Defender for Cloud Apps 如何帮助保护 Workday 环境

  • 项目

作为主要的 HCM 解决方案,Workday 会保存组织中一些最敏感的信息,例如员工个人数据、合同、供应商详细信息等。 要防止这些数据泄露,需要持续监视,以防止任何恶意行为者或不知情的内部人员泄露敏感信息。

将 Workday 连接到 Defender for Cloud Apps,能更好地了解用户活动,并提供针对异常行为的威胁检测。

主要威胁

  • 帐户被盗用和内部威胁
  • 数据泄露
  • 安全意识不足
  • 非管理的自带设备办公 (BYOD)

Defender for Cloud Apps 如何保护你的环境

使用内置策略和策略模板控制 Workday

可以使用以下内置策略模板来检测潜在威胁并发出通知:

类型 名称
内置异常情况检测策略 来自匿名 IP 地址的活动
来自不常见国家/地区的活动
来自可疑 IP 地址的活动
不可能旅行
活动策略模板 从风险性 IP 地址登录

有关创建策略的详细信息,请参阅创建策略

自动执行治理控制

目前,Workday 没有可用的治理控制措施。 要对此连接器执行治理操作,可以 开立支持票证 ,其中包含所需操作的详细信息。

有关修正应用威胁的更多信息,请参阅管理已连接的应用

实时保护 Workday

查看保护外部用户并与之协作以及阻止和防止敏感数据下载到非管理的或有风险的设备的最佳做法。

将 Workday 连接到 Microsoft Defender for Cloud Apps

本部分提供有关使用应用连接器 API 将 Microsoft Defender for Cloud Apps 连接到现有 Workday 帐户的说明。 通过此连接,可以实现对 Workday 使用的可见性和控制。 有关 Defender for Cloud Apps 如何保护 Workday 的信息,请参阅保护 Workday

快速入门

观看我们的快速入门视频,了解如何在 Workday 中配置先决条件并执行步骤。 完成视频中的步骤后,就可以继续添加 Workday 连接器。

注意

该视频未展示配置安全组“设置:租户设置 - 系统”权限的先决条件步骤。 请确保也对此进行配置。


先决条件

用于连接到 Defender for Cloud Apps 的 Workday 帐户必须是安全组的成员(新成员或现有成员)。 建议使用 Workday 集成系统用户。 安全组必须已为以下域安全策略选择以下权限:

功能区域 域安全策略 子域安全策略 报告/任务权限 集成权限
系统 设置:租户设置 - 常规 设置:租户设置 - 安全性 查看、修改 获取、放置
系统 设置:租户设置 - 常规 设置:租户设置 - 系统 修改
系统 安全管理 查看、修改 获取、放置
系统 系统审核 查看 获取
人员配备 员工数据:人员配备 员工数据:公共员工报告 查看 获取

注意

  • 用于设置安全组权限的帐户必须是 Workday 管理员。
  • 要设置权限,请搜索“功能区域的域安全策略”,然后搜索每个功能区域(“系统”/“人员配备”)并授予表中列出的权限。
  • 设置好所有权限后,搜索“激活挂起的安全策略更改”并批准更改。

有关设置 Workday 集成用户、安全组和权限的详细信息,请参阅授予集成或外部终结点访问 Workday 的权限指南(可使用 Workday 文档/社区凭证访问)中的步骤 1 到 4。

如何使用 OAuth 将 Workday 连接到 Defender for Cloud Apps

  1. 使用先决条件中提及的安全组成员的帐户登录到 Workday。

  2. 搜索“编辑租户设置 - 系统”,然后在“用户活动日志记录”下,选择“启用用户活动日志记录”

    Screenshot of allowing user activity logging.

  3. 搜索“编辑租户设置 – 安全性”,在“OAuth 2.0 设置”下,选择“已启用 OAuth 2.0 客户端”

  4. 搜索“注册 API 客户端”,然后选择“注册 API 客户端 – 任务”

  5. 在“注册 API 客户端”页面,填写以下信息,然后选择“确定”

    字段名称
    客户端名称 Microsoft Defender for Cloud Apps
    客户端授权类型 授权代码授予
    访问令牌类型 持有者
    重定向 URI https://portal.cloudappsecurity.com/api/oauth/connect

    注意:美国政府 GCC High 客户请输入以下值:https://portal.cloudappsecurity.us/api/oauth/connect
    未过期的刷新令牌
    范围(功能区域) 人员配备系统

    Screenshot of registering API client.

  6. 注册后,请记下下面的参数,然后选择“完成”

    • 客户端 ID
    • 客户端密码
    • Workday REST API 终结点
    • 令牌终结点
    • 授权终结点

    Screenshot of confirming registration of API client.

注意

如果 Workday 帐户已启用 SAML SSO,则将查询字符串参数 'redirect=n' 附加到授权终结点。

如果授权终结点已有其他的查询字符串参数,则将 '&redirect=n' 附加到授权终结点的末尾。 如果授权终结点没有任何查询字符串参数,则将 '?redirect=n' 附加到授权终结点的末尾。

如何将 Defender for Cloud Apps 连接到 Workplace

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”

  2. 在“应用连接器”页面,选择“+连接应用”,然后选择“Workday”

    Screenshot of adding app connector.

  3. 在下一个屏幕,为连接器命名,然后选择“下一步”

    Screenshot of adding instance name.

  4. 在“输入详细信息”页面,使用前面记录的信息填写详细信息,然后选择“下一步”

    Screenshot of filling out app details.

  5. 在“外部链接”页面,选择“连接 Workday”

  6. 在 Workday 中,将显示一个弹出窗口,询问是否希望允许 Defender for Cloud Apps 访问你的 Workday 帐户。 要继续,选择“允许”

    Screenshot of authorizing access to app.

  7. 回到 Defender for Cloud Apps 门户,应当会看到消息,指示已成功连接 Workday。

  8. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”。 确保连接的应用连接器为已连接状态。

注意

连接 Workday 后,将收到连接前七天内的所有事件。

注意

如果要将 Defender for Cloud Apps 连接到 Workday 沙盒帐户进行测试,请注意 Workday 每周都会刷新其沙盒帐户,从而导致 Defender for Cloud Apps 连接失败。 应每周使用 Defender for Cloud Apps 重新连接沙盒环境,以便继续进行测试。

如果在连接应用时遇到问题,请参阅“排除应用连接器故障”

后续步骤

使用策略控制云应用

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证