Hogyan segítik a Felhőhöz készült Defender-alkalmazások a Microsoft 365-környezet védelmét?
A Microsoft 365 egy fő hatékonyságnövelő csomag, amely felhőalapú fájltárolást, együttműködést, BI- és CRM-eszközöket biztosít, lehetővé teszi, hogy a felhasználók egyszerűbben és hatékonyan oszthassák meg dokumentumaikat a szervezet és a partnerek között. A Microsoft 365 használata nemcsak belsőleg, hanem külső közreműködők számára is közzéteheti bizalmas adatait, vagy még rosszabb esetben is nyilvánosan elérhetővé teheti egy megosztott hivatkozáson keresztül. Az ilyen incidensek rosszindulatú szereplő vagy nem tudó alkalmazott miatt fordulhatnak elő. A Microsoft 365 egy nagy, külső gyártótól származó alkalmazás-ökorendszert is biztosít a hatékonyság növelése érdekében. Ezeknek az alkalmazásoknak a használatával a szervezetet veszélyeztetheti a rosszindulatú alkalmazások vagy a túlzott engedélyekkel rendelkező alkalmazások használata.
Csatlakozás Microsoft 365 Felhőhöz készült Defender Apps szolgáltatással jobb betekintést nyerhet a felhasználók tevékenységeibe, gépi tanulási alapú anomáliadetektálással, információvédelmi észlelésekkel (például külső információmegosztás észlelésével), automatizált szervizelési vezérlőket tesz lehetővé, és észleli a szervezetében engedélyezett külső alkalmazások fenyegetéseit.
Felhőhöz készült Defender Alkalmazások közvetlenül integrálhatók a A Microsoft 365 naplózási naplói védelmet nyújtanak az összes támogatott szolgáltatás számára. A támogatott szolgáltatások listáját a naplózást támogató Microsoft 365-szolgáltatásokban találja.
Ezzel az alkalmazás-összekötő használatával elérheti az SaaS Security Posture Management (SSPM) funkcióit a Microsoft biztonsági pontszámában tükröződő biztonsági vezérlők használatával. További információ.
A Microsoft 365 fájlvizsgálati fejlesztései
Felhőhöz készült Defender Alkalmazások új fájlkeresési fejlesztéseket adtak hozzá a SharePointhoz és a OneDrive-hoz:
Gyorsabb, közel valós idejű beolvasási sebesség a SharePointban és a OneDrive-on tárolt fájlok esetében.
A SharePointban a fájlok hozzáférési szintjének jobb azonosítása: a SharePoint fájlhozzáférési szintje alapértelmezés szerint belsőként, nem privátkéntlesz megjelölve (mivel a SharePoint minden fájlja elérhető a webhely tulajdonosa, és nem csak a fájltulajdonos számára).
Feljegyzés
Ez a módosítás hatással lehet a fájlszabályzatokra (ha egy fájlszabályzat belső vagy privát fájlokat keres a SharePointban).
Főbb fenyegetések
- Feltört fiókok és belső fenyegetések
- Adatszivárgás
- Nem megfelelő biztonsági tudatosság
- Rosszindulatú külső alkalmazások
- Kártevő
- Adathalászat
- Zsarolóprogramok
- Nem felügyelt saját eszköz (BYOD) használata
Hogyan segítik a Felhőhöz készült Defender-alkalmazások a környezet védelmét?
- Felhőbeli fenyegetések, feltört fiókok és rosszindulatú bennfentesek észlelése
- A felhőben tárolt szabályozott és bizalmas adatok felderítése, besorolása, címkézése és védelme
- A környezethez hozzáféréssel rendelkező OAuth-alkalmazások felderítése és kezelése
- DLP- és megfelelőségi szabályzatok kényszerítése a felhőben tárolt adatokhoz
- A megosztott adatok expozíciójának korlátozása és az együttműködési szabályzatok kikényszerítése
- A kriminalisztikai vizsgálatokhoz szükséges tevékenységek ellenőrzési nyomvonalának használata
A Microsoft 365 szabályozása beépített szabályzatokkal és szabályzatsablonokkal
A következő beépített szabályzatsablonokkal észlelheti és értesítheti a lehetséges fenyegetésekről:
| Típus | Név |
|---|---|
| Beépített anomáliadetektálási szabályzat | Tevékenység névtelen IP-címekről Ritka országból származó tevékenység Gyanús IP-címekről származó tevékenység Lehetetlen utazás A megszakított felhasználó által végzett tevékenység (a Microsoft Entra idP azonosítóját igényli) Kártevők észlelése Több sikertelen bejelentkezési kísérlet Zsarolóprogramok észlelése Gyanús e-mail törlési tevékenység (előzetes verzió) Gyanús beérkezett üzenetek továbbítása Szokatlan fájltörlés Szokatlan fájlmegosztási tevékenységek Szokatlan, több fájlletöltési tevékenység |
| Tevékenységházirend-sablon | Bejelentkezés kockázatos IP-címről Egyetlen felhasználó által végrehajtott tömeges letöltés Lehetséges zsarolóprogram-tevékenység Hozzáférési szint módosítása (Teams) Külső felhasználó hozzáadva (Teams) Tömeges törlés (Teams) |
| Fájlszabályzat-sablon | Jogosulatlan tartománnyal megosztott fájl észlelése Személyes e-mail-címekkel megosztott fájl észlelése Fájlok észlelése PII/PCI/PHI használatával |
| OAuth-alkalmazás anomáliadetektálási szabályzata | Félrevezető OAuth-alkalmazásnév OAuth-alkalmazás félrevezető közzétevői neve Rosszindulatú OAuth-alkalmazás hozzájárulása |
A szabályzatok létrehozásával kapcsolatos további információkért lásd : Szabályzat létrehozása.
Szabályozási vezérlők automatizálása
A lehetséges fenyegetések monitorozása mellett az alábbi Microsoft 365 szabályozási műveleteket is alkalmazhatja és automatizálhatja az észlelt fenyegetések elhárításához:
| Típus | Művelet |
|---|---|
| Adatszabályozás | OneDrive: – Szülőmappa-engedélyek öröklése – Fájl/mappa privátsá tétele – Fájl/mappa elhelyezése rendszergazdai karanténba – Fájl/mappa elhelyezése felhasználói karanténba - Kukafájl/mappa – Adott közreműködő eltávolítása – Külső közreműködők eltávolítása fájlon/mappán - Microsoft Purview információvédelem bizalmassági címke alkalmazása – Microsoft Purview információvédelem bizalmassági címke eltávolítása Sharepoint: – Szülőmappa-engedélyek öröklése – Fájl/mappa privátsá tétele – Fájl/mappa elhelyezése rendszergazdai karanténba – Fájl/mappa elhelyezése felhasználói karanténba – Helyezze a fájlt/mappát a felhasználói karanténba, és adjon hozzá tulajdonosi engedélyeket - Kukafájl/mappa – Külső közreműködők eltávolítása fájlon/mappán – Adott közreműködő eltávolítása - Microsoft Purview információvédelem bizalmassági címke alkalmazása – Microsoft Purview információvédelem bizalmassági címke eltávolítása |
| Felhasználóirányítás | - Értesítés a felhasználó értesítéséről (Microsoft Entra-azonosítón keresztül) – A felhasználó ismételt bejelentkezésének megkövetelése (Microsoft Entra-azonosítón keresztül) - Felhasználó felfüggesztése (Microsoft Entra-azonosítón keresztül) |
| OAuth-alkalmazások szabályozása | – OAuth-alkalmazás engedélyének visszavonása |
További információ az alkalmazások fenyegetéseinek elhárításáról: Csatlakoztatott alkalmazások szabályozása.
A Microsoft 365 védelme valós időben
Tekintse át a külső felhasználók biztonságának és együttműködésének, valamint a bizalmas adatok nem felügyelt vagy kockázatos eszközökre való letöltésének blokkolásával és védelmével kapcsolatos ajánlott eljárásainkat.
Felhőhöz készült Defender Alkalmazások integrációja a Microsoft 365-kel
Felhőhöz készült Defender Alkalmazások támogatják az örökölt Microsoft 365 dedikált platformot, valamint a Microsoft 365-szolgáltatások legújabb ajánlatait, amelyeket gyakran a Microsoft 365 vNext kiadási családjának neveznek.
Bizonyos esetekben a vNext-szolgáltatások kiadása kissé eltér a microsoft 365 standard ajánlatától a felügyeleti és felügyeleti szinteken.
Naplózás naplózása
Felhőhöz készült Defender Alkalmazások közvetlenül integrálhatók a A Microsoft 365 naplói, és minden auditált eseményt fogad az összes támogatott szolgáltatástól. A támogatott szolgáltatások listáját a naplózást támogató Microsoft 365-szolgáltatásokban találja.
Az Exchange rendszergazdai naplózása, amely alapértelmezés szerint engedélyezve van a Microsoft 365-ben, naplóz egy eseményt a Microsoft 365 naplózási naplójában, amikor egy rendszergazda (vagy egy rendszergazdai jogosultsággal rendelkező felhasználó) módosítást végez az Exchange Online-szervezetben. Az Exchange felügyeleti központjában vagy a Windows PowerShell-parancsmagokkal elvégzett változtatásokról bejegyzés jön létre az Exchange felügyeleti naplójában. Az Exchange felügyeleti naplózásáról ez a cikk nyújt részletesebb tájékoztatást.
Az Exchange, a Power BI és a Teams eseményei csak akkor jelennek meg, ha az adott szolgáltatások tevékenységeit észleli a portál.
A több földrajzi helyű üzemelő példányok csak a OneDrive-hoz támogatottak
Microsoft Entra-integráció
Ha a Microsoft Entra-azonosító automatikus szinkronizálásra van beállítva az Active Directory helyszíni környezetében lévő felhasználókkal, a helyszíni környezet beállításai felülbírálják a Microsoft Entra beállításait, és a felhasználóirányítás felfüggesztése művelet visszaáll.
A Microsoft Entra bejelentkezési tevékenységei esetében az Felhőhöz készült Defender Apps csak interaktív bejelentkezési és bejelentkezési tevékenységeket jelenít meg az örökölt protokollokból, például az ActiveSyncből. A nem interaktív bejelentkezési tevékenységek megtekinthetők a Microsoft Entra auditnaplójában.
Ha engedélyezve vannak a Office-app, a Microsoft 365 részét képező csoportok is importálva lesznek az adott Office-app Felhőhöz készült Defender-alkalmazásokba, például ha a SharePoint engedélyezve van, a Microsoft 365-csoportokat is SharePoint-csoportokként importálja a rendszer.
Karantén támogatása
A SharePointban és a OneDrive-ban a Felhőhöz készült Defender-alkalmazások csak a megosztott dokumentumtárakban(SharePoint Online) és a Dokumentumok tárban (OneDrive Vállalati verzió) lévő fájlok esetében támogatják a felhasználói karantént.
A SharePointban a Felhőhöz készült Defender-alkalmazások csak a megosztott dokumentumokat tartalmazó fájlok karanténba helyezési feladatait támogatják angol nyelven.
Csatlakozás Microsoft 365-ről Felhőhöz készült Microsoft Defender-alkalmazásokra
Ez a szakasz útmutatást nyújt a Felhőhöz készült Microsoft Defender-alkalmazások meglévő Microsoft 365-fiókhoz való csatlakoztatásához az alkalmazás-összekötő API használatával. Ezzel a kapcsolattal áttekintheti és szabályozhatja a Microsoft 365 használatát. A Felhőhöz készült Defender Apps a Microsoft 365 védelméről a Microsoft 365 védelme című témakörben talál további információt.
Ezzel az alkalmazás-összekötő használatával elérheti az SaaS Security Posture Management (SSPM) funkcióit a Microsoft biztonsági pontszámában tükröződő biztonsági vezérlők használatával. További információ.
Előfeltételek:
A Microsoft 365 és Felhőhöz készült Defender Apps összekapcsolásához legalább egy hozzárendelt Microsoft 365-licenccel kell rendelkeznie.
A Microsoft 365-tevékenységek Felhőhöz készült Defender-alkalmazásokban való figyelésének engedélyezéséhez engedélyeznie kell a naplózást a Microsoft Purview megfelelőségi portál.
Az Exchange Postaláda naplózását be kell kapcsolni minden felhasználói postaláda esetében, mielőtt az Exchange Online felhasználói tevékenységeit naplózták. Lásd: Exchange Postaláda-tevékenységek.
A naplók onnan való lekéréséhez engedélyeznie kell a naplózást a Power BI-ban . Ha a naplózás engedélyezve van, Felhőhöz készült Defender alkalmazások elkezdik lekért naplókat (24–72 órás késéssel).
A naplók onnan való lekéréséhez engedélyeznie kell a naplózást a Dynamics 365-ben . Ha a naplózás engedélyezve van, Felhőhöz készült Defender alkalmazások elkezdik lekért naplókat (24–72 órás késéssel).
A Microsoft 365 csatlakoztatása Felhőhöz készült Defender-alkalmazásokhoz:
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget. A Csatlakozás alkalmazások területen válassza az Alkalmazás Csatlakozás orok lehetőséget.
A Alkalmazás-összekötő lapon válassza az alkalmazás +Csatlakozás, majd a Microsoft 365 lehetőséget.
A Microsoft 365-összetevők kiválasztása lapon válassza ki a kívánt beállításokat, majd válassza a Csatlakozás.
Feljegyzés
- A legjobb védelem érdekében javasoljuk, hogy válassza ki az összes Microsoft 365-összetevőt.
- Az Azure AD-fájlok összetevőhöz szükség van az Azure AD-tevékenységek összetevőre és Felhőhöz készült Defender Alkalmazások fájlmonitorozására (Gépház> Cloud-alkalmazások fájljai engedélyezik>>a fájlfigyelést).
A Hivatkozás követése lapon válassza Csatlakozás Microsoft 365 lehetőséget.
Miután a Microsoft 365 sikeresen csatlakozottként jelenik meg, válassza a Kész lehetőséget.
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget. A Csatlakozás alkalmazások területen válassza az Alkalmazás Csatlakozás orok lehetőséget. Győződjön meg arról, hogy a csatlakoztatott alkalmazás Csatlakozás or állapota Csatlakozás.
Az SaaS Security Posture Management (SSPM) adatai a Microsoft Defender portál biztonságos pontszám oldalán jelennek meg. További információ: SaaS-alkalmazások biztonsági helyzetkezelése.
Feljegyzés
A Microsoft 365 csatlakoztatása után egy hét múlva megjelennek az adatok, beleértve a Microsoft 365-höz csatlakoztatott, API-kat lehúzó külső alkalmazásokat is. Az olyan külső alkalmazások esetében, amelyek nem húzták le az API-kat a kapcsolat előtt, a Microsoft 365 csatlakoztatásától kezdve eseményeket láthat, mert Felhőhöz készült Defender Alkalmazások alapértelmezés szerint kikapcsolt API-kat kapcsol be.
Ha problémái vannak az alkalmazás csatlakoztatásával, tekintse meg az alkalmazás Csatlakozás orok hibaelhárítását.
Következő lépések
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.