Defender for Cloud Apps 如何保护你的 Atlassian 环境
Atlassian 是一个在线协作和软件开发平台(包括 Confluence、Jira 和 Bitbucket)。 除了在云中进行有效协作的好处外,组织最关键的资产可能会受到威胁。 暴露的资产包括具有潜在敏感信息、协作和合作关系详细信息等内容的帖子、任务和文件。 要防止这些数据泄露,需要持续监视,以防止任何恶意行为者或不了解安全的内部人员窃取敏感信息。
将 Atlassian 连接到 Defender for Cloud Apps,你就能更好地了解用户活动,并提供针对异常行为的威胁检测。 连接器将涵盖组织中使用 Atlassian 平台的所有用户,并显示来自 Confluence、Jira 和特定 Bitbucket 活动的活动。
主要威胁包括:
帐户被盗用和内部威胁
安全意识不足
非管理的自带设备办公 (BYOD)
使用策略控制 Atlassian
| 类型 | 名称 |
|---|---|
| 内置异常情况检测策略 | 来自匿名 IP 地址的活动 来自不常见国家/地区的活动 来自可疑 IP 地址的活动 不可能旅行 多次失败的登录尝试 异常管理活动 异常模拟活动 |
| 活动策略 | 通过 Atlassian 活动构建自定义策略。 |
有关创建策略的详细信息,请参阅创建策略。
自动执行治理控制
除了监视潜在威胁之外,你还可以应用并自动执行以下 Atlassian 治理操作,来修复检测到的威胁:
| 类型 | 操作 |
|---|---|
| 用户治理 | 发出警报时通知用户(通过 Microsoft Entra ID) 要求用户再次登录(通过 Microsoft Entra ID) 暂停用户(通过 Microsoft Entra ID) |
有关修复应用威胁的更多信息,请参阅治理连接的应用。
实时保护 Atlassian
查看保护外部用户并与之协作以及阻止和防止敏感数据下载到非管理的或有风险的设备的最佳做法。
SaaS 安全状况管理
连接 Atlassian 以获取 Microsoft 安全功能分数中 Atlassian 的安全状况建议。 查看 Microsoft 安全功能分数中 Atlassian 的安全建议:
- 通过在 Atlassian 门户中打开和保存每个策略来刷新策略。
- 在 Microsoft 安全功能分数中,选择建议的操作并按产品 = Atlassian 进行筛选。
例如,Atlassian 的建议包括:
- 启用多重身份验证
- 为 Web 用户启用会话超时
- 增强密码要求
- 增强 Atlassian 移动应用安全性
- 保护应用数据
有关详细信息,请参阅:
将 Atlassian 连接到 Microsoft Defender for Cloud Apps
本部分介绍如何使用应用连接器 API 将 Microsoft Defender for Cloud Apps 连接到现有 Atlassian 产品。 通过此连接,可以实现组织对 Atlassian 使用的可见性和控制。
注意
连接器将涵盖组织中使用 Atlassian 平台的所有用户,并显示来自 Confluence、Jira 和特定 Bitbucket 活动的活动。 有关 Atlassian 活动的详细信息,请参阅 Atlassian 审核日志活动。
先决条件
- 需要 Atlassian Access 计划。
- 你必须以组织管理员身份登录到 Atlassian。
配置 Atlassian
使用管理员帐户登录到 Atlassian 管理员门户。
转到“设置 -> API 密钥”,然后选择“创建 API 密钥”。 (还可以在此处找到创建 API 密钥的 Atlassian 文档)。
为 API 密钥提供以下值:
名称:可以指定任意名称。 建议的名称是 Microsoft Defender for Cloud Apps,以便你了解此集成的用途。
过期日期:将期满日设置为创建日期后的一年(这是 Atlassian 期满日的最长时间)。
注意
根据 Atlassian 的 API 要求,需要每年创建一个用于此集成的 API 密钥。
选择“创建”后,复制组织 ID 和 API 密钥。 稍后需要用到此信息。
注意
验证域:要在 Defender for Cloud Apps 中查看 Atlassian 用户及其活动,你需要验证域。 在 Atlassian 中,域用于确定哪些用户帐户可以由你的组织管理。 如果未在 Atlassian 配置中验证用户的域,则不会看到他们及其活动。 要在 Atlassian 中验证域,请参阅验证域以管理帐户。
配置 Defender for Cloud Apps
在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”。
在“应用连接器”页面中,选择“+ 连接应用”,然后选择“Atlassian”。
在下一个窗口中,为实例指定描述性名称,然后选择“下一步”。
在下一页中,输入之前保存的组织 ID 和 API 密钥。
注意
- 第一个连接最长可能需要 4 小时才能获取所有的用户及其活动。
- 将显示的活动是从连接连接器起生成的活动。
- Defender for Cloud Apps 会提取“Atlassian Access”审核日志中的活动。 目前不会提取其他活动。 请参阅产品审核日志。
- 连接器的状态标记为“已连接”后,连接器将上线并运行。
撤销和续订 API 密钥
Microsoft 建议使用短期的密钥或令牌连接应用,作为安全最佳做法。
我们建议每隔 6 个月刷新一次 Atlassian API 密钥,作为最佳做法。 要刷新密钥,请撤销现有 API 密钥并生成新密钥。
要撤销 API 密钥,请导航到 admin.atlassian.com>“设置”>“API 密钥”,确定用于集成的 API 密钥,然后选择“撤销”。
按照上述步骤在 Atlassian 管理员门户中重新创建 API 密钥。
之后,转到 Microsoft Defender 门户的应用连接器页面,编辑连接器:
输入新生成的新 API 密钥,然后选择“连接 Atlassian”。
在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”。 确保连接的应用连接器为已连接状态。
注意
默认情况下,API 密钥的有效期为 1 年,并会在一年后自动过期。
相关内容
速率上限和限制
速率上限 包括每分钟 1000 个请求(每个 API 密钥/连接器实例)。
有关 Atlassian API 限制的更多信息,请参阅 Atlassian 管理员 REST API。
限制包括:
只有具有已验证域的用户才会在 Defender for Cloud Apps 中显示活动。
API 密钥的最长到期期限为一年。 一年后,你需要从 Atlassian 管理员门户创建另一个 API 密钥,并用其替换 Defender for Cloud Apps 控制台中的旧 API 密钥。
在 Defender for Cloud Apps 中,你无法看到用户是否为管理员。
系统活动以 Atlassian 内部系统帐户名称显示。
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。