Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
App-connectors gebruiken de API's van app-providers om meer zichtbaarheid en controle mogelijk te maken door Microsoft Defender for Cloud Apps over de apps waarmee u verbinding maakt.
Microsoft Defender for Cloud Apps maakt gebruik van de API's van de cloudprovider. Alle communicatie tussen Defender for Cloud Apps en verbonden apps wordt versleuteld met behulp van HTTPS. Elke service heeft zijn eigen framework en API-beperkingen, zoals beperking, API-limieten, dynamische tijdverschoven API-vensters en andere. Microsoft Defender for Cloud Apps werkt met de services om het gebruik van de API's te optimaliseren en de beste prestaties te bieden. Rekening houdend met de verschillende beperkingen die services aan de API's opleggen, gebruiken de Microsoft Defender for Cloud Apps engines de toegestane capaciteit. Voor sommige bewerkingen, zoals het scannen van alle bestanden in de tenant, zijn talloze API's vereist, zodat ze over een langere periode worden verspreid. Verwacht dat sommige beleidsregels enkele uren of dagen worden uitgevoerd.
Belangrijk
Vanaf 1 september 2024 heeft Microsoft de Files-pagina van Microsoft Defender for Cloud Apps afgeschaft. Zie Bestandsbeleid in Microsoft Defender for Cloud Apps voor meer informatie.
Ondersteuning voor meerdere exemplaren
Defender for Cloud Apps ondersteunt meerdere exemplaren van dezelfde verbonden app. Als u bijvoorbeeld meer dan één instantie van Salesforce hebt (één voor verkoop, één voor marketing), kunt u beide verbinden met Defender for Cloud Apps. U kunt de verschillende exemplaren beheren vanuit dezelfde console om gedetailleerd beleid te maken en dieper onderzoek te doen. Deze ondersteuning is alleen van toepassing op apps die zijn verbonden met api's, niet op cloud-gedetecteerde apps of met proxy verbonden apps.
Opmerking
Meerdere exemplaren worden niet ondersteund voor Microsoft 365 en Azure.
Hoe het werkt
Defender for Cloud Apps wordt geïmplementeerd met systeembeheerdersbevoegdheden om volledige toegang tot alle objecten in uw omgeving toe te staan.
De App Connector-stroom is als volgt:
- Defender for Cloud Apps scant en slaat verificatiemachtigingen op.
- Defender for Cloud Apps vraagt de gebruikerslijst aan. De eerste keer dat de aanvraag wordt ingediend, kan het even duren voordat de scan is voltooid. Nadat de scan van de gebruiker is voltooid, gaat Defender for Cloud Apps verder met activiteiten en bestanden. Zodra de scan begint, zijn sommige activiteiten beschikbaar in Defender for Cloud Apps.
- Na voltooiing van de gebruikersaanvraag scant Defender for Cloud Apps periodiek gebruikers, groepen, activiteiten en bestanden. Alle activiteiten zijn beschikbaar na de eerste volledige scan.
Deze verbinding kan enige tijd duren, afhankelijk van de grootte van de tenant, het aantal gebruikers en de grootte en het aantal bestanden dat moet worden gescand.
Afhankelijk van de app waarmee u verbinding maakt, schakelt API-verbinding de volgende items in:
- Accountgegevens : inzicht in gebruikers, accounts, profielgegevens, statusgroepen (onderbroken, actief, uitgeschakeld) en bevoegdheden.
- Audittrail : inzicht in gebruikersactiviteiten, beheerdersactiviteiten, aanmeldingsactiviteiten.
- Accountbeheer : de mogelijkheid om gebruikers te onderbreken, wachtwoorden in te trekken en meer.
- App-machtigingen : inzicht in uitgegeven tokens en hun machtigingen.
- App-machtigingsbeheer : mogelijkheid om tokens te verwijderen.
- Gegevensscan : scannen van ongestructureerde gegevens met behulp van twee processen - periodiek (elke 12 uur) en in realtime scannen (geactiveerd telkens wanneer een wijziging wordt gedetecteerd).
- Gegevensbeheer : de mogelijkheid om bestanden, inclusief bestanden in de prullenbak, in quarantaine te plaatsen en bestanden te overschrijven.
In de volgende tabellen ziet u per cloud-app welke mogelijkheden worden ondersteund met app-connectors:
Opmerking
Omdat niet alle app-connectors alle mogelijkheden ondersteunen, zijn sommige rijen mogelijk leeg.
Gebruikers en activiteiten
| App | Accounts weergeven | Lijstgroepen | Bevoegdheden weergeven | Aanmeldingsactiviteit | Gebruikersactiviteit | Beheeractiviteit |
|---|---|---|---|---|---|---|
| Asana | ✔ | ✔ | ✔ | |||
| Atlassian | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | Niet van toepassing | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| Vak | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | ||||||
| DocuSign | Ondersteund met DocuSign Monitor | Ondersteund met DocuSign Monitor | Ondersteund met DocuSign Monitor | Ondersteund met DocuSign Monitor | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| GitHub | ✔ | ✔ | ✔ | ✔ | ||
| GCP | Google Workspace-verbinding onderwerp | Google Workspace-verbinding onderwerp | Google Workspace-verbinding onderwerp | Google Workspace-verbinding onderwerp | ✔ | ✔ |
| Google Workspace | ✔ | ✔ | ✔ | ✔ | ✔ - vereist Google Business of Enterprise | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Miro | ✔ | ✔ | ✔ | |||
| Muurschildering | ✔ | ✔ | ✔ | |||
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Okta | ✔ | Niet ondersteund door provider | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | Gedeeltelijke | Gedeeltelijke |
| Salesforce | Ondersteund met Salesforce Shield | Ondersteund met Salesforce Shield | Ondersteund met Salesforce Shield | Ondersteund met Salesforce Shield | Ondersteund met Salesforce Shield | Ondersteund met Salesforce Shield |
| Slack | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | Niet ondersteund door provider | ||
| Werkdag | ✔ | Niet ondersteund door provider | Niet ondersteund door provider | ✔ | ✔ | Niet ondersteund door provider |
| Workplace by Meta | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zoom |
Zichtbaarheid van gebruikers- en app-beheer en beveiligingsconfiguratie
| App | Gebruikersbeheer | App-machtigingen weergeven | App-machtigingen intrekken | SaaS Security Posture Management (SSPM) |
|---|---|---|---|---|
| Asana | ||||
| Atlassian | ✔ | |||
| AWS | Niet van toepassing | Niet van toepassing | ||
| Azure | Niet ondersteund door provider | |||
| Vak | ✔ | Niet ondersteund door provider | ||
| Citrix ShareFile | ✔ | |||
| DocuSign | ✔ | |||
| Dropbox | ✔ | |||
| Egnyte | ||||
| GitHub | ✔ | ✔ | ||
| GCP | Google Workspace-verbinding onderwerp | Niet van toepassing | Niet van toepassing | |
| Google Workspace | ✔ | ✔ | ✔ | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
| Miro | ||||
| Muurschildering | ||||
| NetDocuments | Preview | |||
| Okta | Niet van toepassing | Niet van toepassing | ✔ | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | |
| Slack | ||||
| Smartsheet | ||||
| Webex | Niet van toepassing | Niet van toepassing | ||
| Werkdag | Niet ondersteund door provider | Niet van toepassing | Niet van toepassing | |
| Workplace by Meta | Preview | |||
| Zendesk | ✔ | |||
| Zoom | Preview |
Gegevensbescherming
| App | DLP - Periodieke achterstandsscan | DLP - Bijna realtime scan | Besturingselement voor delen | Bestandsbeheer | Vertrouwelijkheidslabels toepassen vanuit Microsoft Purview Informatiebeveiliging |
|---|---|---|---|---|---|
| Asana | |||||
| Atlassian | |||||
| AWS | ✔ - Alleen detectie van S3-buckets | ✔ | ✔ | Niet van toepassing | |
| Azure | |||||
| Vak | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | |||||
| DocuSign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| GitHub | |||||
| GCP | Niet van toepassing | Niet van toepassing | Niet van toepassing | Niet van toepassing | Niet van toepassing |
| Google Workspace | ✔ | ✔ - vereist Google Business Enterprise | ✔ | ✔ | ✔ |
| Okta | Niet van toepassing | Niet van toepassing | Niet van toepassing | Niet van toepassing | Niet van toepassing |
| Miro | |||||
| Muurschildering | |||||
| NetDocuments | |||||
| Okta | Niet van toepassing | Niet van toepassing | Niet van toepassing | Niet van toepassing | Niet van toepassing |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | Niet van toepassing | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| Slack | |||||
| Smartsheet | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | Niet van toepassing |
| Werkdag | Niet ondersteund door provider | Niet ondersteund door provider | Niet ondersteund door provider | Niet ondersteund door provider | Niet van toepassing |
| Workplace by Meta | |||||
| Zendesk | Preview | ||||
| Zoom |
Vereisten
Wanneer u met de Microsoft 365-connector werkt, hebt u een licentie nodig voor elke service waarvoor u beveiligingsaanbeveling wilt bekijken. Als u bijvoorbeeld aanbevelingen voor Microsoft Forms wilt weergeven, hebt u een licentie nodig die formulieren ondersteunt.
Voor sommige apps moet u mogelijk LIJST-IP-adressen toestaan om Defender for Cloud Apps in staat te stellen logboeken te verzamelen en toegang te bieden tot de Defender for Cloud Apps-console. Zie Netwerkvereisten voor meer informatie.
Opmerking
Als u updates wilt ontvangen wanneer URL's en IP-adressen veranderen, abonneert u zich op de RSS zoals wordt uitgelegd in: Microsoft 365-URL's en IP-adresbereiken.
App-connectors inschakelen
Als u voor het eerst een app-connector wilt inschakelen, configureert u een API-verbinding voor de specifieke cloud-app die u wilt verbinden. Zie de afzonderlijke connectorhandleidingen voor elke app voor gedetailleerde instructies.
- Meld u aan bij de Microsoft Defender-portal.
- Ga naar Cloud Apps>Verbonden apps.
- Selecteer Een app verbinden of Een nieuwe connector toevoegen.
- Kies de cloud-app waarmee u verbinding wilt maken.
- Volg de instructies in de bijbehorende app-specifieke API-connectorhandleiding. Deze instructies bevatten de vereiste machtigingen en verificatiestappen.
Elke cloud-app heeft een eigen activeringsproces op basis van de API's die worden ondersteund.
ExpressRoute
Defender for Cloud Apps wordt geïmplementeerd in Azure en volledig geïntegreerd met ExpressRoute. Alle interacties met de Defender for Cloud Apps apps en verkeer dat naar Defender for Cloud Apps wordt verzonden, inclusief het uploaden van detectielogboeken, worden gerouteerd via ExpressRoute voor betere latentie, prestaties en beveiliging. Zie ExpressRoute-circuits en routeringsdomeinen voor meer informatie over Microsoft Peering.
App-connectors uitschakelen
Opmerking
- Voordat u een app-connector uitschakelt, moet u ervoor zorgen dat u de verbindingsgegevens beschikbaar hebt, omdat u deze nodig hebt als u de connector opnieuw wilt inschakelen.
- Deze stappen kunnen niet worden gebruikt om apps voor app-beheer voor voorwaardelijke toegang en beveiligingsconfiguratie-apps uit te schakelen.
Verbonden apps uitschakelen:
- Ga naar Verbonden apps.
- Selecteer App-connector uitschakelen.
- Selecteer Instantie van app-connector uitschakelen om de actie te bevestigen.
Zodra het connectorexemplaren zijn uitgeschakeld, worden er geen gegevens meer uit de connector verbruikt.
App-connectors opnieuw inschakelen
Verbonden apps opnieuw inschakelen:
- Ga naar Verbonden apps.
- Selecteer Instellingen bewerken. Met deze actie wordt het proces voor het toevoegen van een connector gestart.
- Voeg de connector toe met behulp van de stappen in de relevante HANDLEIDING voor de API-connector. Als u GitHub bijvoorbeeld opnieuw inschakelt, gebruikt u de stappen in Verbinding maken met GitHub Enterprise Cloud met Microsoft Defender for Cloud Apps.
Problemen met ontbrekende activiteiten oplossen nadat u verbinding hebt gemaakt met een app
Als verwachte activiteiten niet worden weergegeven nadat u verbinding hebt gemaakt met een app, gebruikt u de volgende controles om te bepalen waar de gegevens beschikbaar moeten zijn en of aanvullende configuratie vereist is.
1. Controleer of de connector in orde is
Controleer of de app-connector is verbonden en of er geen configuratiewaarschuwingen of machtigingsproblemen zijn.
2. De verwachtingen voor opnamevertraging controleren
Sommige connectors hebben een verwachte latentie voordat activiteiten worden weergegeven. Controleer of de connector een gedocumenteerde opnamevertraging heeft voordat u ontbrekende activiteit als een probleem behandelt.
3. Controleer of de connector activiteitenopname ondersteunt
Controleer of de connector activiteitenverzameling ondersteunt in de sectie Gebruikers en activiteiten.
4. Opties voor connectorspecifieke activiteit controleren Voor connectors die ondersteuning bieden voor selecteerbare activiteitstypen, controleert u of de vereiste opties zijn ingeschakeld. Als u bijvoorbeeld aanmeldingsactiviteiten onderzoekt, controleert u of de connector is geconfigureerd voor het verzamelen van de relevante aanmeldingsgegevens.
5. Instellingen voor implementatie met bereik controleren
Als implementatie met bereik is ingeschakeld, controleert u of het account dat de activiteit uitvoert, is opgenomen in de huidige implementatieregels met bereik. Activiteiten die worden gegenereerd door uitgesloten gebruikers, groepen of apps, worden niet opgenomen. Controleer ook of account-id's correct worden vergeleken in verbonden toepassingen, met name wanneer verschillende id-indelingen worden gebruikt.
6. Valideer de verwachte surface voor logboekregistratie
Afhankelijk van het activiteitstype controleert u of de gebeurtenis wordt weergegeven in de juiste bron in de volgende tabel.
| Gebeurtenis | Source |
|---|---|
| beleidsbeheerwijzigingen Defender for Cloud Apps | activiteitenlogboek Microsoft Defender for Cloud Apps |
| aanmeldingsgebeurtenissen Microsoft Entra | aanmeldingslogboeken Microsoft Entra |
| Identiteitsgerelateerde onderzoeksgegevens | Geavanceerde opsporingsidentiteitstabellen |
7. Pas filters toe voordat u tot de conclusie komt dat er gegevens ontbreken
Gebruik filters zoals:
- Tijdsbereik
- Gebruiker of beheerder
- Activiteitstype
- App of workload
8. Controleren op bekende bereikbeperkingen
Sommige activiteiten zijn mogelijk niet volledig vertegenwoordigd in elke logboekregistratie. Als een gebeurtenis ontbreekt in een bron, controleert u of die activiteit is gedocumenteerd als beschikbaar in een andere bron.
Belangrijk
Ontbrekende activiteit geeft niet altijd een verbindingsfout aan. Controleer eerst of de activiteit wordt verwacht in Defender for Cloud Apps, Microsoft Entra logboeken, Microsoft 365-auditlogboeken of Geavanceerde opsporing.
Verder onderzoeken
Onderzoek verder wanneer:
- De connector heeft een goede status, maar er worden geen verwachte gegevens weergegeven in een ondersteunde logboekregistratie.
- Vereiste activiteitsopties zijn ingeschakeld, maar de gebeurtenis is nog steeds afwezig na een redelijke validatieperiode.
- Hetzelfde activiteitstype is consistent niet beschikbaar voor meerdere controles.