Microsoft Defender for Cloud Apps 中的新增功能
将应用连接到 Defender for Cloud Apps
本文会频繁更新,以便用户了解 Defender for Cloud Apps 最新发布的内容。
RSS 源:将以下 URL 复制并粘贴到源阅读器中,可以在页面更新时收到通知:https://aka.ms/mda/rss
有关其他 Microsoft Defender 安全产品新增功能的详细信息,请参阅:
- Microsoft Defender XDR 中的新增功能
- Microsoft Defender for Endpoint 中的新增功能
- Microsoft Defender for Identity 中的新增功能
有关早期版本的新闻,请参阅 Microsoft Defender for Cloud Apps 的历史更新存档。
2024 年 4 月
从 Microsoft Defender 门户启用数据加密
现在,可以使用自己的密钥,通过从 Microsoft Defender 门户的设置区域启用数据加密,完成对 Defender for Cloud Apps 静态数据进行加密的过程。
此功能现在仅限于经典 Microsoft Defender for Cloud Apps 门户,并且仅适用于 Microsoft Defender 门户。
有关详细信息,请参阅使用自己的密钥 (BYOK) 加密 Defender for Cloud Apps 数据。
2024 年 3 月
发布了新的日志收集器版本
我们发布了一个新的日志收集器版本,其中包含最新的漏洞修复程序。 新版本为 columbus-0.272.0-signed.jar,图像名称为 mcaspublic.azurecr.io/public/mcas/logcollector,标记为 latest/0.272.0。
更改包括升级依赖项,例如:
- amazon-corretto
- Ubuntu
- libssl
- oauthlib
- logback
- setuptools
有关详细信息,请参阅高级日志收集器管理。
Podman 支持自动日志收集(预览版)
Microsoft Defender for Cloud Apps 日志收集器现在支持 Podman,可以在 Podman 上配置自动日志收集,以便使用 Defender for Cloud Apps 持续报告。
在多个操作系统上使用 Docker 容器支持自动日志收集。 对于使用 RHEL 版本 7.1 及更高版本的 Linux 发行版,必须使用 Podman 作为容器的运行时系统。
有关更多信息,请参阅使用 Podman 配置自动日志上传。
高级搜寻 CloudAppEvents 表的新异常数据
在 Microsoft Defender 门户中使用高级搜寻的 Defender for Cloud Apps 用户现在可以使用新的 LastSeenForUser 和 UncommonForUser 列进行查询和检测规则。 使用此数据有助于排除误报并发现异常。
有关详细信息,请参阅高级搜寻“CloudAppEvents”数据架构。
Microsoft Copilot for Microsoft 365 的新威胁检测
Defender for Cloud Apps 现在使用 Microsoft 365 连接器为 Microsoft Copilot for Microsoft 365 中的风险用户活动提供新的检测。
- 相关警报与其他 Microsoft Defender XDR 警报一起显示在 Microsoft Defender 门户中。
- Defender for Cloud Apps 活动日志中提供了Copilot for Microsoft 365 活动。
- 在 Microsoft Defender 门户的高级搜寻页中,Copilot Microsoft 365 活动在 Microsoft Copilot for Microsoft 365 应用程序下的 CloudAppEvents 表中提供。
有关详细信息,请参阅:
- Microsoft Copilot for Microsoft 365 入门
- Defender for Cloud Apps 如何帮助保护 Microsoft 365 环境
- - 在 Microsoft Defender XDR 中调查警报
- Defender for Cloud Apps 活动日志
- 通过高级搜寻主动搜寻威胁
- 高级搜寻架构中的 CloudAppEvents 表
为 Edge for Business 用户提供动态数据保护(预览版)
使用 Microsoft Edge for Business 且受会话策略约束的 Defender for Cloud Apps 用户现在直接在浏览器中受到保护。 浏览器内保护减少了对代理的需求,提高了安全性和工作效率。
受保护的用户可体验到流畅的云应用程序使用体验,且没有延迟或应用程序兼容性问题,并且具有更高级别的安全保护。
浏览器内保护功能默认开启,并从 2024 年 3 月初开始逐步向所有租户推广。
有关详细信息,请参阅使用 Microsoft Edge for Business(预览版)进行浏览器内保护、使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用和会话策略。
Microsoft Defender 门户中的 Defender for Cloud Apps 现在适用于所有 Defender for Cloud Apps 角色
Microsoft Defender 门户中的 Defender for Cloud Apps 体验现在适用于所有 Defender for Cloud Apps 角色,包括以前受限的以下角色:
- 应用/实例管理员
- 用户组管理员
- Cloud Discovery 全局管理员
- Cloud Discovery 报告管理员
有关详细信息,请参阅 Defender for Cloud Apps 中的内置管理员角色。
2024 年 2 月
针对正式版中更多已连接应用的 SSPM 支持
Defender for Cloud Apps 可提供针对 SaaS 应用程序的安全建议,从而帮助规避可能出现的风险。 将连接器连接到应用程序后,将通过 Microsoft 安全功能分数显示这些建议。
Defender for Cloud Apps 现已通过包括在正式版中包括以下应用来增强其 SSPM 支持:
如今在正式版中,Google Workspace 也支持 SSPM。
注意
如果已将某一连接器连接到其中一个应用,则安全功能分数中的分数可能会相应自动更新。
有关详细信息,请参阅:
针对凭据访问和横向移动的新应用治理警报
我们已为应用治理客户添加以下新警报:
有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的应用治理。
2024 年 1 月
针对同一应用的多个实例的 SSPM 支持(预览版)
Defender for Cloud Apps 现在支持跨同一应用的多个实例执行 SaaS 安全状况管理 (SSPM)。 例如,存在多个 AWS 实例时,可单独为每个实例配置安全功能分数建议。 每个实例均会在应用连接器页面上显示为单独的项目。 例如:
有关详细信息,请参阅 SaaS 安全状况管理 (SSPM)。
已删除可在会话策略中控制上传文件数的限制(预览版)
会话策略现在支持对上传超过 100 个文件的文件夹进行控制,但对上传中可包含的文件数没有限制。
有关详细信息,请参阅使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用。
经典 Defender for Cloud Apps 门户的自动重定向(预览版)
经典 Microsoft Defender for Cloud Apps 门户体验和功能已聚合到 Microsoft Defender XDR 门户中。 自 2024 年 1 月 9 日起,使用带预览功能的经典 Defender for Cloud Apps 门户的客户会自动重定向到 Microsoft Defender XDR,且无法恢复为经典门户。
有关详细信息,请参阅:
- Microsoft Defender XDR 中的 Microsoft Defender for Cloud Apps
- Microsoft Defender for Cloud Apps 中的预览功能
2023 年12 月
用于门户访问和 SIEM 代理连接的新 IP 地址
用于门户访问和 SIEM 代理连接的 IP 地址现已更新。 请务必将新 IP 相应添加到防火墙的允许列表中,从而保持服务能完全正常运行。 有关详细信息,请参阅:
针对初始扫描的积压工作周期对齐方式
将新应用连接到 Defender for Cloud Apps 后,我们已将初始扫描的积压工作周期进行对齐。 以下应用连接器的初始扫描积压工作周期为 7 天:
有关详细信息,请参阅使用 Microsoft Defender for Cloud Apps 连接应用以获取可见性和控制。
针对更多已连接应用的 SSPM 支持
Defender for Cloud Apps 可提供针对 SaaS 应用程序的安全建议,从而帮助规避可能出现的风险。 将连接器连接到应用程序后,将通过 Microsoft 安全功能分数显示这些建议。
Defender for Cloud Apps 现已通过包括以下应用来增强其 SSPM 支持:(预览版)
如今在正式版中,Google Workspace 也支持 SSPM。
注意
如果已将某一连接器连接到其中一个应用,则安全功能分数中的分数可能会相应自动更新。
有关详细信息,请参阅:
2023 年 11 月
Defender for Cloud Apps 应用程序证书轮换
Defender for Cloud Apps 计划轮换其应用程序证书。 如果已显式信任旧证书,并且当前在较新版本的 Java 开发工具包(JDK)上运行 SIEM 代理,则必须信任新证书以继续使用 SIEM 代理服务。 尽管可能不需要执行操作,但建议运行以下命令进行验证:
在命令行窗口中,切换到 Java 安装的 bin 文件夹,例如:
cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"运行以下命令:
keytool -list -keystore ..\lib\security\cacerts如果看到以下 4 个别名,说明之前显式信任过证书,需要进行操作。 如果未看到这些别名,则无需执行任何操作。
- azuretls01crt
- azuretls02crt
- azuretls05crt
- azuretls06crt
如果需要操作,我们建议先信任新证书,以免在证书完全轮换后出现问题。
有关详细信息,请参阅我们的 Java 新版本问题故障排除指南。
Microsoft Defender for Cloud 中的 CSPM 支持
随着 Microsoft Defender for Cloud Apps 不断融合至 Microsoft Defender XDR,云安全状况管理(CSPM)连接已完全支持 Microsoft Defender for Cloud。
建议将 Azure、AWS 和 Google Cloud Platform(GCP)环境连接到 Microsoft Defender for Cloud 以获取最新的 CSPM 功能。
有关详细信息,请参阅:
- 什么是 Microsoft Defender for Cloud?
- Defender for Cloud 中的Defender 云安全态势管理 (CSPM)
- 将 Azure 订阅连接到 Microsoft Defender for Cloud
- 将 AWS 帐户连接到 Microsoft Defender for Cloud
- 将 GCP 项目连接到 Microsoft Defender for Cloud
注意
仍在使用 经典 Defender for Cloud Apps 门户 的客户将不再可见 Azure、AWS 和 GCP 环境的安全配置评估。
为管理员用户提供的测试模式(预览版)
作为管理员用户,你可能希望在最新的 Defender for Cloud Apps 版本完全推广到所有租户之前,测试即将推出的代理缺陷修复程序。 为此,Defender for Cloud Apps 提供了测试模式,可从“管理员视图”工具栏获取。
在测试模式下,只有管理员用户可见缺陷修复程序中的所有更改。 其他用户不受影响。 我们鼓励向 Microsoft 支持团队发送对新修补程序的反馈,以帮助加快发布周期。
测试完新修补程序后,请关闭测试模式以返回到常规功能。
例如,下图显示了管理员视图工具栏中的新“测试模式”按钮,下方是在浏览器中使用的Onenote。
有关详细信息,请参阅使用管理员视图工具栏进行诊断和故障排除和测试模式。
为生成式 AI 增加的新云应用目录类别
Defender for Cloud Apps 应用目录新增生成式 AI 类别,用于收录如 Microsoft 必应 Chat、Google Bard、ChatGPT 等大语言模型(LLM)应用。 除新类别外,Defender for Cloud Apps 目录还新增了数百个与生成式 AI 相关的应用,从而帮助组织深入了解如何使用并安全管理生成式 AI 应用。
例如,你可能希望使用 集成 Defender for Endpoint 的 Defender for Cloud Apps,以根据策略批准或阻止特定 LLM 应用。
有关详细信息,请参阅 查找云应用并计算风险分数。
正式发布使用 Defender for Endpoint 发现影子 IT 事件的更多方式
现在可以在Defender for Cloud Apps 上发现Defender for Endpoint 设备检测到的影子 IT 网络事件,此功能已正式发布(Defender for Endpoint 设备在一般可用情况下需作为网络代理与 Defender for Cloud Apps 处于同一环境中)。
有关详细信息,请参阅 当终结点位于网络代理之后,通过 Defender for Endpoint发现应用及集成 Microsoft Defender for Endpoint Defender for Endpoint。
2023 年 10 月
正式发布自动重定向到 Microsoft Defender XDR
重定向已正式发布,现在所有客户都会从经典 Microsoft Defender for Cloud Apps 门户自动重定向到 Microsoft Defender XDR。 管理员仍可以根据需要更新重定向设置,以继续使用经典 Defender for Cloud Apps 门户。
将 Defender for Cloud Apps 集成至 Microsoft Defender XDR,可以简化检测、调查的过程,缓解对用户、应用和数据的威胁,以便在XDR 系统中使用单个窗格查看多个警报和事件。
有关详细信息,请参阅 Microsoft Defender XDR 中的 Microsoft Defender for Cloud Apps。
2023 年 9 月
发现影子 IT 事件的更多方式(预览版)
现在可以在Defender for Cloud Apps 上发现Defender for Endpoint 设备检测到的影子 IT 网络事件,此功能已正式发布(Defender for Endpoint 设备需作为网络代理与 Defender for Cloud Apps 处于同一环境中)。
有关详细信息,请参阅当端点位于网络代理之后,通过 Defender for Endpoint 发现应用 和 集成 Microsoft Defender for Endpoint。
CloudAPPEvents 表支持连续 NRT 频率(预览版)
Defender for Cloud Apps 现支持检测规则在使用 CloudAppEvents 表时设置连续 (NRT) 频率。
将自定义检测设置为以连续(NRT)频率运行,便于组织提高快速识别威胁的能力。 有关详细信息,请参阅创建并管理自定义检测规则。
2023 年 8 月
安全功能分数中的新安全建议(预览版)
新的 Microsoft Defender for Cloud Apps 建议已添加为 Microsoft 安全功能分数改进操作。 有关详细信息,请参阅 Microsoft 安全功能分数中的新增功能和Microsoft 安全功能分数。
Microsoft 365 连接器更新
Defender for Cloud Apps 的 Microsoft 365 连接器进行了以下更新:
- (预览版)SSPM 支持更新,使用了新的 CIS 基准 安全建议。
- 将现有建议的名称对其 CIS 基准。
如果要查看相关数据,请确保已配置 Microsoft 365 连接器。 有关详细信息,请参阅 将 Microsoft 365 连接至 Microsoft Defender for Cloud Apps。
后续步骤
- 有关低于本文所列版本的版本说明,请参阅 Microsoft Cloud App Security 过往版本。
如果遇到任何问题,我们随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈