快速入门:Microsoft Defender for Cloud Apps入门

注意

  • 我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客

  • Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的家。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps

本快速入门提供用于启动和运行 Defender for Cloud Apps 的步骤。 Microsoft Defender for Cloud Apps可以帮助你利用云应用程序的优势,同时保持对企业资源的控制。 它的工作原理是改进云活动的可见性,并帮助增强对公司数据的保护。 在本文中,我们将引导你完成设置和使用Microsoft Defender for Cloud Apps的步骤。

先决条件

  • 为了使组织符合许可Microsoft Defender for Cloud Apps的要求,必须获取受Microsoft Defender for Cloud Apps保护的每个用户的许可证。 有关定价详细信息,请参阅 Microsoft 365 许可数据表

    有关租户激活支持,请参阅联系业务产品支持的方法 - 管理员帮助

    注意

    Microsoft Defender for Cloud Apps是一种安全工具,因此不需要Office 365生产力套件许可证。 有关仅适用于Office 365) 的Office 365 云应用安全 (Microsoft Defender for Cloud Apps,请参阅Office 365 云应用安全许可

  • 获得 Defender for Cloud Apps 许可证后,将收到一封电子邮件,其中包含激活信息和 Defender for Cloud Apps 门户的链接。

  • 若要设置 Defender for Cloud Apps,你必须是 Azure Active Directory 中的全局管理员或安全管理员或Office 365。 请务必了解分配有管理员角色的用户在组织已订阅的所有云应用中具有相同的权限。 无论你是在 Microsoft 365 管理中心中、在 Azure 经典门户中还是使用 Windows PowerShell 的 Azure AD 模块分配角色,情况都是如此。 有关详细信息,请参阅分配管理员角色在 Azure Active Directory 中分配管理员角色

  • 若要运行 Defender for Cloud Apps 门户,请使用 Internet Explorer 11、Microsoft Edge (最新) 、Google Chrome (最新) 、Mozilla Firefox (最新) 或 Apple Safari (最新) 。

访问门户

若要访问 Defender for Cloud Apps 门户,请转到 https://portal.cloudappsecurity.com。 还可以通过 Microsoft 365 管理中心访问门户,如下所示

  1. Microsoft 365 管理中心的侧边菜单中,选择“全部显示”,然后选择“安全性”。

    通过 Microsoft 365 管理中心访问。

  2. 在“Microsoft 365 Defender”页中,选择“更多资源”,然后选择“Defender for Cloud Apps”。

    选择 Defender for Cloud Apps。

步骤 1。 设置应用的即时可见性、保护和管理操作

必需的任务:连接应用

  1. 在设置齿轮中,选择“应用连接器”。
  2. 选择加号 (+) 添加应用并选择应用。
  3. 按照配置步骤连接应用。

为什么要连接应用? 连接应用后,你可以获得更深层次的可见性,以便可以调查云环境中应用的活动、文件和帐户。

步骤 2。 利用 DLP 策略保护敏感信息

建议的任务:启用文件监视并创建文件策略

  1. 转到“设置”,然后选择“信息保护”下的“文件”。
  2. 选择 “启用文件监视 ”,然后选择“ 保存”。
  3. 如果使用Microsoft Purview 信息保护的敏感度标签,请在信息保护下选择Microsoft Purview 信息保护
  4. 选择所需的设置,然后选择“ 保存”。
  5. 第 3 步中,创建文件策略来满足组织要求。

提示

可以通过依次转到“调查”>“文件”来查看已连接应用中的文件。

迁移建议
我们建议将 Defender for Cloud Apps 敏感信息保护与当前的 Cloud Access Security Broker (CASB) 解决方案并行使用。 首先连接要保护的应用以Microsoft Defender for Cloud Apps。 由于 API 连接器使用带外连接,因此不会发生冲突。 然后逐步将 策略 从当前的 CASB 解决方案迁移到 Defender for Cloud Apps。

注意

对于第三方应用,请验证当前负载没有超过应用允许的最大 API 调用次数。

步骤 3。 使用策略控制云应用

必需的任务:创建策略

创建策略

  1. 转到“控制”>“模板”
  2. 从列表中选择策略模板,然后选择 (+)“创建策略”
  3. 自定义策略(选择筛选器、操作和其他设置),然后选择“创建”
  4. 在“策略”选项卡中,选择策略以查看相关匹配项(活动、文件、警报)

提示

为每个风险类别创建一个策略,以覆盖所有云环境安全方案

策略如何为组织提供帮助?

你可以使用策略来帮助你监视趋势、查看安全威胁并生成自定义报表和警报。 通过策略,你可以创建治理操作,并设置数据丢失防护和文件共享控制。

步骤 4。 设置 Cloud Discovery

必需任务:启用 Defender for Cloud Apps 以查看云应用使用情况

  1. 与Microsoft Defender for Endpoint集成,自动使 Defender for Cloud Apps 能够监视公司内外Windows 10和Windows 11设备。

  2. 如果使用 Zscaler, 请将其与 Defender for Cloud Apps 集成。

  3. 若要实现完全覆盖,请创建连续 Cloud Discovery 报表

    1. 从“设置”齿轮图标选择“Cloud Discovery 设置”
    2. 选择“自动日志上传”
    3. 在“数据源”选项卡上,添加源。
    4. 在“日志收集器”选项卡上,配置日志收集器。

迁移建议
建议将 Defender for Cloud Apps 发现与当前的 CASB 解决方案并行使用。 首先配置自动防火墙日志上传到 Defender for Cloud Apps 日志收集器。 如果使用 Defender for Endpoint,请在Microsoft 365 Defender中,请确保启用将信号转发到 Defender for Cloud Apps 的选项。 配置 Cloud Discovery 不会与当前 CASB 解决方案的日志收集发生冲突。

创建快照 Cloud Discovery 报表

转到“发现”>“快照报表”并按照所示的步骤进行操作。

为什么要配置 Cloud Discovery 报表?

了解组织中的影子 IT 至关重要。 分析日志后,可以轻松找到正在使用的云应用、用户和所处的设备。

步骤 5。 为目录应用部署条件访问应用控制

建议的任务:为目录应用部署条件访问应用控制

  1. 将 IdP 配置为使用 Defender for Cloud Apps。 如果有 Azure AD,则可以利用内联控件,例如 “仅监视 ”和 “阻止下载 ”,这将适用于现成的任何目录应用。
  2. 将应用载入访问和会话控制。
    1. 在设置齿轮中,选择“条件访问应用控制”。
    2. 使用策略范围内的用户登录每个应用
    3. 刷新“条件访问应用控制”页,并查看应用。
  3. 验证应用是否已配置为使用访问和会话控件

若要为自定义业务线应用、非特色 SaaS 应用和本地应用配置会话控件,请参阅 针对任何应用的载入和部署条件访问应用控制

迁移建议
将条件访问应用控制与另一个 CASB 解决方案并行使用可能会导致应用被代理两次,进而导致延迟或其他错误。 因此,我们建议逐步将应用和策略迁移到条件访问应用控制,并在 Defender for Cloud Apps 中创建相关的会话或访问策略。

步骤 6. 对体验进行个性化设置

建议的任务:添加组织详细信息

输入电子邮件设置

  1. 从“设置”齿轮图标选择“邮件设置”
  2. 在“电子邮件发件人标识”下,输入你的电子邮件地址和显示名称。
  3. 在“电子邮件设计”下,上传组织的电子邮件模板。

设置管理员通知

  1. 在导航栏中,选择用户名,然后转到“用户设置”
  2. 在“通知”下,配置要为系统通知设置的方法。
  3. 选择 “保存”

自定义评分指标

  1. 从“设置”齿轮图标选择“Cloud Discovery 设置”
  2. 从“设置”齿轮图标选择“Cloud Discovery 设置”
  3. 在“分数指标”下,配置各种风险值的重要性。
  4. 选择 “保存”

现在,已根据组织需求和优先级对提供给发现的应用的风险评分进行精确配置。

为什么要对环境进行个性化设置?

一些功能在根据你的需求进行自定义时的性能最佳。 使用自己的电子邮件模板为用户提供更好的体验。 确定接收哪些通知并自定义你的风险评分指标以适应组织的首选项。

步骤 7. 根据需要组织数据

建议的任务:配置重要设置

创建 IP 地址标记

  1. 从“设置”齿轮图标选择“Cloud Discovery 设置”

  2. 在设置齿轮中,选择“IP 地址范围”

  3. 选择加号 (+) 添加 IP 地址范围。

  4. 输入 IP 范围“详细信息”、“位置”、“标记”和“类别”

  5. 选择“创建”

    现在,你可以在创建策略时以及筛选和创建连续报表时使用 IP 标记。

创建连续报表

  1. 从“设置”齿轮图标选择“Cloud Discovery 设置”
  2. 在“连续报表”下,选择“创建报表”
  3. 按照配置步骤进行操作。
  4. 选择“创建”

现在,你可以根据自己的喜好查看发现的数据,如业务部门或 IP 范围。

添加域

  1. 从“设置”齿轮图标选择“设置”
  2. 在“组织详细信息”下,添加组织的内部域。
  3. 选择 “保存”

为什么要配置这些设置?

这些设置可帮助你在控制台中更好地控制功能。 利用 IP 标记,可以更轻松地创建满足你的需求的策略,准确地筛选数据等。 使用数据视图将你的数据分组为逻辑类别。

后续步骤

若遇到任何问题,可随时向我们寻求帮助。 若要获取产品问题的帮助或支持,请 开具支持票证