Defender for Cloud Apps 如何帮助保护 Microsoft 365 环境
作为提供云文件存储、协作、BI 和 CRM 工具的主要生产力套件,Microsoft 365 使用户能够以简化且高效的方式在组织和合作伙伴之间共享文档。 使用 Microsoft 365 可能不仅会在内部暴露敏感数据,还会向外部协作者公开,甚至更糟糕的是,通过共享链接公开这些数据。 此类事件可能由恶意行为者或不知情的员工引起。 Microsoft 365 还提供大型第三方应用生态系统,以帮助提高工作效率。 使用这些应用可能会使组织面临恶意应用的风险,或者使用权限过大的应用的风险。
将 Microsoft 365 连接到 Defender for Cloud Apps 可以更好地了解用户活动,使用基于机器学习的异常情况检测、信息保护检测(如检测外部信息共享)提供威胁检测,启用自动修复控制,以及检测来自组织中已启用的第三方应用的威胁。
Defender for Cloud Apps 直接与 Microsoft 365 的审核日志 集成,并为所有受支持的服务提供保护。 有关受支持服务的列表,请参阅支持审核的 Microsoft 365 服务。
使用此应用连接器,可以通过 Microsoft 安全功能分数中反映的安全控制,访问 SaaS 安全状况管理 (SSPM) 功能。 了解详细信息。
Microsoft 365 的文件扫描改进
Defender for Cloud Apps 添加了 SharePoint 和 OneDrive 的新文件扫描改进:
SharePoint 和 OneDrive 中文件的准实时扫描速度更快。
在 SharePoint 中能更好地识别文件的访问级别:默认情况下,SharePoint 中的文件访问级别将标记为 内部,而不是私有(因为 SharePoint 中的每个文件都可以由网站所有者访问,而不仅仅是由文件所有者访问)。
注意
此更改可能会影响文件策略(如果文件策略正在 SharePoint 中查找 内部 或 私有 文件)。
主要威胁
- 帐户被盗用和内部威胁
- 数据泄露
- 安全意识不足
- 恶意第三方应用
- 恶意软件
- 钓鱼
- 勒索软件
- 非管理的自带设备办公 (BYOD)
Defender for Cloud Apps 如何保护你的环境
- 检测云威胁、帐户被盗用和恶意内部人员
- 发现、分类、标记和保护存储在云中的受监管敏感数据
- 发现和管理有权访问环境的 OAuth 应用
- 对云中存储的数据强制执行 DLP 和合规性策略
- 限制共享数据的暴露并强制执行协作策略
- 使用活动审核线索进行取证调查
使用内置策略和策略模板控制 Microsoft 365
可以使用以下内置策略模板来检测潜在威胁并发出通知:
| 类型 | 名称 |
|---|---|
| 内置异常情况检测策略 | 来自匿名 IP 地址的活动 来自不常见国家/地区的活动 来自可疑 IP 地址的活动 不可能旅行 已离职用户执行的活动(需要 Microsoft Entra ID 作为 IdP) 恶意软件检测 多次失败的登录尝试 勒索软件检测 可疑的电子邮件删除活动(预览版) 可疑收件箱转发 异常文件检测活动 异常文件共享活动 异常的多个文件下载活动 |
| 活动策略模板 | 从风险性 IP 地址登录 单个用户的大容量下载 潜在的勒索软件活动 访问级别更改 (Teams) 添加了外部用户 (Teams) 批量删除 (Teams) |
| 文件策略模板 | 检测与未经授权的域共享的文件 检测与个人电子邮件地址共享的文件 使用 PII/PCI/PHI 检测文件 |
| OAuth 应用异常情况检测策略 | 误导性 OAuth 应用名称 OAuth 应用的误导性发布者名称 恶意 OAuth 应用许可 |
有关创建策略的详细信息,请参阅创建策略。
自动执行治理控制
除了监视潜在威胁之外,还可以应用并自动执行以下 Microsoft 365 治理操作,来修复检测到的威胁:
| 类型 | 操作 |
|---|---|
| 数据管理 | OneDrive: - 继承父文件夹权限 - 将文件/文件夹设为私有 - 将文件/文件夹放入管理员隔离区 - 将文件/文件夹放入用户隔离区 - 回收站文件/文件夹 - 移除特定协作者 - 移除文件/文件夹上的外部协作者 - 应用 Microsoft Purview 信息保护敏感度标签 - 移除 Microsoft Purview 信息保护敏感度标签 SharePoint: - 继承父文件夹权限 - 将文件/文件夹设为私有 - 将文件/文件夹放入管理员隔离区 - 将文件/文件夹放入用户隔离区 - 将文件/文件夹放入用户隔离区并添加所有者权限 - 回收站文件/文件夹 - 移除文件/文件夹上的外部协作者 - 移除特定协作者 - 应用 Microsoft Purview 信息保护敏感度标签 - 移除 Microsoft Purview 信息保护敏感度标签 |
| 用户治理 | - 发出警报时通知用户(通过 Microsoft Entra ID) - 要求用户再次登录(通过 Microsoft Entra ID) - 暂停用户(通过 Microsoft Entra ID) |
| OAuth 应用治理 | - 撤销 OAuth 应用权限 |
有关修正应用威胁的更多信息,请参阅管理已连接的应用。
实时保护 Microsoft 365
查看保护外部用户并与之协作以及阻止和防止敏感数据下载到非管理的或有风险的设备的最佳做法。
Defender for Cloud Apps 与 Microsoft 365 的集成
Defender for Cloud Apps 支持旧版 Microsoft 365 专用平台以及最新发布的 Microsoft 365 产品/服务(通常称为 Microsoft 365 的 vNext 版本系列)。
在某些情况下,vNext 服务版本与标准 Microsoft 365 产品/服务在管理级别上略有不同。
审核日志
Defender for Cloud Apps 直接与 Microsoft 365 的审核日志集成,并接收来自所有受支持的服务的所有审核事件。 有关受支持服务的列表,请参阅支持审核的 Microsoft 365 服务。
当管理员(或已分配管理权限的用户)在 Exchange Online 组织中进行更改时,Exchange 管理员审核日志(在 Microsoft 365 中默认启用)会在 Microsoft 365 审核日志中记录事件。 使用 Exchange 管理中心或在 Windows PowerShell 中运行 cmdlet,Exchange 管理员审核日志中会记录相关更改。 有关 Exchange 中的管理员审核日志的详细信息,请参阅管理员审核日志。
只有在门户中检测到来自 Exchange、Power BI 和 Teams 的活动后,才会显示来自这些服务的事件。
多地理位置部署仅支持 OneDrive
Microsoft Entra 集成
如果将 Microsoft Entra ID 设置为自动与 Active Directory 本地环境中的用户同步,则本地环境中的设置将替代 Microsoft Entra 设置,并且会还原暂停用户治理操作的使用。
对于 Microsoft Entra 登录活动,Defender for Cloud Apps 仅显示交互式登录活动和来自旧协议(如 ActiveSync)的登录活动。 非交互式登录活动可以在 Microsoft Entra 审核日志中查看。
如果启用了 Office 应用,也会将属于 Microsoft 365 的组从特定 Office 应用导入到 Defender for Cloud Apps,例如,如果启用了 SharePoint,也会将 Microsoft 365 组导入为 SharePoint 组。
隔离支持
在 SharePoint 和 OneDrive 中,Defender for Cloud Apps 仅支持用户隔离共享文档库 (SharePoint Online) 中的文件和文档库 (OneDrive for Business) 中的文件。
在 SharePoint 中,Defender for Cloud Apps 仅支持对路径中包含英文“Shared Documents”的文件执行隔离任务。
将 Microsoft 365 连接到 Microsoft Defender for Cloud Apps
本部分提供有关使用应用连接器 API 将 Microsoft Defender for Cloud Apps 连接到现有 Microsoft 365 帐户的说明。 通过此连接,可以实现对 Microsoft 365 使用的可见性和控制。 有关 Defender for Cloud Apps 如何保护 Microsoft 365 的信息,请参阅保护 Microsoft 365。
使用此应用连接器,可以通过 Microsoft 安全功能分数中反映的安全控制,访问 SaaS 安全状况管理 (SSPM) 功能。 了解详细信息。
先决条件:
必须至少分配一个 Microsoft 365 许可证才能将 Microsoft 365 连接到 Defender for Cloud Apps。
要在 Defender for Cloud Apps 中启用对 Microsoft 365 活动的监视,则需要在 Microsoft Purview 合规门户中启用审核。
在 Exchange Online 中记录用户活动之前,必须先为每个用户邮箱启用 Exchange 邮箱审核日志。请参阅 Exchange 邮箱活动。
必须在 Power BI 中启用审核才能从其中获取日志。 启用审核后,Defender for Cloud Apps 便会开始获取日志(有 24-72 小时的延迟)。
必须在 Dynamics 365 中启用审核才能从其中获取日志。 启用审核后,Defender for Cloud Apps 便会开始获取日志(有 24-72 小时的延迟)。
将 Microsoft 365 连接到 Defender for Cloud Apps:
在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”。
在“应用连接器”页面,选择“+连接应用”,然后选择“Microsoft 365”。
在“选择 Microsoft 365 组件”页面中,选择所需的选项,然后选择“连接”。
注意
- 为了获得最佳保护,建议选择所有的 Microsoft 365 组件。
- Azure AD 文件组件要求启用 Azure AD 活动组件和 Defender for Cloud Apps 文件监视(“设置”>“Cloud Apps”>“文件”>“启用文件监视”)。
在“访问链接”页面,选择“连接 Microsoft 365”。
Microsoft 365 显示为已成功连接后,选择“完成”。
在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”。 确保连接的应用连接器为已连接状态。
SaaS 安全状况管理 (SSPM) 数据显示在 Microsoft Defender 门户的“安全功能分数”页面上。 有关详细信息,请参阅适用于 SaaS 应用程序的安全状况管理。
注意
连接 Microsoft 365 后,用户将看到一周内的数据,包括任何正在请求 API、连接到 Microsoft 365 的第三方应用程序。 对于在连接前没有请求 API 的第三方应用程序,在连接到 Microsoft 365 后用户会看到事件,因为 Defender for Cloud Apps 会打开默认已关闭的任何 API。
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。