Defender for Cloud 应用如何帮助保护你的 Box 环境

  • 项目

作为云文件存储和协作工具,Box 使用户能够以简化和高效的方式在组织和合作伙伴之间共享文档。 使用 Box 不仅会在内部暴露敏感数据,还会暴露给外部协作者,甚至更糟糕的是,通过共享链接公开这些数据。 此类事件可能是由恶意行为者或不知情的员工造成的。

将 Box 连接到 Defender for Cloud Apps 可以让你更好地了解用户的活动,使用基于机器学习的异常情况检测、信息保护检测(例如检测外部信息共享)并启用自动修复控制,以提供威胁检测。

主要威胁

  • 帐户被盗用和内部威胁
  • 数据泄露
  • 安全意识不足
  • 恶意软件
  • 勒索软件
  • 非管理的自带设备办公 (BYOD)

Defender for Cloud Apps 如何保护你的环境

使用内置策略和策略模板控制 Box

可以使用以下内置策略模板来检测潜在威胁并向你发出通知:

类型 名称
内置异常情况检测策略 来自匿名 IP 地址的活动
来自不常见国家/地区的活动
来自可疑 IP 地址的活动
不可能旅行
已离职用户执行的活动(需要 Microsoft Entra ID 作为 IdP)
恶意软件检测
多次失败的登录尝试
勒索软件检测
异常管理活动
异常文件检测活动
异常文件共享活动
异常的多个文件下载活动
活动策略模板 从风险性 IP 地址登录
单个用户的大容量下载
潜在的勒索软件活动
文件策略模板 检测与未经授权的域共享的文件
检测与个人电子邮件地址共享的文件
使用 PII/PCI/PHI 检测文件

有关创建策略的详细信息,请参阅创建策略

自动执行治理控制

除了监视潜在威胁之外,你还可以应用并自动执行以下 Box 治理操作,来修复检测到的威胁:

类型 操作
数据管理 - 更改文件夹上的共享链接访问级别
- 将文件夹放入管理员隔离区
- 将文件夹放入用户隔离区
- 从文件夹中删除协作者
- 删除文件夹上的直接共享链接
- 删除文件夹上的外部协作者
- 向文件所有者发送 DLP 违反摘要
- 将违反摘要发送到最后一个文件编辑器
- 设置文件夹共享链接的到期日期
- 回收站文件夹
用户治理 - 暂停用户
- 发出警报时通知用户(通过 Microsoft Entra ID)
- 要求用户再次登录(通过 Microsoft Entra ID)
- 暂停用户(通过 Microsoft Entra ID)

有关修复应用威胁的更多信息,请参阅治理连接的应用

实时保护 Box

查看保护外部用户并与之协作以及阻止和防止敏感数据下载到非管理的或有风险的设备的最佳做法。

将 Box 连接到 Microsoft Defender for Cloud Apps

本部分提供有关使用应用连接或 API 将 Microsoft Defender for Cloud Apps 连接到现有 Box 帐户的说明。 通过此连接,可以实现对 Box 使用的可见性和控制。 有关 Defender for Cloud Apps 如何保护 Box 的信息,请参阅保护 Box

注意

使用非管理员帐户进行部署会导致 API 测试失败,并导致 Defender for Cloud Apps 无法扫描 Box 中的所有文件。 如果存在这个问题,可以部署已选中所有权限的共同管理员,但 API 测试仍回失败,且不会扫描 Box 中其他管理员拥有的文件。

将 Box 连接到 Defender for Cloud Apps

  1. 如果你限制应用程序权限访问,请执行此步骤。 否则,请跳到步骤 2。

    1. 以管理员用户身份登录到 Box 帐户。

    2. 转到自定义应用设置。 有关详细信息,请参阅管理自定义应用 – Box 支持

    3. 如果设置配置为默认禁用未发布的应用,请如下表所列,输入数据中心的 Defender for Cloud Apps API 密钥,并保存更改。

      数据中心
      		 Defender for Cloud Apps API 密钥
      US1 nduj1o3yavu30dii7e03c3n7p49cj2qh
      US2 w0ouf1apiii9z8o0r6kpr4nu1pvyec75
      US3 dmcyvu1s9284i2u6gw9r2kb0hhve4a0r
      EU1 me9cm6n7kr4mfz135yt0ab9f5k4ze8qp
      EU2 uwdy5r40t7jprdlzo85v8suw1l4cdsbf

      数据中心详细信息显示在设置区域中的 Defender for Cloud Apps About中。 有关详细信息,请参阅查看数据中心

  2. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”

  3. 在“应用连接器”页面,选择“+ 连接应用”,然后选择“Box”

    Connect Box.

  4. 在“实例名称”页面,输入连接的名称。 然后,选择“下一步”。

  5. 在“访问链接”弹出窗口,选择“连接 Box”

  6. 此时将打开 Box 登录页。 输入凭证以让 Defender for Cloud Apps 访问团队的 Box 应用。

  7. Box 会询问是否允许 Defender for Cloud Apps 访问团队信息和活动日志,并以团队成员的身份执行活动。 要继续,选择“允许”

  8. 回到 Microsoft Defender 门户,你应会收到消息,指示已成功连接 Box。

  9. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”。 确保连接的应用连接器为已连接状态。

连接 Box 后:

  • 你将收到连接前 7 天的事件。
  • Defender for Cloud Apps 将对所有文件执行完整扫描。 根据具体的文件和用户数量,完成完全扫描可能需要一段时间。

若要启用近实时扫描,请将在其中检测到活动的文件移到扫描队列的开头。 例如,经编辑、更新或共享的文件会立即得到扫描,而不是等待常规扫描进程。 近实时扫描不适用于不一定会得到修改的文件。 例如,经查看、预览、打印或导出的文件会在定期计划扫描期间进行扫描。

如果在连接应用时遇到问题,请参阅“排除应用连接器故障”

后续步骤

使用策略控制云应用

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证