Defender for Cloud Apps Microsoft 365 ortamınızı korumaya nasıl yardımcı olur?

Microsoft 365, bulut dosya depolama, işbirliği, iş zekası (BI) ve müşteri ilişkileri yönetimi (CRM) için araçlar sağlayan bir üretkenlik paketidir. Kullanıcıların belgelerini kuruluşunuz içinde ve dış iş ortaklarıyla kolaylaştırılmış ve verimli bir şekilde paylaşmasına yardımcı olur. Microsoft 365'i kullanmak, hassas verilerinizi yalnızca şirket içinde değil, aynı zamanda dış ortak çalışanlara da gösterebilir veya daha da kötüsü paylaşılan bir bağlantı aracılığıyla herkese açık hale gelebilir. Bu tür olaylar kötü amaçlı bir aktörden veya farkında olmayan bir çalışandan kaynaklanabilir. Microsoft 365, üretkenliği artırmaya yardımcı olmak için büyük bir üçüncü taraf uygulama eko sistemi de sağlar. Bu uygulamaların kullanılması, kuruluşunuzu kötü amaçlı uygulamalar veya aşırı izinlere sahip uygulamaların kullanımı riskiyle karşı karşıya bırakılabilir.

Microsoft 365'i Defender for Cloud Apps'a bağlamak, kullanıcılarınızın etkinlikleriyle ilgili gelişmiş içgörüler sağlar. Makine öğrenmesi tabanlı anomali algılamalarını ve dış bilgi paylaşımını algılama gibi bilgi koruma algılamalarını kullanarak tehditleri algılamaya yardımcı olur. Ayrıca otomatik düzeltme denetimleri uygular ve kuruluşunuzdaki etkin üçüncü taraf uygulamalardan gelen tehditleri algılar.

Defender for Cloud Apps doğrudan Microsoft 365'in denetim günlükleriyle tümleştirilir ve desteklenen tüm hizmetler için koruma sağlar. Desteklenen hizmetlerin listesi için bkz. Denetimi destekleyen Microsoft 365 hizmetleri.

Microsoft Güvenli Puanı'na yansıtılan güvenlik denetimleri aracılığıyla SaaS Güvenlik Duruş Yönetimi (SSPM) özelliklerine erişmek için bu uygulama bağlayıcısını kullanın. Daha fazla bilgi edinin.

Microsoft 365 için dosya tarama güncelleştirmeleri

Microsoft 365 ortamlarında dosya tarama verimliliğini ve doğruluğunu geliştirmek için Defender for Cloud Apps Microsoft 365 için dosya tarama işlemini güncelleştirdi. Bilgi koruma ilkelerini etkinleştirmediğiniz sürece Defender for Cloud Apps kuruluş dosyalarını taramaz veya depolamaz.

Bilgi koruma ilkelerini etkin bir şekilde kullandığınızda, kuruluş dosyalarının yüksek hacimli dosya tarama etkinlikleri nedeniyle önemli tarama süreleri olabilir.

Defender for Cloud Apps SharePoint ve OneDrive için yeni dosya tarama geliştirmeleri eklendi:

• SharePoint ve OneDrive'daki dosyalar için neredeyse gerçek zamanlıya yakın tarama hızı.

• SharePoint'te bir dosyanın erişim düzeyi için daha iyi tanımlama: SharePoint'teki dosya erişim düzeyi varsayılan olarak İç olarak işaretlenir ve Özel olarak işaretlenmez (SharePoint'teki her dosyaya site sahibi tarafından erişilebildiğinden ve yalnızca dosya sahibi tarafından erişilmediği için).

  Not

  Bu değişiklik dosya ilkelerinizi etkileyebilir (bir dosya ilkesi SharePoint'te İç veya Özel dosyaları arıyorsa).

Ana tehditler

• Güvenliği aşılmış hesaplar ve içeriden gelen tehditler
• Veri sızıntısı
• Yetersiz güvenlik farkındalığı
• Kötü amaçlı üçüncü taraf uygulamaları
• Malware
• Kimlik Avı
• Fidye Yazılımı
• Yönetilmeyen kendi cihazını getir (KCG)

Defender for Cloud Apps ortamınızı korumaya nasıl yardımcı olur?

• Bulut tehditlerini, güvenliği aşılmış hesapları ve kötü amaçlı insider'ları algılama
• Bulutta depolanan düzenlenmiş ve hassas verileri bulma, sınıflandırma, etiketleme ve koruma
• Ortamınıza erişimi olan OAuth uygulamalarını bulma ve yönetme
• Bulutta depolanan veriler için DLP ve uyumluluk ilkelerini zorunlu kılma
• Paylaşılan verilerin açığa çıkarma kapsamını sınırlandırma ve işbirliği ilkelerini zorlama
• Adli araştırmalar için etkinliklerin denetim kaydını kullanma

Yerleşik ilkeler ve ilke şablonlarıyla Microsoft 365'i denetleme

Olası tehditleri algılamak ve size bildirmek için aşağıdaki yerleşik ilke şablonlarını kullanabilirsiniz:

Tür	Name
Yerleşik anomali algılama ilkesi	Anonim IP adreslerinden etkinlik Seyrek görülen ülkeden etkinlik Şüpheli IP adreslerinden etkinlik İmkansız seyahat Sonlandırılan kullanıcı tarafından gerçekleştirilen etkinlik (IdP olarak Microsoft Entra ID gerektirir) Kötü amaçlı yazılım algılama Birden çok başarısız oturum açma girişimi Fidye yazılımı algılama Şüpheli e-posta silme etkinliği (Önizleme) Şüpheli gelen kutusu iletme Olağan dışı dosya silme etkinlikleri Olağan dışı dosya paylaşımı etkinlikleri Olağan dışı birden çok dosya indirme etkinliği
Etkinlik ilkesi şablonu	Riskli bir IP adresinden oturum açma Tek bir kullanıcı tarafından toplu indirme Olası fidye yazılımı etkinliği Erişim düzeyi değişikliği (Teams) Dış kullanıcı eklendi (Teams) Toplu silme (Teams)
Dosya ilkesi şablonu	Yetkisiz etki alanıyla paylaşılan bir dosyayı algılama Kişisel e-posta adresleriyle paylaşılan bir dosyayı algılama PII/PCI/PHI ile dosyaları algılama
OAuth uygulama anomali algılama ilkesi	Yanıltıcı OAuth uygulama adı OAuth uygulaması için yanlış yayımcı adı Kötü amaçlı OAuth uygulaması onayı

İlke oluşturma hakkında daha fazla bilgi için bkz. İlke oluşturma.

İdare denetimlerini otomatikleştirme

Olası tehditleri izlemeye ek olarak, algılanan tehditleri düzeltmek için aşağıdaki Microsoft 365 idare eylemlerini uygulayabilir ve otomatikleştirebilirsiniz:

Tür	Eylem
Veri idaresi	OneDrive: - Üst klasör izinlerini devral - Dosya/klasör özel yap - Dosya/klasörü yönetici karantinaya alın - Dosya/klasörü kullanıcı karantinaya alın - Çöp kutusu dosyası/klasörü - Belirli bir ortak çalışanı kaldırma - Dosya/klasör üzerindeki dış ortak çalışanları kaldırma - Microsoft Purview Bilgi Koruması duyarlılık etiketi uygulama - Microsoft Purview Bilgi Koruması duyarlılık etiketini kaldırma Sharepoint: - Üst klasör izinlerini devral - Dosya/klasör özel yap - Dosya/klasörü yönetici karantinaya alın - Dosya/klasörü kullanıcı karantinaya alın - Dosya/klasörü kullanıcı karantinaya alın ve sahip izinleri ekleyin - Çöp kutusu dosyası/klasörü - Dosya/klasör üzerindeki dış ortak çalışanları kaldırma - Belirli bir ortak çalışanı kaldırma - Microsoft Purview Bilgi Koruması duyarlılık etiketi uygulama - Microsoft Purview Bilgi Koruması duyarlılık etiketini kaldırma
Kullanıcı idaresi	- Uyarıda kullanıcıya bildirme (Microsoft Entra ID aracılığıyla) - Kullanıcının yeniden oturum açmasını gerektir (Microsoft Entra ID aracılığıyla) - Kullanıcıyı askıya alma (Microsoft Entra ID aracılığıyla)
OAuth uygulaması idaresi	- OAuth uygulama iznini iptal etme

Uygulamalardan gelen tehditleri düzeltme hakkında daha fazla bilgi için bkz. Bağlı uygulamaları yönetme.

Microsoft 365'i gerçek zamanlı olarak koruma

Dış kullanıcıların güvenliğini sağlamak ve bunlarla işbirliği yapmak ve hassas verilerin yönetilmeyen veya riskli cihazlara indirilmesini engellemek ve korumak için en iyi yöntemlerimizi gözden geçirin.

Microsoft 365 ile Defender for Cloud Apps tümleştirmesi

Defender for Cloud Apps, microsoft 365'in vNext sürüm ailesi olarak adlandırılan eski Microsoft 365 Ayrılmış Platformu ve Microsoft 365 hizmetlerinin en son tekliflerini destekler.

Bazı durumlarda vNext hizmet sürümü, standart Microsoft 365 teklifinden yönetim ve yönetim düzeylerinde biraz farklılık gösterir.

Denetim günlüğü

Defender for Cloud Apps doğrudan Microsoft 365'in denetim günlükleriyle tümleştirilir ve desteklenen tüm hizmetlerden tüm denetlenen olayları alır. Desteklenen hizmetlerin listesi için bkz. Denetimi destekleyen Microsoft 365 hizmetleri.

• Exchange yöneticisi denetim günlüğü, Microsoft 365'te varsayılan olarak etkindir. Bir yönetici (veya yönetici ayrıcalıklarına sahip bir kullanıcı) Exchange Online kuruluşunuzda bir değişiklik yaptığında Microsoft 365 denetim günlüğüne bir olay kaydeder. Exchange yönetim merkezi kullanılarak veya Windows PowerShell cmdlet çalıştırılarak yapılan değişiklikler Exchange yönetici denetim günlüğüne kaydedilir. Exchange'de yönetici denetim günlüğü hakkında daha fazla bilgi için bkz. Yönetici denetim günlüğü.

• Exchange, Power BI ve Teams'deki olaylar yalnızca portalda söz konusu hizmetlerden gelen etkinlikler algılandıktan sonra görünür.

• Çoklu coğrafi dağıtımlar yalnızca OneDrive için desteklenir.

• Exchange'den gelen olaylar, eylemi gerçekleştiren uygulama veya kullanıcı olan aktörü yansıtır.

Microsoft Entra tümleştirmesi

• Microsoft Entra ID Active Directory şirket içi ortamınızdaki kullanıcılarla otomatik olarak eşitlenecek şekilde ayarlandıysa, şirket içi ortamdaki ayarlar Microsoft Entra ayarlarını geçersiz kılar ve Kullanıcı idaresini askıya al eyleminin kullanımı geri döndürülür.

• Microsoft Entra oturum açma etkinlikleri için Defender for Cloud Apps yalnızca ActiveSync gibi eski protokollerden etkileşimli oturum açma etkinliklerini ve oturum açma etkinliklerini ortaya çıkar.

  Not

  Microsoft Defender for Cloud Apps, etiketli Call: OrgIdWsTrust2:processoturum açma etkinlikleri gibi belirli senaryolarda etkileşimli olmayan oturum açma olaylarını gösterir.

  Etkileşimli olmayan oturum açma etkinlikleri Microsoft Entra denetim günlüğünde görüntülenebilir.

• Office uygulamaları etkinleştirilirse, Microsoft 365'in parçası olan gruplar da belirli Office uygulamalarından Defender for Cloud Apps aktarılır. Örneğin, SharePoint etkinse, Microsoft 365 grupları SharePoint grupları olarak içeri aktarılır.

Karantina desteği

• SharePoint ve OneDrive'da Defender for Cloud Apps yalnızca Paylaşılan Belgeler kitaplıklarındaki (SharePoint Online) ve Belgeler kitaplığındaki (OneDrive İş) dosyalar için kullanıcı karantinasını destekler.

• SharePoint'te, Defender for Cloud Apps karantina görevlerini yalnızca İngilizce olarak paylaşılan belgelere sahip dosyalar için destekler.

Microsoft 365'i Microsoft Defender for Cloud Apps'a bağlama

Bu bölümde, uygulama bağlayıcıSı API'sini kullanarak Microsoft Defender for Cloud Apps mevcut Microsoft 365 hesabınıza bağlama yönergeleri sağlanır. Bu bağlantı, Microsoft 365 kullanımı hakkında görünürlük ve denetim sağlar. Defender for Cloud Apps Microsoft 365'i nasıl koruduğu hakkında bilgi için bkz. Microsoft 365'i koruma.

Microsoft Güvenli Puanı'na yansıtılan güvenlik denetimleri aracılığıyla SaaS Güvenlik Duruş Yönetimi (SSPM) özelliklerine erişmek için bu uygulama bağlayıcısını kullanın. Daha fazla bilgi edinin.

Önkoşullar

• Microsoft 365 dosyalarının dosya izlemeyi etkinleştirmek için, Uygulama Yöneticisi veya Bulut Uygulaması Yöneticisi gibi ilgili bir Microsoft Entra Yönetici kimliği kullanmanız gerekir. Daha fazla bilgi için bkz. yerleşik rolleri Microsoft Entra.

• Microsoft 365'i Defender for Cloud Apps bağlamak için en az bir Microsoft 365 lisansına sahip olmanız gerekir.

• Defender for Cloud Apps'da Microsoft 365 etkinliklerinin izlenmesini etkinleştirmek için Microsoft Purview'da denetimi etkinleştirmeniz gerekir.

• Exchange Online kullanıcı etkinliği günlüğe kaydedilmeden önce her kullanıcı posta kutusu için Exchange Posta Kutusu denetim günlüğü açılmalıdır. Bkz. Exchange Posta Kutusu etkinlikleri.

• Günlükleri buradan almak için Power BI'da denetimi etkinleştirmeniz gerekir. Denetim etkinleştirildikten sonra Defender for Cloud Apps günlükleri almaya başlar (24-72 saat gecikmeyle).

• Günlükleri oradan almak için Dynamics 365'de denetimi etkinleştirmeniz gerekir. Denetim etkinleştirildikten sonra Defender for Cloud Apps günlükleri almaya başlar (24-72 saat gecikmeyle).

• Kötü amaçlı yazılım algılama ve yanıt desteği almak için hizmet sorumlusunu etkinleştirmeniz gerekir (bu hizmet API'si varsayılan olarak etkindir). API etkinleştirildikten sonra Defender for Cloud Apps günlükleri almaya başlar (24-72 saat gecikmeyle).

Microsoft 365'i Defender for Cloud Apps bağlamak için:

1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin. Bağlı uygulamalar'ın altında Uygulama Bağlayıcıları'nı seçin.

2. Uygulama bağlayıcıları sayfasında +Uygulamaya bağlan'ı ve ardından Microsoft 365'i seçin.

   

3. Microsoft 365 bileşenlerini seçin sayfasında, ihtiyacınız olan seçenekleri belirleyin ve ardından Bağlan'ı seçin.

   Not

   • En iyi koruma için tüm Microsoft 365 bileşenlerini seçmenizi öneririz. Tüm gerekli bileşenler düzgün seçilmediği sürece bazı işlevler (tehdit algılama ve yanıt gibi) çalışmaz.
   • Microsoft 365 dosyaları bileşeni, Defender for Cloud Apps dosya izlemenin etkinleştirilmesini gerektirir (Ayarlar>Cloud Apps>Dosyaları>Dosya izlemeyi etkinleştir).

   

4. Bağlantıyı takip et sayfasında Microsoft 365'e bağlan'ı seçin.

5. Microsoft 365 başarıyla bağlandı olarak gösterildikten sonra Bitti'yi seçin.

6. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin. Bağlı uygulamalar'ın altında Uygulama Bağlayıcıları'nı seçin. Bağlı Uygulama Bağlayıcısı'nın durumunun Bağlı olduğundan emin olun.

   SaaS Güvenlik Duruş Yönetimi (SSPM) verileri Microsoft Defender Portalında Güvenli Puan sayfasında gösterilir. Daha fazla bilgi için bkz . SaaS uygulamaları için güvenlik duruşu yönetimi.

   Not

   • Microsoft 365'i bağladıktan sonra, API'leri çeken Microsoft 365'e bağlı üçüncü taraf uygulamalar da dahil olmak üzere geçen haftaki verileri görürsünüz. Bağlantıdan önce API'leri çekmeyen üçüncü taraf uygulamalar için, Microsoft 365'i bağladığınızdan itibaren başlayan olayları görürsünüz çünkü Defender for Cloud Apps varsayılan olarak kapalı olan API'leri açar.
   • SharePoint veya OneDrive'da genel olarak paylaşılan ('herkes' ile paylaşılan) dosya ve klasörler yanlışlıkla özel olarak gösteriliyor olabilir.

   Uygulamayı bağlarken sorun yaşıyorsanız bkz. Uygulama Bağlayıcılarında Sorun Giderme.

Sonraki adımlar

İlkelerle bulut uygulamalarını denetleme

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.