Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Соединители приложений используют API-интерфейсы поставщиков приложений для обеспечения лучшей видимости и управления Microsoft Defender for Cloud Apps приложениями, к которым вы подключаетесь.
Microsoft Defender for Cloud Apps использует API-интерфейсы, предоставляемые облачным поставщиком. Весь обмен данными между Defender for Cloud Apps и подключенными приложениями шифруется по протоколу HTTPS. Каждая служба имеет собственные ограничения платформы и API, такие как регулирование, ограничения API, динамические окна API с сдвигом времени и другие. Microsoft Defender for Cloud Apps работает со службами для оптимизации использования API и обеспечения максимальной производительности. Учитывая различные ограничения, которые службы накладывают на API, подсистемы Microsoft Defender for Cloud Apps используют разрешенную емкость. Для некоторых операций, таких как сканирование всех файлов в клиенте, требуется множество API, поэтому они выполняются в течение более длительного периода времени. Ожидается, что некоторые политики будут выполняться в течение нескольких часов или нескольких дней.
Важно!
С 1 сентября 2024 г. корпорация Майкрософт устареет страницу Files с Microsoft Defender for Cloud Apps. Дополнительные сведения см. в разделе Политики файлов в Microsoft Defender for Cloud Apps.
Поддержка нескольких экземпляров
Defender for Cloud Apps поддерживает несколько экземпляров одного подключенного приложения. Например, если у вас несколько экземпляров Salesforce (один для продаж, один для маркетинга), вы можете подключить оба экземпляра к Defender for Cloud Apps. Вы можете управлять различными экземплярами из одной консоли, чтобы создавать детализированные политики и более глубокое исследование. Эта поддержка применяется только к приложениям, подключенным к API, но не к приложениям, обнаруженным в облаке, или приложениям, подключенным к прокси-серверу.
Примечание.
Несколько экземпляров не поддерживаются для Microsoft 365 и Azure.
Принципы действия
Defender for Cloud Apps развертывается с правами системного администратора, чтобы предоставить полный доступ ко всем объектам в вашей среде.
Поток соединителя приложений выглядит следующим образом:
- Defender for Cloud Apps сканирует и сохраняет разрешения проверки подлинности.
- Defender for Cloud Apps запрашивает список пользователей. При первом выполнении запроса может потребоваться некоторое время, пока проверка завершится. После завершения сканирования пользователя Defender for Cloud Apps переходит к действиям и файлам. Как только начнется сканирование, в Defender for Cloud Apps будут доступны некоторые действия.
- После завершения запроса пользователя Defender for Cloud Apps периодически сканирует пользователей, группы, действия и файлы. Все действия доступны после первой полной проверки.
Это подключение может занять некоторое время в зависимости от размера клиента, количества пользователей, а также размера и количества файлов, которые необходимо проверить.
В зависимости от приложения, к которому вы подключаетесь, подключение к API включает следующие элементы:
- Сведения об учетной записи . Видимость пользователей, учетных записей, сведений о профилях, состояния (приостановленных, активных, отключенных) групп и привилегий.
- Журнал аудита — видимость действий пользователей, действий администратора, действий входа.
- Управление учетными записями — возможность приостановки пользователей, отзыва паролей и многого другого.
- Разрешения приложения — видимость выданных маркеров и их разрешений.
- Управление разрешениями приложений — возможность удаления маркеров.
- Сканирование данных — сканирование неструктурированных данных с помощью двух процессов— периодически (каждые 12 часов) и проверки в режиме реального времени (активируется при каждом обнаружении изменения).
- Управление данными — возможность помещать в карантин файлы, включая файлы в корзине, и перезаписывать файлы.
В следующих таблицах приведен список облачных приложений, какие возможности поддерживаются соединителями приложений:
Примечание.
Так как не все соединители приложений поддерживают все возможности, некоторые строки могут быть пустыми.
Пользователи и действия
| Приложение | Перечисление учетных записей | Список групп | Перечисление привилегий | Действие входа | Действия пользователей | Действия администратора. |
|---|---|---|---|---|---|---|
| Asana | ✔ | ✔ | ✔ | |||
| Atlassian | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | Неприменимо | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | ||||||
| Docusign | Поддерживается монитором DocuSign | Поддерживается монитором DocuSign | Поддерживается монитором DocuSign | Поддерживается монитором DocuSign | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| GitHub | ✔ | ✔ | ✔ | ✔ | ||
| GCP | Тема подключения к Google Workspace | Тема подключения к Google Workspace | Тема подключения к Google Workspace | Тема подключения к Google Workspace | ✔ | ✔ |
| Google Workspace | ✔ | ✔ | ✔ | ✔ | ✔ — требуется Google Business или Enterprise. | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Miro | ✔ | ✔ | ✔ | |||
| Фреска | ✔ | ✔ | ✔ | |||
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Okta | ✔ | Не поддерживается поставщиком | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | Частично | Частично |
| Salesforce | Поддерживается Salesforce Shield | Поддерживается Salesforce Shield | Поддерживается Salesforce Shield | Поддерживается Salesforce Shield | Поддерживается Salesforce Shield | Поддерживается Salesforce Shield |
| Slack | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | Не поддерживается поставщиком | ||
| Workday | ✔ | Не поддерживается поставщиком | Не поддерживается поставщиком | ✔ | ✔ | Не поддерживается поставщиком |
| Рабочая область по мета | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Масштаб |
Видимость конфигурации пользователей, приложений и конфигурации безопасности
| Приложение | Управление пользователями | Просмотр разрешений приложения | Отмена разрешений приложения | Управление состоянием безопасности SaaS (SSPM) |
|---|---|---|---|---|
| Asana | ||||
| Atlassian | ✔ | |||
| AWS | Неприменимо | Неприменимо | ||
| Azure | Не поддерживается поставщиком | |||
| Box | ✔ | Не поддерживается поставщиком | ||
| Citrix ShareFile | ✔ | |||
| Docusign | ✔ | |||
| Dropbox | ✔ | |||
| Egnyte | ||||
| GitHub | ✔ | ✔ | ||
| GCP | Тема подключения к Google Workspace | Неприменимо | Неприменимо | |
| Google Workspace | ✔ | ✔ | ✔ | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
| Miro | ||||
| Фреска | ||||
| NetDocuments | Предварительная версия | |||
| Okta | Неприменимо | Неприменимо | ✔ | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | |
| Slack | ||||
| Smartsheet | ||||
| Webex | Неприменимо | Неприменимо | ||
| Workday | Не поддерживается поставщиком | Неприменимо | Неприменимо | |
| Рабочая область по мета | Предварительная версия | |||
| Zendesk | ✔ | |||
| Масштаб | Предварительная версия |
Защита информации
| Приложение | DLP — периодическое сканирование невыполненной работы | Защита от потери данных — проверка почти в реальном времени | Управление общим доступом | Управление файлами | Применение меток конфиденциальности из Защита информации Microsoft Purview |
|---|---|---|---|---|---|
| Asana | |||||
| Atlassian | |||||
| AWS | ✔ — Только обнаружение контейнера S3 | ✔ | ✔ | Неприменимо | |
| Azure | |||||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | |||||
| Docusign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| GitHub | |||||
| GCP | Неприменимо | Неприменимо | Неприменимо | Неприменимо | Неприменимо |
| Google Workspace | ✔ | ✔ — требуется Google Business Enterprise. | ✔ | ✔ | ✔ |
| Okta | Неприменимо | Неприменимо | Неприменимо | Неприменимо | Неприменимо |
| Miro | |||||
| Фреска | |||||
| NetDocuments | |||||
| Okta | Неприменимо | Неприменимо | Неприменимо | Неприменимо | Неприменимо |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | Неприменимо | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| Slack | |||||
| Smartsheet | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | Неприменимо |
| Workday | Не поддерживается поставщиком | Не поддерживается поставщиком | Не поддерживается поставщиком | Не поддерживается поставщиком | Неприменимо |
| Рабочая область по мета | |||||
| Zendesk | Предварительная версия | ||||
| Масштаб |
Предварительные условия
При работе с соединителем Microsoft 365 вам потребуется лицензия для каждой службы, в которой вы хотите просмотреть рекомендации по безопасности. Например, чтобы просмотреть рекомендации по Microsoft Forms, вам потребуется лицензия на поддержку Форм.
Для некоторых приложений может потребоваться разрешить список IP-адресов, чтобы разрешить Defender for Cloud Apps собирать журналы и предоставлять доступ для консоли Defender for Cloud Apps. Дополнительную информацию см. в статье Требования к сети.
Примечание.
Чтобы получать обновления при изменении URL-адресов и IP-адресов, подпишитесь на RSS, как описано в статье URL-адреса и диапазоны IP-адресов Microsoft 365.
Включение соединителей приложений
Чтобы включить соединитель приложений в первый раз, настройте подключение API для конкретного облачного приложения, к которому вы хотите подключиться. Подробные инструкции см. в руководствах по соединителям для каждого приложения.
- Войдите на портал Microsoft Defender.
- Перейдите в раздел Облачные приложения>Подключенные приложения.
- Выберите Подключить приложение или Добавить новый соединитель.
- Выберите облачное приложение, к которому нужно подключиться.
- Следуйте инструкциям в руководстве по соединителю API для соответствующего приложения. Эти инструкции включают необходимые разрешения и шаги проверки подлинности.
Каждое облачное приложение имеет собственный процесс включения на основе поддерживаемых API.
ExpressRoute
Defender for Cloud Apps развертывается в Azure и полностью интегрирована с ExpressRoute. Все взаимодействия с приложениями Defender for Cloud Apps и трафик, отправляемый в Defender for Cloud Apps, включая отправку журналов обнаружения, направляются через ExpressRoute для повышения задержки, производительности и безопасности. Дополнительные сведения о пиринге Майкрософт см. в статье Каналы ExpressRoute и домены маршрутизации.
Отключение соединителей приложений
Примечание.
- Перед отключением соединителя приложений убедитесь, что у вас есть сведения о подключении, так как они потребуются для повторного включения соединителя.
- Эти действия нельзя использовать для отключения приложений управления условным доступом и приложений конфигурации безопасности.
Чтобы отключить подключенные приложения, выполните приведенные далее действия.
- Перейдите в раздел Подключенные приложения.
- Выберите Отключить соединитель приложений.
- Выберите Отключить экземпляр соединителя приложений , чтобы подтвердить действие.
После отключения экземпляр соединителя перестает использовать данные из соединителя.
Повторное включение соединителей приложений
Чтобы повторно включить подключенные приложения, выполните приведенные далее действия.
- Перейдите в раздел Подключенные приложения.
- Нажмите Изменить настройки. Это действие запускает процесс добавления соединителя.
- Добавьте соединитель, выполнив действия, описанные в соответствующем руководстве по соединителю API. Например, если вы повторно включаете GitHub, выполните действия, описанные в разделе Подключение GitHub Enterprise Cloud к Microsoft Defender for Cloud Apps.
Устранение неполадок с отсутствующими действиями после подключения приложения
Если ожидаемые действия не отображаются после подключения приложения, используйте следующие проверки, чтобы определить, где должны быть доступны данные и требуется ли дополнительная настройка.
1. Убедитесь, что соединитель работоспособен
Убедитесь, что соединитель приложений успешно подключен и что нет предупреждений конфигурации или проблем с разрешениями.
2. Проверка ожиданий задержки приема
Некоторые соединители имеют ожидаемую задержку перед появлением действий. Убедитесь, что соединитель имеет документированную задержку приема, прежде чем рассматривать отсутствующие действия как проблему.
3. Убедитесь, что соединитель поддерживает прием действий.
Проверьте, поддерживает ли соединитель сбор действий в разделе Пользователи и действия.
4. Проверьте параметры действий, зависящих от соединителя . Соединители, поддерживающие доступные для выбора типы действий, убедитесь, что включены необходимые параметры. Например, если вы изучаете действия входа, убедитесь, что соединитель настроен для сбора соответствующих данных для входа.
5. Проверка параметров развертывания с заданной областью
Если развертывание с заданной областью включено, убедитесь, что учетная запись, выполняющая действие, включена в текущие правила развертывания с заданной областью. Действия, созданные исключенными пользователями, группами или приложениями, не учитываются. Кроме того, проверьте правильность сопоставления идентификаторов учетных записей в подключенных приложениях, особенно при использовании различных форматов идентификаторов.
6. Проверка ожидаемой области ведения журнала
В зависимости от типа действия проверка, отображается ли событие в соответствующем источнике, указанном в следующей таблице.
| Событие | Source |
|---|---|
| изменения администрирования политики Defender for Cloud Apps | Журнал действий Microsoft Defender for Cloud Apps |
| события входа Microsoft Entra | журналы входа Microsoft Entra |
| Данные исследования, связанные с удостоверениями | Таблицы удостоверений расширенной охоты |
7. Применение фильтров перед выводом о том, что данные отсутствуют
Используйте такие фильтры, как:
- Диапазон времени
- Пользователь или администратор
- Тип действия
- Приложение или рабочая нагрузка
8. Проверьте наличие известных ограничений область
Некоторые действия могут быть представлены не полностью в каждой области ведения журнала. Если событие отсутствует в одном источнике, убедитесь, что это действие задокументировано как доступное в другом источнике.
Важно!
Отсутствующие действия не всегда указывают на сбой соединителя. Сначала проверьте, ожидается ли действие в Defender for Cloud Apps, Microsoft Entra журналах, журналах аудита Microsoft 365 или расширенной охоте.
Дальнейшее изучение
Дополнительные сведения о том, когда:
- Соединитель отображает работоспособное состояние, но ожидаемые данные не отображаются в любой поддерживаемой области ведения журнала.
- Обязательные параметры действий включены, но событие по-прежнему отсутствует после разумного периода проверки.
- Один и тот же тип действия постоянно недоступен при нескольких проверках.