Jak Defender dla Chmury Apps pomaga chronić środowisko platformy Microsoft 365
Jako główny pakiet produktywności zapewniający magazyn plików w chmurze, współpracę, analizy biznesowej i narzędzia CRM, platforma Microsoft 365 umożliwia użytkownikom udostępnianie swoich dokumentów w organizacji i partnerom w usprawniony i wydajny sposób. Korzystanie z platformy Microsoft 365 może uwidocznić poufne dane nie tylko wewnętrznie, ale także zewnętrznych współpracowników lub jeszcze gorzej udostępnić je publicznie za pośrednictwem udostępnionego linku. Takie zdarzenia mogą wystąpić z powodu złośliwego aktora lub nieświadomego pracownika. Platforma Microsoft 365 udostępnia również duży ekosystem aplikacji innych firm, aby zwiększyć produktywność. Użycie tych aplikacji może narażać organizację na ryzyko złośliwych aplikacji lub korzystania z aplikacji z nadmiernymi uprawnieniami.
Łączenie platformy Microsoft 365 z aplikacjami Defender dla Chmury zapewnia lepszy wgląd w działania użytkowników, zapewnia wykrywanie zagrożeń przy użyciu wykrywania anomalii opartych na uczeniu maszynowym, wykrywania ochrony informacji (takich jak wykrywanie udostępniania informacji zewnętrznych), umożliwia automatyczne mechanizmy kontroli korygowania i wykrywa zagrożenia z aplikacji innych firm w organizacji.
Defender dla Chmury Apps integruje się bezpośrednio z usługą Dzienniki inspekcji platformy Microsoft 365 i zapewniają ochronę wszystkich obsługiwanych usług. Aby uzyskać listę obsługiwanych usług, zobacz Microsoft 365 services that support auditing (Usługi platformy Microsoft 365 obsługujące inspekcję).
Użyj tego łącznika aplikacji, aby uzyskać dostęp do funkcji zarządzania stanem zabezpieczeń SaaS (SSPM) za pośrednictwem mechanizmów kontroli zabezpieczeń odzwierciedlonej w wskaźniku bezpieczeństwa firmy Microsoft. Dowiedz się więcej.
Ulepszenia skanowania plików dla platformy Microsoft 365
usługa Defender dla Chmury Apps dodała nowe ulepszenia skanowania plików dla programów SharePoint i OneDrive:
Szybsza szybkość skanowania niemal w czasie rzeczywistym dla plików w programach SharePoint i OneDrive.
Lepsza identyfikacja poziomu dostępu pliku w programie SharePoint: poziom dostępu do plików w programie SharePoint będzie domyślnie oznaczony jako Wewnętrzny, a nie jako Prywatny (ponieważ każdy plik w programie SharePoint jest dostępny dla właściciela witryny, a nie tylko przez właściciela pliku).
Uwaga
Ta zmiana może mieć wpływ na zasady dotyczące plików (jeśli zasady dotyczące plików szukają plików wewnętrznych lub prywatnych w programie SharePoint).
Główne zagrożenia
- Naruszone konta i zagrożenia wewnętrzne
- Wyciek danych
- Niewystarczająca świadomość zabezpieczeń
- Złośliwe aplikacje innych firm
- Złośliwe oprogramowanie
- Wyłudzanie informacji
- Oprogramowanie wymuszające okup
- Niezarządzane użycie własnego urządzenia (BYOD)
Jak Defender dla Chmury Apps pomaga chronić środowisko
- Wykrywanie zagrożeń w chmurze, kont zagrożonych i złośliwych testerów
- Odnajdywanie, klasyfikowanie, etykietowanie i ochrona danych regulowanych i poufnych przechowywanych w chmurze
- Odnajdywanie aplikacji OAuth i zarządzanie nimi, które mają dostęp do środowiska
- Wymuszanie zasad DLP i zasad zgodności dla danych przechowywanych w chmurze
- Ograniczanie ujawnienia udostępnionych danych i wymuszanie zasad współpracy
- Używanie dziennika inspekcji działań na potrzeby badań kryminalistycznych
Kontrolowanie platformy Microsoft 365 za pomocą wbudowanych zasad i szablonów zasad
Do wykrywania i powiadamiania o potencjalnych zagrożeniach można użyć następujących wbudowanych szablonów zasad:
| Type | Nazwisko |
|---|---|
| Wbudowane zasady wykrywania anomalii | Działanie z anonimowych adresów IP Aktywność z rzadko występującego kraju Działanie z podejrzanych adresów IP Niemożliwa podróż Działanie wykonywane przez zakończonego użytkownika (wymaga identyfikatora Entra firmy Microsoft jako dostawcy tożsamości) Wykrywanie złośliwego oprogramowania Wiele nieudanych prób logowania Wykrywanie oprogramowania wymuszającego okup Podejrzane działanie usuwania wiadomości e-mail (wersja zapoznawcza) Podejrzane przekazywanie skrzynki odbiorczej Nietypowe działania usuwania plików Nietypowe działania udziału plików Nietypowe działania pobierania wielu plików |
| Szablon zasad działania | Logowania z ryzykownego adresu IP Masowe pobieranie przez pojedynczego użytkownika Potencjalna aktywność oprogramowania wymuszającego okup Zmiana poziomu dostępu (Teams) Dodano użytkownika zewnętrznego (Teams) Masowe usuwanie (Teams) |
| Szablon zasad dotyczących plików | Wykrywanie pliku udostępnionego nieautoryzowanej domeny Wykrywanie pliku udostępnionego osobistym adresom e-mail Wykrywanie plików za pomocą interfejsu PII/PCI/PHI |
| Zasady wykrywania anomalii aplikacji OAuth | Myląca nazwa aplikacji OAuth Myląca nazwa wydawcy dla aplikacji OAuth Zgoda na złośliwą aplikację OAuth |
Aby uzyskać więcej informacji na temat tworzenia zasad, zobacz Tworzenie zasad.
Automatyzowanie mechanizmów kontroli ładu
Oprócz monitorowania potencjalnych zagrożeń można zastosować i zautomatyzować następujące akcje ładu platformy Microsoft 365 w celu skorygowania wykrytych zagrożeń:
| Typ | Akcja |
|---|---|
| Ład dotyczący danych | OneDrive: - Dziedzicz uprawnienia folderu nadrzędnego - Utwórz plik/folder prywatny - Umieść plik/folder w kwarantannie administratora - Umieść plik/folder w kwarantannie użytkownika — Plik/folder kosza - Usuwanie określonego współpracownika - Usuwanie zewnętrznych współpracowników w pliku/folderze — Stosowanie etykiety poufności usługi Microsoft Purview Information Protection — Usuwanie etykiety poufności usługi Microsoft Purview Information Protection SharePoint: - Dziedzicz uprawnienia folderu nadrzędnego - Utwórz plik/folder prywatny - Umieść plik/folder w kwarantannie administratora - Umieść plik/folder w kwarantannie użytkownika - Umieść plik/folder w kwarantannie użytkownika i dodaj uprawnienia właściciela — Plik/folder kosza - Usuwanie zewnętrznych współpracowników w pliku/folderze - Usuwanie określonego współpracownika — Stosowanie etykiety poufności usługi Microsoft Purview Information Protection — Usuwanie etykiety poufności usługi Microsoft Purview Information Protection |
| Zarządzanie użytkownikami | — Powiadamianie użytkownika o alercie (za pośrednictwem identyfikatora Entra firmy Microsoft) — Wymagaj od użytkownika ponownego logowania (za pośrednictwem identyfikatora Entra firmy Microsoft) — Zawieszanie użytkownika (za pośrednictwem identyfikatora Entra firmy Microsoft) |
| Zarządzanie aplikacjami OAuth | — Odwoływanie uprawnień aplikacji OAuth |
Aby uzyskać więcej informacji na temat korygowania zagrożeń z aplikacji, zobacz Zarządzanie połączonymi aplikacjami.
Ochrona platformy Microsoft 365 w czasie rzeczywistym
Zapoznaj się z naszymi najlepszymi rozwiązaniami dotyczącymi zabezpieczania i współpracy z użytkownikami zewnętrznymi oraz blokowania i ochrony pobierania poufnych danych do niezarządzanych lub ryzykownych urządzeń.
integracja aplikacji Defender dla Chmury z platformą Microsoft 365
usługa Defender dla Chmury Apps obsługuje starszą platformę Microsoft 365 Dedicated Platform, a także najnowsze oferty usług Platformy Microsoft 365, często określane jako rodzina wersji vNext platformy Microsoft 365.
W niektórych przypadkach wersja usługi vNext różni się nieco na poziomach administracyjnych i zarządzania niż w standardowej ofercie platformy Microsoft 365.
Rejestrowanie inspekcji
Defender dla Chmury Apps integruje się bezpośrednio z usługą Dzienniki inspekcji platformy Microsoft 365 i odbierają wszystkie zdarzenia inspekcji ze wszystkich obsługiwanych usług. Aby uzyskać listę obsługiwanych usług, zobacz Microsoft 365 services that support auditing (Usługi platformy Microsoft 365 obsługujące inspekcję).
Rejestrowanie inspekcji administratora programu Exchange, które jest domyślnie włączone na platformie Microsoft 365, rejestruje zdarzenie w dzienniku inspekcji platformy Microsoft 365, gdy administrator (lub użytkownik, któremu przypisano uprawnienia administracyjne) wprowadza zmianę w organizacji usługi Exchange Online. Zmiany wprowadzone za pomocą Centrum administracyjnego programu Exchange lub za pomocą polecenia cmdlet w programie Windows PowerShell są rejestrowane w dzienniku inspekcji administratora programu Exchange. Aby uzyskać bardziej szczegółowe informacje dotyczące rejestrowania inspekcji administratora programu Exchange, zobacz Administrator audit logging (Rejestrowanie inspekcji administratora).
Zdarzenia z programów Exchange, Power BI i Teams będą wyświetlane tylko po wykryciu działań z tych usług w portalu.
Wdrożenia obejmujące wiele regionów geograficznych są obsługiwane tylko w usłudze OneDrive
Integracja z usługą Microsoft Entra
Jeśli identyfikator Entra firmy Microsoft jest ustawiony na automatyczną synchronizację z użytkownikami w środowisku lokalnym usługi Active Directory, ustawienia w środowisku lokalnym zastępują ustawienia usługi Microsoft Entra i używają akcji Wstrzymaj ład użytkownika zostaną przywrócone.
W przypadku działań związanych z logowaniem w usłudze Microsoft Entra aplikacje Defender dla Chmury tylko wyświetla interaktywne działania logowania i działania logowania ze starszych protokołów, takich jak ActiveSync. Działania logowania nieinterakcyjnego mogą być wyświetlane w dzienniku inspekcji firmy Microsoft Entra.
Jeśli aplikacja pakietu Office są włączone, grupy, które są częścią platformy Microsoft 365, są również importowane do aplikacji Defender dla Chmury z określonych aplikacja pakietu Office, na przykład jeśli program SharePoint jest włączony, grupy platformy Microsoft 365 również są importowane jako grupy programu SharePoint.
Pomoc techniczna dot. kwarantanny
W programach SharePoint i OneDrive aplikacje Defender dla Chmury obsługują kwarantannę użytkownika tylko dla plików w bibliotekach dokumentów udostępnionych (SharePoint Online) i plikach w bibliotece Dokumenty (OneDrive dla Firm).
W programie SharePoint aplikacje Defender dla Chmury obsługują zadania kwarantanny tylko dla plików z dokumentami udostępnionymi w ścieżce w języku angielskim.
Łączenie platformy Microsoft 365 z aplikacjami Microsoft Defender dla Chmury
Ta sekcja zawiera instrukcje dotyczące łączenia aplikacji Microsoft Defender dla Chmury z istniejącym kontem platformy Microsoft 365 przy użyciu interfejsu API łącznika aplikacji. To połączenie zapewnia wgląd i kontrolę nad użyciem platformy Microsoft 365. Aby uzyskać informacje o tym, jak usługa Defender dla Chmury Apps chroni platformę Microsoft 365, zobacz Protect Microsoft 365 (Ochrona platformy Microsoft 365).
Użyj tego łącznika aplikacji, aby uzyskać dostęp do funkcji zarządzania stanem zabezpieczeń SaaS (SSPM) za pośrednictwem mechanizmów kontroli zabezpieczeń odzwierciedlonej w wskaźniku bezpieczeństwa firmy Microsoft. Dowiedz się więcej.
Wymagania wstępne:
Aby połączyć platformę Microsoft 365 z aplikacjami Defender dla Chmury, musisz mieć co najmniej jedną przypisaną licencję platformy Microsoft 365.
Aby włączyć monitorowanie działań platformy Microsoft 365 w usłudze Defender dla Chmury Apps, musisz włączyć inspekcję w usłudze Microsoft Purview.
Rejestrowanie inspekcji skrzynki pocztowej programu Exchange musi być włączone dla każdej skrzynki pocztowej użytkownika przed zarejestrowaniem aktywności użytkownika w usłudze Exchange Online, zobacz Działania skrzynki pocztowej programu Exchange.
Aby uzyskać dzienniki, należy włączyć inspekcję w usłudze Power BI . Po włączeniu inspekcji usługa Defender dla Chmury Apps rozpoczyna pobieranie dzienników (z opóźnieniem 24–72 godzin).
Aby uzyskać dzienniki z tego miejsca, należy włączyć inspekcję w usłudze Dynamics 365 . Po włączeniu inspekcji usługa Defender dla Chmury Apps rozpoczyna pobieranie dzienników (z opóźnieniem 24–72 godzin).
Aby połączyć platformę Microsoft 365 z aplikacjami Defender dla Chmury:
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji.
Na stronie Łącznik aplikacji s wybierz pozycję +Połącz aplikację, a następnie wybierz pozycję Microsoft 365.
Na stronie Wybieranie składników platformy Microsoft 365 wybierz wymagane opcje, a następnie wybierz pozycję Połącz.
Uwaga
- Aby uzyskać najlepszą ochronę, zalecamy wybranie wszystkich składników platformy Microsoft 365.
- Składnik plików usługi Azure AD wymaga składnika działań usługi Azure AD i monitorowania plików Defender dla Chmury Apps (Ustawienia>Pliki>aplikacji>w chmurze Włącz monitorowanie plików).
Na stronie Obserwowanie linku wybierz pozycję Połącz platformę Microsoft 365.
Po pomyślnym nawiązaniu połączenia z platformą Microsoft 365 wybierz pozycję Gotowe.
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji. Upewnij się, że stan połączonego łącznika aplikacji to Połączono.
Dane programu SaaS Security Posture Management (SSPM) są wyświetlane w portalu Microsoft Defender na stronie Wskaźnik bezpieczeństwa. Aby uzyskać więcej informacji, zobacz Zarządzanie stanem zabezpieczeń dla aplikacji SaaS.
Uwaga
Po nawiązaniu połączenia z platformą Microsoft 365 zobaczysz dane z tygodnia wstecz, w tym wszystkie aplikacje innych firm połączone z usługą Microsoft 365, które ściągają interfejsy API. W przypadku aplikacji innych firm, które nie ściągały interfejsów API przed nawiązaniem połączenia, zdarzenia są widoczne od momentu nawiązania połączenia z platformą Microsoft 365, ponieważ Defender dla Chmury Apps włącza wszystkie interfejsy API, które zostały domyślnie wyłączone.
Jeśli masz problemy z nawiązywaniem połączenia z aplikacją, zobacz Rozwiązywanie problemów z łącznikami aplikacji.
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.