimuovere un collaboratore specifico - Rimuovere collaboratori esterni in file/cartella - Applicare l'etichetta di riservatezza di Microsoft Purview Information Protection - Rimuovere l'etichetta di riservatezza di Microsoft Purview Information Protection SharePoint: - Ereditare le autorizzazioni della cartella padre - Rendere privato il file o la cartella - Inserire file/cartella in quarantena amministratore - Inserire file/cartella in quarantena utente - Inserire file/cartella in quarantena utente e aggiungere autorizzazioni di proprietario - File/cartella cestino - Rimuovere collaboratori esterni in file/cartella - Rimuovere un collaboratore specifico - Applicare l'etichetta di riservatezza di Microsoft Purview Information Protection - Rimuovere l'etichetta di riservatezza di Microsoft Purview Information Protection |
| Governance dell'utente | - Notifica all'utente all'avviso (tramite Microsoft Entra ID) - Richiedi all'utente di accedere di nuovo (tramite Microsoft Entra ID) - Sospendere l'utente (tramite Microsoft Entra ID) |
| Governance delle app OAuth | - Revocare l'autorizzazione dell'app OAuth |
Per altre informazioni sulla correzione delle minacce dalle app, vedere Governance delle app connesse.
Proteggere Microsoft 365 in tempo reale
Esaminare le procedure consigliate per proteggere e collaborare con utenti esterni e bloccare e proteggere il download di dati sensibili in dispositivi non gestiti o rischiosi.
integrazione di Defender per il cloud Apps con Microsoft 365
Defender per il cloud Apps supporta la piattaforma microsoft 365 dedicata legacy, nonché le offerte più recenti dei servizi di Microsoft 365, comunemente denominata famiglia di versioni vNext di Microsoft 365.
In alcuni casi, una versione del servizio vNext differisce leggermente a livello amministrativo e di gestione rispetto all'offerta standard di Microsoft 365.
Registrazione del controllo
Defender per il cloud App si integra direttamente con I log di controllo di Microsoft 365 ricevono tutti gli eventi controllati da tutti i servizi supportati. Per un elenco dei servizi supportati, vedere Servizi di Microsoft 365 che supportano il controllo.
La registrazione di controllo dell'amministratore di Exchange, abilitata per impostazione predefinita in Microsoft 365, registra un evento nel log di controllo di Microsoft 365 quando un amministratore (o un utente a cui sono stati assegnati privilegi amministrativi) apporta una modifica nell'organizzazione di Exchange Online. Le modifiche effettuate utilizzando il centro di amministrazione di Exchange o eseguendo un cmdlet in Windows PowerShell vengono registrate nel log di controllo amministrazione di Exchange. Per altre informazioni sulla registrazione di controllo amministrazione di Exchange, vedere Registrazione controlli dell'amministratore.
Gli eventi di Exchange, Power BI e Teams verranno visualizzati solo dopo che le attività di tali servizi vengono rilevate nel portale.
Le distribuzioni con più aree geografiche sono supportate solo per OneDrive
Integrazione di Microsoft Entra
Se l'ID Microsoft Entra è impostato per la sincronizzazione automatica con gli utenti nell'ambiente locale di Active Directory, le impostazioni nell'ambiente locale sostituiscono le impostazioni di Microsoft Entra e l'uso dell'azione Sospendi governance utente viene ripristinata.
Per le attività di accesso di Microsoft Entra, Defender per il cloud Apps visualizza solo attività di accesso interattive e attività di accesso da protocolli legacy come ActiveSync. Le attività di accesso non interattive possono essere visualizzate nel log di controllo di Microsoft Entra.
Se app Office sono abilitati, anche i gruppi che fanno parte di Microsoft 365 vengono importati in app Defender per il cloud dalle app Office specifiche, ad esempio se SharePoint è abilitato, anche i gruppi di Microsoft 365 vengono importati come gruppi di SharePoint.
Supporto per la quarantena
In SharePoint e OneDrive Defender per il cloud Apps supporta la quarantena utente solo per i file nelle raccolte documenti condivisi (SharePoint Online) e nei file nella raccolta documenti (OneDrive for Business).
In SharePoint Defender per il cloud App supporta le attività di quarantena solo per i file con documenti condivisi nel percorso in inglese.
Connessione Microsoft 365 alle app di Microsoft Defender per il cloud
Questa sezione fornisce istruzioni per connettere Microsoft Defender per il cloud Apps all'account Microsoft 365 esistente usando l'API del connettore app. Questa connessione offre visibilità e controllo sull'uso di Microsoft 365. Per informazioni su come Defender per il cloud Apps protegge Microsoft 365, vedere Proteggere Microsoft 365.
Usare questo connettore di app per accedere alle funzionalità di SSPM (Security Posture Management) SaaS, tramite controlli di sicurezza riflessi in Microsoft Secure Score. Altre informazioni.
Prerequisiti:
È necessario avere almeno una licenza di Microsoft 365 assegnata per connettere Microsoft 365 ad Defender per il cloud Apps.
Per abilitare il monitoraggio delle attività di Microsoft 365 in Defender per il cloud Apps, è necessario abilitare il controllo nel Portale di conformità di Microsoft Purview.
La registrazione di controllo delle cassette postali di Exchange deve essere attivata per la cassetta postale di ogni utente prima che venga registrata l'attività dell'utente in Exchange Online. Vedere Attività su cassette postali di Exchange.
È necessario abilitare il controllo in Power BI per ottenere i log da questa posizione. Dopo aver abilitato il controllo, Defender per il cloud App inizia a ottenere i log (con un ritardo di 24-72 ore).
È necessario abilitare il controllo in Dynamics 365 per ottenere i log da questa posizione. Dopo aver abilitato il controllo, Defender per il cloud App inizia a ottenere i log (con un ritardo di 24-72 ore).
Per connettere Microsoft 365 ad Defender per il cloud Apps:
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors.
Nella pagina Connettore app selezionare +Connessione un'app e quindi selezionare Microsoft 365.
Nella pagina Seleziona componenti di Microsoft 365 selezionare le opzioni necessarie e quindi selezionare Connessione.
Nota
- Per una migliore protezione, è consigliabile selezionare tutti i componenti di Microsoft 365.
- Il componente File di Azure AD richiede il componente attività di Azure AD e il monitoraggio dei file di Defender per il cloud Apps (Impostazioni> Cloud Apps>Files>Enable file monitoring).
Nella pagina Segui il collegamento selezionare Connessione Microsoft 365.
Dopo aver visualizzato Microsoft 365 come connesso correttamente, selezionare Fine.
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors. Verificare che lo stato dell'Connessione or dell'app connessa sia Connessione.
I dati di SSPM (Security Posture Management) SaaS vengono visualizzati nel portale di Microsoft Defender nella pagina Punteggio di sicurezza. Per altre informazioni, vedere Gestione del comportamento di sicurezza per le app SaaS.
Nota
Dopo la connessione a Microsoft 365, verranno visualizzati i dati di una settimana, incluse le applicazioni di terze parti connesse a Microsoft 365 che eseguono il pull delle API. Per le app di terze parti che non estraggono LE API prima della connessione, vengono visualizzati gli eventi dal momento in cui ci si connette a Microsoft 365 perché Defender per il cloud Apps attiva tutte le API disattivate per impostazione predefinita.
In caso di problemi di connessione dell'app, vedere Risoluzione dei problemi relativi ai Connessione ors dell'app.
Passaggi successivi
Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.