Så här skyddar Defender för molnet-appar din Microsoft 365-miljö

Microsoft 365 är en stor produktivitetssvit som tillhandahåller molnfillagring, samarbete, BI och CRM-verktyg och gör det möjligt för användarna att dela sina dokument i organisationen och partner på ett effektivt och effektivt sätt. Att använda Microsoft 365 kan exponera känsliga data inte bara internt, utan även för externa medarbetare, eller ännu värre göra dem offentligt tillgängliga via en delad länk. Sådana incidenter kan inträffa på grund av skadlig aktör eller av en ovetande anställd. Microsoft 365 tillhandahåller också ett stort miljösystem från tredje part för att öka produktiviteten. Om du använder dessa appar kan din organisation utsättas för risken för skadliga appar eller användning av appar med för höga behörigheter.

Anslut microsoft 365 till Defender för molnet-appar ger dig bättre insikter om användarnas aktiviteter, ger hotidentifiering med maskininlärningsbaserade avvikelseidentifieringar, identifiering av informationsskydd (till exempel identifiering av extern informationsdelning), möjliggör automatiserade reparationskontroller och identifierar hot från aktiverade appar från tredje part i din organisation.

Defender för molnet Apps integreras direkt med Microsoft 365:s granskningsloggar och ger skydd för alla tjänster som stöds. En lista över tjänster som stöds finns i Microsoft 365-tjänster som stöder granskning.

Använd den här appanslutningsappen för att få åtkomst till SaaS SSPM-funktioner (Security Posture Management) via säkerhetskontroller som visas i Microsoft Secure Score. Läs mer.

Förbättringar av filgenomsökning för Microsoft 365

Defender för molnet Apps har lagt till nya förbättringar av filgenomsökning för SharePoint och OneDrive:

• Snabbare genomsökningshastighet i nära realtid för filer i SharePoint och OneDrive.

• Bättre identifiering för en fils åtkomstnivå i SharePoint: filåtkomstnivån i SharePoint markeras som standard som Intern och inte som Privat (eftersom varje fil i SharePoint är tillgänglig för webbplatsens ägare och inte bara av filägaren).

  Kommentar

  Den här ändringen kan påverka dina filprinciper (om en filprincip letar efter interna eller privata filer i SharePoint).

Huvudsakliga hot

• Komprometterade konton och insiderhot
• Dataläckage
• Otillräcklig säkerhetsmedvetenhet
• Skadliga appar från tredje part
• Skadlig kod
• Nätfiske
• Utpressningstrojaner
• Ohanterad BYOD (Bring Your Own Device)

Så här skyddar Defender för molnet-appar din miljö

• Identifiera molnhot, komprometterade konton och skadliga insiders
• Identifiera, klassificera, märka och skydda reglerade och känsliga data som lagras i molnet
• Identifiera och hantera OAuth-appar som har åtkomst till din miljö
• Tillämpa DLP- och efterlevnadsprinciper för data som lagras i molnet
• Begränsa exponeringen av delade data och framtvinga samarbetsprinciper
• Använda spårningsloggen för aktiviteter för kriminaltekniska undersökningar

Kontrollera Microsoft 365 med inbyggda principer och principmallar

Du kan använda följande inbyggda principmallar för att identifiera och meddela dig om potentiella hot:

Typ	Name
Inbyggd princip för avvikelseidentifiering	Aktivitet från anonyma IP-adresser Aktivitet från sällan förekommande land Aktivitet från misstänkta IP-adresser Omöjlig resa Aktivitet som utförs av avslutad användare (kräver Microsoft Entra-ID som IdP) Identifiering av skadlig kod Flera misslyckade inloggningsförsök Identifiering av utpressningstrojaner Misstänkt e-postborttagningsaktivitet (förhandsversion) Misstänkt vidarebefordran av inkorgar Ovanliga filborttagningsaktiviteter Ovanliga filresursaktiviteter Ovanliga aktiviteter för nedladdning av flera filer
Mall för aktivitetsprincip	Inloggning från en riskfylld IP-adress Massnedladdning av en enskild användare Potentiell utpressningstrojanaktivitet Ändring på åtkomstnivå (Teams) Extern användare har lagts till (Teams) Massborttagning (Teams)
Filprincipmall	Identifiera en fil som delas med en obehörig domän Identifiera en fil som delas med personliga e-postadresser Identifiera filer med PII/PCI/PHI
Avvikelseidentifieringsprincip för OAuth-app	Vilseledande OAuth-appnamn Vilseledande utgivarnamn för en OAuth-app Medgivande för skadlig OAuth-app

Mer information om hur du skapar principer finns i Skapa en princip.

Automatisera styrningskontroller

Förutom övervakning av potentiella hot kan du tillämpa och automatisera följande Microsoft 365-styrningsåtgärder för att åtgärda identifierade hot:

Typ	Åtgärd
Datastyrning	OneDrive: – Ärv behörigheter för överordnad mapp – Gör filen/mappen privat – Placera filen/mappen i administratörskarantän – Placera filen/mappen i användarkarantän – Papperskorgens fil/mapp – Ta bort en specifik medarbetare – Ta bort externa medarbetare i fil/mapp – Använd känslighetsetiketten för Microsoft Purview Information Protection – Ta bort känslighetsetiketten för Microsoft Purview Information Protection Sharepoint: – Ärv behörigheter för överordnad mapp – Gör filen/mappen privat – Placera filen/mappen i administratörskarantän – Placera filen/mappen i användarkarantän – Placera filen/mappen i användarkarantän och lägg till ägarbehörigheter – Papperskorgens fil/mapp – Ta bort externa medarbetare i fil/mapp – Ta bort en specifik medarbetare – Använd känslighetsetiketten för Microsoft Purview Information Protection – Ta bort känslighetsetiketten för Microsoft Purview Information Protection
Användarstyrning	– Meddela användaren vid avisering (via Microsoft Entra-ID) – Kräv att användaren loggar in igen (via Microsoft Entra-ID) – Pausa användare (via Microsoft Entra-ID)
OAuth-appstyrning	– Återkalla OAuth-appbehörighet

Mer information om hur du åtgärdar hot från appar finns i Styra anslutna appar.

Skydda Microsoft 365 i realtid

Läs våra metodtips för att skydda och samarbeta med externa användare och blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter.

Defender för molnet Apps-integrering med Microsoft 365

Defender för molnet Apps stöder den äldre dedikerade Microsoft 365-plattformen samt de senaste erbjudandena för Microsoft 365-tjänster, som vanligtvis kallas vNext-versionsfamiljen för Microsoft 365.

I vissa fall skiljer sig en version av vNext-tjänsten något på administrations- och hanteringsnivå jämfört med standarderbjudandet för Microsoft 365.

Granskningsloggning

Defender för molnet Apps integreras direkt med Microsoft 365-granskningsloggar och tar emot alla granskade händelser från alla tjänster som stöds. En lista över tjänster som stöds finns i Microsoft 365-tjänster som stöder granskning.

• Exchange-administratörens granskningsloggning, som är aktiverad som standard i Microsoft 365, loggar en händelse i Microsoft 365-granskningsloggen när en administratör (eller en användare som har tilldelats administratörsbehörighet) gör en ändring i Exchange Online-organisationen. Ändringar som gjorts med administrationscentret eller genom att köra en cmdlet i Windows PowerShell loggas i granskningsloggen för Exchange-administratörer. Mer detaljerad information om granskningsloggning för administratörer i Exchange finns Administrator audit logging (Granskningsloggning för administratörer).

• Händelser från Exchange, Power BI och Teams visas bara efter att aktiviteter från dessa tjänster har identifierats i portalen.

• Multi-geo-distributioner stöds endast för OneDrive

Microsoft Entra-integrering

• Om ditt Microsoft Entra-ID är inställt på att automatiskt synkronisera med användarna i din lokala Active Directory-miljö åsidosätter inställningarna i den lokala miljön Microsoft Entra-inställningarna och användningen av åtgärden Pausa användarstyrning återställs.

• För Microsoft Entra-inloggningsaktiviteter visas endast interaktiva inloggningsaktiviteter och inloggningsaktiviteter från äldre protokoll som ActiveSync i Defender för molnet Appar. Icke-interaktiva inloggningsaktiviteter kan visas i Microsoft Entra-granskningsloggen.

• Om Office-appen är aktiverade importeras även grupper som ingår i Microsoft 365 till Defender för molnet Appar från specifika Office-appen, till exempel om SharePoint är aktiverat importeras Även Microsoft 365-grupper som SharePoint-grupper.

Karantänsupport

• I SharePoint och OneDrive stöder Defender för molnet-appar endast användarkarantän för filer i bibliotek med delade dokument (SharePoint Online) och filer i dokumentbiblioteket(OneDrive för företag).

• I SharePoint stöder Defender för molnet Apps endast karantänuppgifter för filer med delade dokument i sökvägen på engelska.

Anslut Microsoft 365 till Microsoft Defender för molnet Apps

Det här avsnittet innehåller instruktioner för hur du ansluter Microsoft Defender för molnet-appar till ditt befintliga Microsoft 365-konto med appanslutnings-API:et. Den här anslutningen ger dig insyn i och kontroll över Microsoft 365-användning. Information om hur Defender för molnet Apps skyddar Microsoft 365 finns i Skydda Microsoft 365.

Använd den här appanslutningsappen för att få åtkomst till SaaS SSPM-funktioner (Security Posture Management) via säkerhetskontroller som visas i Microsoft Secure Score. Läs mer.

Förutsättningar:

• Du måste ha minst en tilldelad Microsoft 365-licens för att ansluta Microsoft 365 till Defender för molnet Apps.

• Om du vill aktivera övervakning av Microsoft 365-aktiviteter i Defender för molnet-appar måste du aktivera granskning i efterlevnadsportal i Microsoft Purview.

• Granskningsloggning för Exchange-postlådan måste vara aktiverad för varje användarpostlåda innan användaraktiviteten i Exchange Online loggas, se Aktiviteter för Exchange-postlåda.

• Du måste aktivera granskning i Power BI för att hämta loggarna därifrån. När granskning har aktiverats börjar Defender för molnet Apps hämta loggarna (med en fördröjning på 24–72 timmar).

• Du måste aktivera granskning i Dynamics 365 för att hämta loggarna därifrån. När granskning har aktiverats börjar Defender för molnet Apps hämta loggarna (med en fördröjning på 24–72 timmar).

Så här ansluter du Microsoft 365 till Defender för molnet Apps:

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslut appar väljer du App Anslut orer.

2. På sidan Anslutningsverktyg väljer du +Anslut en app och sedan Microsoft 365.

   

3. På sidan Välj Microsoft 365-komponenter väljer du de alternativ du behöver och väljer sedan Anslut.

   Kommentar

   • För bästa skydd rekommenderar vi att du väljer alla Microsoft 365-komponenter.
   • Azure AD-filkomponenten kräver komponenten Azure AD-aktiviteter och Defender för molnet Apps-filövervakning (Inställningar> Cloud Apps-filer>>Aktivera filövervakning).

   

4. På sidan Följ länken väljer du Anslut Microsoft 365.

5. När Microsoft 365 visas som ansluten väljer du Klar.

6. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslut appar väljer du App Anslut orer. Kontrollera att statusen för den anslutna app-Anslut eller är Anslut.

SaaS SSPM-data (Security Posture Management) visas i Microsoft Defender-portalen på sidan Säkerhetspoäng . Mer information finns i Hantering av säkerhetsstatus för SaaS-appar.

Kommentar

När du har anslutit Microsoft 365 ser du data från en vecka tillbaka, inklusive program från tredje part som är anslutna till Microsoft 365 som hämtar API:er. För appar från tredje part som inte drog API:er före anslutningen ser du händelser från det ögonblick du ansluter Microsoft 365 eftersom Defender för molnet Apps aktiverar alla API:er som har inaktiverats som standard.

Om du har problem med att ansluta appen kan du läsa Felsöka app Anslut orer.

Nästa steg

Kontrollera molnappar med principer

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.