Hoe Defender voor Cloud Apps uw Microsoft 365-omgeving beschermt

Als een belangrijke productiviteitssuite die cloudbestandsopslag, samenwerking, BI en CRM-hulpprogramma's biedt, stelt Microsoft 365 uw gebruikers in staat hun documenten op een gestroomlijnde en efficiënte manier te delen in uw organisatie en partners. Als u Microsoft 365 gebruikt, worden uw gevoelige gegevens mogelijk niet alleen intern beschikbaar gemaakt, maar ook aan externe medewerkers, of zelfs nog erger, openbaar maken via een gedeelde koppeling. Dergelijke incidenten kunnen optreden als gevolg van kwaadwillende actor of door een niet-bekende werknemer. Microsoft 365 biedt ook een groot ecosysteem voor apps van derden om de productiviteit te verbeteren. Als u deze apps gebruikt, kan uw organisatie worden blootgesteld aan het risico van schadelijke apps of het gebruik van apps met overmatige machtigingen.

Verbinding maken Van Microsoft 365 tot Defender voor Cloud Apps krijgt u meer inzicht in de activiteiten van uw gebruikers, biedt detectie van bedreigingen met behulp van anomaliedetectie op basis van machine learning, detectie van gegevensbeveiliging (zoals het detecteren van extern delen van gegevens), maakt geautomatiseerde herstelcontroles mogelijk en detecteert bedreigingen van ingeschakelde apps van derden in uw organisatie.

Defender voor Cloud-apps rechtstreeks worden geïntegreerd met De auditlogboeken van Microsoft 365 en biedt beveiliging voor alle ondersteunde services. Zie Microsoft 365-services die ondersteuning bieden voor controle voor een lijst met ondersteunde services.

Gebruik deze app-connector voor toegang tot SSPM-functies (SaaS Security Posture Management), via beveiligingscontroles die worden weergegeven in Microsoft Secure Score. Meer informatie.

Verbeteringen voor het scannen van bestanden voor Microsoft 365

Defender voor Cloud Apps heeft nieuwe verbeteringen voor het scannen van bestanden toegevoegd voor SharePoint en OneDrive:

• Snellere scansnelheid in bijna realtime voor bestanden in SharePoint en OneDrive.

• Betere identificatie voor het toegangsniveau van een bestand in SharePoint: het toegangsniveau voor bestanden in SharePoint wordt standaard gemarkeerd als Intern en niet als Privé (omdat elk bestand in SharePoint toegankelijk is door de site-eigenaar en niet alleen door de eigenaar van het bestand).

  Notitie

  Deze wijziging kan van invloed zijn op uw bestandsbeleid (als een bestandsbeleid op zoek is naar interne of persoonlijke bestanden in SharePoint).

Belangrijkste bedreigingen

• Gecompromitteerde accounts en bedreigingen van insiders
• Gegevenslekken
• Onvoldoende beveiligingsbewustzijn
• Schadelijke apps van derden
• Malware
• Phishing
• Ransomware
• Onbeheerd Bring Your Own Device (BYOD)

Hoe Defender voor Cloud Apps uw omgeving helpt beschermen

• Cloudbedreigingen, gecompromitteerde accounts en kwaadwillende insiders detecteren
• Gereglementeerde en gevoelige gegevens detecteren, classificeren, labelen en beveiligen die zijn opgeslagen in de cloud
• OAuth-apps detecteren en beheren die toegang hebben tot uw omgeving
• DLP- en nalevingsbeleid afdwingen voor gegevens die zijn opgeslagen in de cloud
• Blootstelling van gedeelde gegevens beperken en samenwerkingsbeleid afdwingen
• Het audittrail van activiteiten voor forensisch onderzoek gebruiken

Microsoft 365 beheren met ingebouwde beleidsregels en beleidssjablonen

U kunt de volgende ingebouwde beleidssjablonen gebruiken om u te detecteren en op de hoogte te stellen van mogelijke bedreigingen:

Type	Naam
Ingebouwd beleid voor anomaliedetectie	Activiteit van anonieme IP-adressen Activiteit van onregelmatig land Activiteit van verdachte IP-adressen Onmogelijke reis Activiteit uitgevoerd door beëindigde gebruiker (vereist Microsoft Entra-id als IdP) Malwaredetectie Meerdere mislukte aanmeldingspogingen Detectie van ransomware Verdachte activiteit voor het verwijderen van e-mail (preview) Suspicious inbox forwarding ( Ongebruikelijke activiteiten voor het verwijderen van bestanden Ongebruikelijke activiteiten voor bestandsshares Ongebruikelijke downloadactiviteiten voor meerdere bestanden
Sjabloon voor activiteitenbeleid	Aanmelding vanaf een riskant IP-adres Groot aantal downloads door één gebruiker Mogelijke ransomware-activiteit Wijziging op toegangsniveau (Teams) Externe gebruiker toegevoegd (Teams) Massaverwijdering (Teams)
Sjabloon voor bestandsbeleid	Een bestand detecteren dat is gedeeld met een niet-geautoriseerd domein Een bestand detecteren dat wordt gedeeld met persoonlijke e-mailadressen Bestanden detecteren met PII/PCI/PHI
Beleid voor anomaliedetectie voor OAuth-apps	Misleidende naam van OAuth-app Misleidende uitgeversnaam voor een OAuth-app Toestemming voor schadelijke OAuth-app

Zie Een beleid maken voor meer informatie over het maken van beleid.

Besturingselementen voor governance automatiseren

Naast het bewaken van mogelijke bedreigingen, kunt u de volgende Microsoft 365-beheeracties toepassen en automatiseren om gedetecteerde bedreigingen te verhelpen:

Type	Actie
Gegevens-governance	OneDrive: - Machtigingen voor bovenliggende mappen overnemen - Bestand/map privé maken - Bestand/map in beheerdersquarantaine plaatsen - Bestand/map in gebruikersquarantaine plaatsen - Prullenbakbestand/map - Een specifieke samenwerker verwijderen - Externe medewerkers verwijderen in bestand/map - Microsoft Purview Informatiebeveiliging vertrouwelijkheidslabel toepassen - Microsoft Purview Informatiebeveiliging vertrouwelijkheidslabel verwijderen Sharepoint: - Machtigingen voor bovenliggende mappen overnemen - Bestand/map privé maken - Bestand/map in beheerdersquarantaine plaatsen - Bestand/map in gebruikersquarantaine plaatsen - Plaats bestand/map in quarantaine van gebruikers en voeg eigenaarsmachtigingen toe - Prullenbakbestand/map - Externe medewerkers verwijderen in bestand/map - Een specifieke samenwerker verwijderen - Microsoft Purview Informatiebeveiliging vertrouwelijkheidslabel toepassen - Microsoft Purview Informatiebeveiliging vertrouwelijkheidslabel verwijderen
Gebruikersbeheer	- Gebruiker waarschuwen bij waarschuwing (via Microsoft Entra-id) - Vereisen dat de gebruiker zich opnieuw aanmeldt (via Microsoft Entra ID) - Gebruiker onderbreken (via Microsoft Entra-id)
OAuth-app-governance	- OAuth-app-machtiging intrekken

Zie Verbonden apps beheren voor meer informatie over het oplossen van bedreigingen van apps.

Microsoft 365 in realtime beveiligen

Bekijk onze aanbevolen procedures voor het beveiligen en samenwerken met externe gebruikers en het blokkeren en beveiligen van het downloaden van gevoelige gegevens op onbeheerde of riskante apparaten.

integratie van Defender voor Cloud-apps met Microsoft 365

Defender voor Cloud Apps ondersteunt het verouderde Microsoft 365 Dedicated Platform en de nieuwste aanbiedingen van Microsoft 365-services, ook wel de vNext-releasefamilie van Microsoft 365 genoemd.

In sommige gevallen verschilt een vNext-servicerelease enigszins op de beheer- en beheerniveaus van de standaard Microsoft 365-aanbieding.

Controlegebeurtenissen vastleggen

Defender voor Cloud-apps rechtstreeks worden geïntegreerd met De auditlogboeken van Microsoft 365 en ontvangen alle gecontroleerde gebeurtenissen van alle ondersteunde services. Zie Microsoft 365-services die ondersteuning bieden voor controle voor een lijst met ondersteunde services.

• Controlelogboekregistratie van Exchange-beheerders, die standaard is ingeschakeld in Microsoft 365, registreert een gebeurtenis in het Microsoft 365-auditlogboek wanneer een beheerder (of een gebruiker waaraan beheerdersbevoegdheden zijn toegewezen) een wijziging aanbrengt in uw Exchange Online-organisatie. Wijzigingen die zijn aangebracht via het Exchange-beheercentrum of door een cmdlet uit te voeren in Windows PowerShell, worden geregistreerd in het auditlogboek in het Exchange-beheercentrum. Zie het Engelstalige artikel Administrator audit logging (Controlelogboekregistratie voor administrator) voor meer informatie over controlelogboekregistratie voor administrators in Exchange.

• Gebeurtenissen van Exchange, Power BI en Teams worden alleen weergegeven nadat activiteiten van deze services zijn gedetecteerd in de portal.

• Implementaties met meerdere geografische gebieden worden alleen ondersteund voor OneDrive

Microsoft Entra-integratie

• Als uw Microsoft Entra-id is ingesteld om automatisch te synchroniseren met de gebruikers in uw on-premises Active Directory-omgeving, worden de instellingen in de on-premises omgeving overschreven door de Microsoft Entra-instellingen en wordt het gebruik van de actie Gebruikersbeheer onderbreken teruggedraaid.

• Voor aanmeldingsactiviteiten van Microsoft Entra worden in Defender voor Cloud Apps alleen interactieve aanmeldingsactiviteiten en aanmeldingsactiviteiten van verouderde protocollen zoals ActiveSync weergegeven. Niet-interactieve aanmeldingsactiviteiten kunnen worden weergegeven in het Auditlogboek van Microsoft Entra.

• Als Office-app zijn ingeschakeld, worden groepen die deel uitmaken van Microsoft 365 ook geïmporteerd in Defender voor Cloud Apps van de specifieke Office-app s, bijvoorbeeld als SharePoint is ingeschakeld, worden Microsoft 365-groepen ook geïmporteerd als SharePoint-groepen.

Quarantaine-ondersteuning

• In SharePoint en OneDrive ondersteunt Defender voor Cloud Apps alleen gebruikersquarantaine voor bestanden in SharePoint Online-bibliotheken (SharePoint Online) en bestanden in de documentbibliotheek (OneDrive voor Bedrijven).

• In SharePoint ondersteunt Defender voor Cloud Apps alleen quarantainetaken voor bestanden met gedeelde documenten in het Engels.

Verbinding maken Microsoft 365 om apps te Microsoft Defender voor Cloud

In deze sectie vindt u instructies voor het verbinden van Microsoft Defender voor Cloud-apps met uw bestaande Microsoft 365-account met behulp van de API voor de app-connector. Deze verbinding geeft u inzicht in en controle over het gebruik van Microsoft 365. Zie Microsoft 365 beveiligen voor informatie over hoe Defender voor Cloud-apps Microsoft 365 beveiligt.

Gebruik deze app-connector voor toegang tot SSPM-functies (SaaS Security Posture Management), via beveiligingscontroles die worden weergegeven in Microsoft Secure Score. Meer informatie.

Vereisten:

• U moet ten minste één Toegewezen Microsoft 365-licentie hebben om Microsoft 365 te verbinden met Defender voor Cloud-apps.

• Als u bewaking van Microsoft 365-activiteiten in Defender voor Cloud-apps wilt inschakelen, moet u controle inschakelen in de Microsoft Purview-nalevingsportal.

• Auditlogboekregistratie voor Exchange-postvakken moet zijn ingeschakeld voor elk gebruikerspostvak voordat gebruikersactiviteit in Exchange Online wordt geregistreerd. Zie Activiteiten van Exchange Mailbox.

• U moet controle inSchakelen in Power BI om de logboeken daar op te halen. Zodra controle is ingeschakeld, krijgen Defender voor Cloud Apps de logboeken (met een vertraging van 24-72 uur).

• U moet controle in Dynamics 365 inschakelen om de logboeken daar op te halen. Zodra controle is ingeschakeld, krijgen Defender voor Cloud Apps de logboeken (met een vertraging van 24-72 uur).

Microsoft 365 verbinden met Defender voor Cloud-apps:

1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Selecteer app-Verbinding maken ors onder Verbinding maken apps.

2. Selecteer +Verbinding maken een app op de pagina App-connector s en selecteer vervolgens Microsoft 365.

   

3. Selecteer op de pagina Microsoft 365-onderdelen selecteren de gewenste opties en selecteer vervolgens Verbinding maken.

   Notitie

   • Voor de beste beveiliging raden we u aan alle Microsoft 365-onderdelen te selecteren.
   • Voor het onderdeel Azure AD-bestanden is het onderdeel Azure AD-activiteiten vereist en Defender voor Cloud Apps-bestandsbewaking (Instellingen> Cloud Apps-bestanden>>bestandsbewaking inschakelen).

   

4. Selecteer op de pagina De koppeling volgen Verbinding maken Microsoft 365.

5. Nadat Microsoft 365 is weergegeven als verbonden, selecteert u Gereed.

6. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Selecteer app-Verbinding maken ors onder Verbinding maken apps. Zorg ervoor dat de status van de verbonden app-Verbinding maken or is Verbinding maken.

SSPM-gegevens (SaaS Security Posture Management) worden weergegeven in de Microsoft Defender-portal op de pagina Secure Score . Zie Beveiligingspostuurbeheer voor SaaS-apps voor meer informatie.

Notitie

Nadat u Verbinding hebt gemaakt met Microsoft 365, ziet u gegevens van een week terug, inclusief eventuele toepassingen van derden die zijn verbonden met Microsoft 365 die API's ophalen. Voor apps van derden die vóór de verbinding geen API's hebben opgehaald, ziet u gebeurtenissen vanaf het moment dat u Verbinding maakt met Microsoft 365, omdat Defender voor Cloud Apps API's inschakelt die standaard waren uitgeschakeld.

Als u problemen ondervindt met het verbinden van de app, raadpleegt u App-Verbinding maken ors oplossen.

Volgende stappen

Cloud-apps beheren met beleidsregels

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.