Jak Defender dla Chmury Apps pomaga chronić środowisko platformy Microsoft 365

Jako główny pakiet produktywności zapewniający magazyn plików w chmurze, współpracę, analizy biznesowej i narzędzia CRM, platforma Microsoft 365 umożliwia użytkownikom udostępnianie swoich dokumentów w organizacji i partnerom w usprawniony i wydajny sposób. Korzystanie z platformy Microsoft 365 może uwidocznić poufne dane nie tylko wewnętrznie, ale także zewnętrznych współpracowników lub jeszcze gorzej udostępnić je publicznie za pośrednictwem udostępnionego linku. Takie zdarzenia mogą wystąpić z powodu złośliwego aktora lub nieświadomego pracownika. Platforma Microsoft 365 udostępnia również duży ekosystem aplikacji innych firm, aby zwiększyć produktywność. Użycie tych aplikacji może narażać organizację na ryzyko złośliwych aplikacji lub korzystania z aplikacji z nadmiernymi uprawnieniami.

Połączenie rozwiązania Microsoft 365 do Defender dla Chmury Apps zapewnia lepszy wgląd w działania użytkowników, zapewnia wykrywanie zagrożeń przy użyciu wykrywania anomalii opartych na uczeniu maszynowym, wykrywania ochrony informacji (takich jak wykrywanie udostępniania informacji zewnętrznych), umożliwia automatyczne mechanizmy kontroli korygowania i wykrywa zagrożenia z aplikacji innych firm w organizacji.

Defender dla Chmury Apps integruje się bezpośrednio z usługą Dzienniki inspekcji platformy Microsoft 365 i zapewniają ochronę wszystkich obsługiwanych usług. Aby uzyskać listę obsługiwanych usług, zobacz Microsoft 365 services that support auditing (Usługi platformy Microsoft 365 obsługujące inspekcję).

Użyj tego łącznika aplikacji, aby uzyskać dostęp do funkcji zarządzania stanem zabezpieczeń SaaS (SSPM) za pośrednictwem mechanizmów kontroli zabezpieczeń odzwierciedlonej w wskaźniku bezpieczeństwa firmy Microsoft. Dowiedz się więcej.

Ulepszenia skanowania plików dla platformy Microsoft 365

usługa Defender dla Chmury Apps dodała nowe ulepszenia skanowania plików dla programów SharePoint i OneDrive:

  • Szybsza szybkość skanowania niemal w czasie rzeczywistym dla plików w programach SharePoint i OneDrive.

  • Lepsza identyfikacja poziomu dostępu pliku w programie SharePoint: poziom dostępu do plików w programie SharePoint będzie domyślnie oznaczony jako Wewnętrzny, a nie jako Prywatny (ponieważ każdy plik w programie SharePoint jest dostępny dla właściciela witryny, a nie tylko przez właściciela pliku).

    Uwaga

    Ta zmiana może mieć wpływ na zasady dotyczące plików (jeśli zasady dotyczące plików szukają plików wewnętrznych lub prywatnych w programie SharePoint).

Główne zagrożenia

  • Naruszone konta i zagrożenia wewnętrzne
  • Wyciek danych
  • Niewystarczająca świadomość zabezpieczeń
  • Złośliwe aplikacje innych firm
  • Złośliwe oprogramowanie
  • Wyłudzanie informacji
  • Oprogramowanie wymuszające okup
  • Niezarządzane użycie własnego urządzenia (BYOD)

Jak Defender dla Chmury Apps pomaga chronić środowisko

Kontrolowanie platformy Microsoft 365 za pomocą wbudowanych zasad i szablonów zasad

Do wykrywania i powiadamiania o potencjalnych zagrożeniach można użyć następujących wbudowanych szablonów zasad:

Type Nazwisko
Wbudowane zasady wykrywania anomalii Działanie z anonimowych adresów IP
Aktywność z rzadko występującego kraju
Działanie z podejrzanych adresów IP
Niemożliwa podróż
Działanie wykonywane przez zakończonego użytkownika (wymaga identyfikatora Entra firmy Microsoft jako dostawcy tożsamości)
Wykrywanie złośliwego oprogramowania
Wiele nieudanych prób logowania
Wykrywanie oprogramowania wymuszającego okup
Podejrzane działanie usuwania wiadomości e-mail (wersja zapoznawcza)
Podejrzane przekazywanie skrzynki odbiorczej
Nietypowe działania usuwania plików
Nietypowe działania udziału plików
Nietypowe działania pobierania wielu plików
Szablon zasad działania Logowania z ryzykownego adresu IP
Masowe pobieranie przez pojedynczego użytkownika
Potencjalna aktywność oprogramowania wymuszającego okup
Zmiana poziomu dostępu (Teams)
Dodano użytkownika zewnętrznego (Teams)
Masowe usuwanie (Teams)
Szablon zasad dotyczących plików Wykrywanie pliku udostępnionego nieautoryzowanej domeny
Wykrywanie pliku udostępnionego osobistym adresom e-mail
Wykrywanie plików za pomocą interfejsu PII/PCI/PHI
Zasady wykrywania anomalii aplikacji OAuth Myląca nazwa aplikacji OAuth
Myląca nazwa wydawcy dla aplikacji OAuth
Zgoda na złośliwą aplikację OAuth

Aby uzyskać więcej informacji na temat tworzenia zasad, zobacz Tworzenie zasad.

Automatyzowanie mechanizmów kontroli ładu

Oprócz monitorowania potencjalnych zagrożeń można zastosować i zautomatyzować następujące akcje ładu platformy Microsoft 365 w celu skorygowania wykrytych zagrożeń:

Typ Akcja
Ład dotyczący danych OneDrive:
- Dziedzicz uprawnienia folderu nadrzędnego
- Utwórz plik/folder prywatny
- Umieść plik/folder w kwarantannie administratora
- Umieść plik/folder w kwarantannie użytkownika
— Plik/folder kosza
- Usuwanie określonego współpracownika
- Usuwanie zewnętrznych współpracowników w pliku/folderze
— Stosowanie etykiety poufności usługi Microsoft Purview Information Protection
— Usuwanie etykiety poufności usługi Microsoft Purview Information Protection
Programu sharepoint:
- Dziedzicz uprawnienia folderu nadrzędnego
- Utwórz plik/folder prywatny
- Umieść plik/folder w kwarantannie administratora
- Umieść plik/folder w kwarantannie użytkownika
- Umieść plik/folder w kwarantannie użytkownika i dodaj uprawnienia właściciela
— Plik/folder kosza
- Usuwanie zewnętrznych współpracowników w pliku/folderze
- Usuwanie określonego współpracownika
— Stosowanie etykiety poufności usługi Microsoft Purview Information Protection
— Usuwanie etykiety poufności usługi Microsoft Purview Information Protection
Zarządzanie użytkownikami — Powiadamianie użytkownika o alercie (za pośrednictwem identyfikatora Entra firmy Microsoft)
— Wymagaj od użytkownika ponownego logowania (za pośrednictwem identyfikatora Entra firmy Microsoft)
— Zawieszanie użytkownika (za pośrednictwem identyfikatora Entra firmy Microsoft)
Zarządzanie aplikacjami OAuth — Odwoływanie uprawnień aplikacji OAuth

Aby uzyskać więcej informacji na temat korygowania zagrożeń z aplikacji, zobacz Zarządzanie połączonymi aplikacjami.

Ochrona platformy Microsoft 365 w czasie rzeczywistym

Zapoznaj się z naszymi najlepszymi rozwiązaniami dotyczącymi zabezpieczania i współpracy z użytkownikami zewnętrznymi oraz blokowania i ochrony pobierania poufnych danych do niezarządzanych lub ryzykownych urządzeń.

integracja aplikacji Defender dla Chmury z platformą Microsoft 365

usługa Defender dla Chmury Apps obsługuje starszą platformę Microsoft 365 Dedicated Platform, a także najnowsze oferty usług Platformy Microsoft 365, często określane jako rodzina wersji vNext platformy Microsoft 365.

W niektórych przypadkach wersja usługi vNext różni się nieco na poziomach administracyjnych i zarządzania niż w standardowej ofercie platformy Microsoft 365.

Rejestrowanie inspekcji

Defender dla Chmury Apps integruje się bezpośrednio z usługą Dzienniki inspekcji platformy Microsoft 365 i odbierają wszystkie zdarzenia inspekcji ze wszystkich obsługiwanych usług. Aby uzyskać listę obsługiwanych usług, zobacz Microsoft 365 services that support auditing (Usługi platformy Microsoft 365 obsługujące inspekcję).

  • Rejestrowanie inspekcji administratora programu Exchange, które jest domyślnie włączone na platformie Microsoft 365, rejestruje zdarzenie w dzienniku inspekcji platformy Microsoft 365, gdy administrator (lub użytkownik, któremu przypisano uprawnienia administracyjne) wprowadza zmianę w organizacji usługi Exchange Online. Zmiany wprowadzone za pomocą Centrum administracyjnego programu Exchange lub za pomocą polecenia cmdlet w programie Windows PowerShell są rejestrowane w dzienniku inspekcji administratora programu Exchange. Aby uzyskać bardziej szczegółowe informacje dotyczące rejestrowania inspekcji administratora programu Exchange, zobacz Administrator audit logging (Rejestrowanie inspekcji administratora).

  • Zdarzenia z programów Exchange, Power BI i Teams będą wyświetlane tylko po wykryciu działań z tych usług w portalu.

  • Wdrożenia obejmujące wiele regionów geograficznych są obsługiwane tylko w usłudze OneDrive

Integracja z usługą Microsoft Entra

  • Jeśli identyfikator Entra firmy Microsoft jest ustawiony na automatyczną synchronizację z użytkownikami w środowisku lokalnym usługi Active Directory, ustawienia w środowisku lokalnym zastępują ustawienia usługi Microsoft Entra i używają akcji Wstrzymaj ład użytkownika zostaną przywrócone.

  • W przypadku działań związanych z logowaniem w usłudze Microsoft Entra aplikacje Defender dla Chmury tylko wyświetla interaktywne działania logowania i działania logowania ze starszych protokołów, takich jak ActiveSync. Działania logowania nieinterakcyjnego mogą być wyświetlane w dzienniku inspekcji firmy Microsoft Entra.

  • Jeśli aplikacja pakietu Office są włączone, grupy, które są częścią platformy Microsoft 365, są również importowane do aplikacji Defender dla Chmury z określonych aplikacja pakietu Office, na przykład jeśli program SharePoint jest włączony, grupy platformy Microsoft 365 również są importowane jako grupy programu SharePoint.

Pomoc techniczna dot. kwarantanny

  • W programach SharePoint i OneDrive aplikacje Defender dla Chmury obsługują kwarantannę użytkownika tylko dla plików w bibliotekach dokumentów udostępnionych (SharePoint Online) i plikach w bibliotece Dokumenty (OneDrive dla Firm).

  • W programie SharePoint aplikacje Defender dla Chmury obsługują zadania kwarantanny tylko dla plików z dokumentami udostępnionymi w ścieżce w języku angielskim.

Połączenie platformy Microsoft 365 do aplikacji Microsoft Defender dla Chmury

Ta sekcja zawiera instrukcje dotyczące łączenia aplikacji Microsoft Defender dla Chmury z istniejącym kontem platformy Microsoft 365 przy użyciu interfejsu API łącznika aplikacji. To połączenie zapewnia wgląd i kontrolę nad użyciem platformy Microsoft 365. Aby uzyskać informacje o tym, jak usługa Defender dla Chmury Apps chroni platformę Microsoft 365, zobacz Protect Microsoft 365 (Ochrona platformy Microsoft 365).

Użyj tego łącznika aplikacji, aby uzyskać dostęp do funkcji zarządzania stanem zabezpieczeń SaaS (SSPM) za pośrednictwem mechanizmów kontroli zabezpieczeń odzwierciedlonej w wskaźniku bezpieczeństwa firmy Microsoft. Dowiedz się więcej.

Wymagania wstępne:

  • Aby połączyć platformę Microsoft 365 z aplikacjami Defender dla Chmury, musisz mieć co najmniej jedną przypisaną licencję platformy Microsoft 365.

  • Aby włączyć monitorowanie działań platformy Microsoft 365 w usłudze Defender dla Chmury Apps, musisz włączyć inspekcję w portal zgodności Microsoft Purview.

  • Rejestrowanie inspekcji skrzynki pocztowej programu Exchange musi być włączone dla każdej skrzynki pocztowej użytkownika przed zarejestrowaniem aktywności użytkownika w usłudze Exchange Online, zobacz Działania skrzynki pocztowej programu Exchange.

  • Aby uzyskać dzienniki, należy włączyć inspekcję w usłudze Power BI . Po włączeniu inspekcji usługa Defender dla Chmury Apps rozpoczyna pobieranie dzienników (z opóźnieniem 24–72 godzin).

  • Aby uzyskać dzienniki z tego miejsca, należy włączyć inspekcję w usłudze Dynamics 365 . Po włączeniu inspekcji usługa Defender dla Chmury Apps rozpoczyna pobieranie dzienników (z opóźnieniem 24–72 godzin).

Aby połączyć platformę Microsoft 365 z aplikacjami Defender dla Chmury:

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Połączenie ed apps (Aplikacje Połączenie ed) wybierz pozycję App Połączenie ors (Połączenie ors).

  2. Na stronie Łącznik aplikacji s wybierz pozycję +Połączenie aplikację, a następnie wybierz pozycję Microsoft 365.

    Connect O365 menu option.

  3. Na stronie Wybieranie składników platformy Microsoft 365 wybierz wymagane opcje, a następnie wybierz pozycję Połączenie.

    Uwaga

    • Aby uzyskać najlepszą ochronę, zalecamy wybranie wszystkich składników platformy Microsoft 365.
    • Składnik plików usługi Azure AD wymaga składnika działań usługi Azure AD i monitorowania plików Defender dla Chmury Apps (Ustawienia> Cloud Apps>Files>Enable file monitoring).

    connect O365 components.

  4. Na stronie Obserwowanie linku wybierz pozycję Połączenie Microsoft 365.

  5. Po pomyślnym nawiązaniu połączenia z platformą Microsoft 365 wybierz pozycję Gotowe.

  6. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Połączenie ed apps (Aplikacje Połączenie ed) wybierz pozycję App Połączenie ors (Połączenie ors). Upewnij się, że stan połączonej Połączenie or aplikacji jest Połączenie.

Dane programu SaaS Security Posture Management (SSPM) są wyświetlane w portalu Microsoft Defender na stronie Wskaźnik bezpieczeństwa. Aby uzyskać więcej informacji, zobacz Zarządzanie stanem zabezpieczeń dla aplikacji SaaS.

Uwaga

Po nawiązaniu połączenia z platformą Microsoft 365 zobaczysz dane z tygodnia wstecz, w tym wszystkie aplikacje innych firm połączone z usługą Microsoft 365, które ściągają interfejsy API. W przypadku aplikacji innych firm, które nie ściągały interfejsów API przed nawiązaniem połączenia, zdarzenia są widoczne od momentu nawiązania połączenia z platformą Microsoft 365, ponieważ Defender dla Chmury Apps włącza wszystkie interfejsy API, które zostały domyślnie wyłączone.

Jeśli masz problemy z nawiązywaniem połączenia z aplikacją, zobacz Rozwiązywanie problemów z Połączenie orami aplikacji.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.