適用於雲端的 Defender 應用程式如何協助保護您的 Microsoft 365 環境
Microsoft 365 是提供雲端檔案記憶體、共同作業、BI 和 CRM 工具的主要生產力套件,可讓您的使用者以簡化且有效率的方式,在組織與合作夥伴之間共用其檔。 使用 Microsoft 365 不僅可能會在內部公開您的敏感數據,也會公開給外部共同作業者,甚至更糟地透過共用連結公開。 這類事件可能會因為惡意執行者或未察覺的員工而發生。 Microsoft 365 也提供大型第三方應用程式生態系統,以協助提高生產力。 使用這些應用程式可能會讓您的組織面臨惡意應用程式的風險,或使用具有過多許可權的應用程式。
連線 Microsoft 365 至 適用於雲端的 Defender Apps 可讓您改善使用者活動的見解、使用機器學習型異常偵測、資訊保護偵測(例如偵測外部資訊共用)、啟用自動化補救控制,以及偵測組織中已啟用第三方應用程式的威脅。
適用於雲端的 Defender Apps 直接與 整合Microsoft 365 的稽核記錄,併為所有支持的服務提供保護。 如需支持的服務清單,請參閱 支援稽核的 Microsoft 365 服務。
使用此應用程式連接器可透過 Microsoft 安全分數中反映的安全性控制,存取 SaaS 安全性狀態管理 (SSPM) 功能。 深入了解。
Microsoft 365 的檔案掃描改善
適用於雲端的 Defender Apps 已新增 SharePoint 和 OneDrive 的檔案掃描改善:
SharePoint 和 OneDrive 中檔案的近乎實時掃描速度更快。
SharePoint 中檔案存取層級的更佳識別:SharePoint 中的檔案存取層級預設會標示為 [內部],而不是 [私人 ] (因為 SharePoint 中的每個檔案都可由網站擁有者存取,而不只是由檔案擁有者存取)。
注意
這項變更可能會影響您的檔案原則(如果檔案原則正在尋找 SharePoint 中的內部 或 私人 檔案)。
主要威脅
- 遭入侵的帳戶和內部威脅
- 數據外洩
- 安全性感知不足
- 惡意的第三方應用程式
- 惡意程式碼
- 網路釣魚
- 勒索軟體
- 非受控攜帶您自己的裝置 (BYOD)
適用於雲端的 Defender 應用程式如何協助保護您的環境
- 偵測雲端威脅、遭入侵的帳戶和惡意測試人員
- 探索、分類、標記和保護儲存在雲端中的受管制和敏感數據
- 探索及管理可存取您環境的 OAuth 應用程式
- 針對儲存在雲端中的數據強制執行 DLP 和合規性原則
- 限制共享數據的暴露,並強制執行共同作業原則
- 使用活動的稽核線索進行鑑識調查
使用內建原則和原則範本控制 Microsoft 365
您可以使用下列內建原則範本來偵測並通知您潛在威脅:
| 類型 | 名稱 |
|---|---|
| 內建異常偵測原則 | 匿名 IP 位址的活動 非經常性國家/地區的活動 可疑 IP 位址的活動 不可能的移動 由終止使用者 執行的活動(需要 Microsoft Entra ID 作為 IdP) 惡意程式碼偵測 多次失敗的登入嘗試 勒索軟體偵測 可疑的電子郵件刪除活動 (預覽) 可疑的收件匣轉寄 不尋常的檔案刪除活動 不尋常的檔案共享活動 不尋常的多個檔案下載活動 |
| 活動原則範本 | 從有風險的 IP 位址登入 單一使用者大量下載 潛在的勒索軟體活動 存取層級變更 (Teams) 新增外部使用者 (Teams) 大規模刪除 (Teams) |
| 檔案原則範本 | 偵測與未經授權的網域共用的檔案 偵測與個人電子郵件地址共用的檔案 使用 PII/PCI/PHI 偵測檔案 |
| OAuth 應用程式異常偵測原則 | 誤導 OAuth 應用程式名稱 OAuth 應用程式的誤導發行者名稱 惡意 OAuth 應用程式同意 |
如需建立原則的詳細資訊,請參閱 建立原則。
自動化治理控制件
除了監視潛在威脅之外,您還可以套用並自動化下列 Microsoft 365 治理動作來補救偵測到的威脅:
| 類型 | 動作 |
|---|---|
| 資料控管 | OneDrive: - 繼承父資料夾許可權 - 將檔案/資料夾設為私人 - 將檔案/資料夾放在系統管理隔離區中 - 將檔案/資料夾放在使用者隔離中 - 回收站檔案/資料夾 - 移除特定共同作業者 - 移除檔案/資料夾上的外部共同作業者 - 套用 Microsoft Purview 資訊保護 敏感度標籤 - 移除 Microsoft Purview 資訊保護 敏感度標籤 Sharepoint: - 繼承父資料夾許可權 - 將檔案/資料夾設為私人 - 將檔案/資料夾放在系統管理隔離區中 - 將檔案/資料夾放在使用者隔離中 - 將檔案/資料夾放在使用者隔離區中,並新增擁有者許可權 - 回收站檔案/資料夾 - 移除檔案/資料夾上的外部共同作業者 - 移除特定共同作業者 - 套用 Microsoft Purview 資訊保護 敏感度標籤 - 移除 Microsoft Purview 資訊保護 敏感度標籤 |
| 使用者治理 | - 透過 Microsoft Entra ID 通知使用者警示 - 要求使用者再次登入 (透過 Microsoft Entra ID) - 暫停使用者 (透過 Microsoft Entra ID) |
| OAuth 應用程式控管 | - 撤銷 OAuth 應用程式許可權 |
如需從應用程式補救威脅的詳細資訊,請參閱 治理已連線的應用程式。
實時保護 Microsoft 365
檢閱我們的最佳做法,以 保護與外部使用者 共同作業,並 封鎖和保護敏感數據下載至非受控或具風險的裝置。
適用於雲端的 Defender Apps 與 Microsoft 365 整合
適用於雲端的 Defender Apps 支援舊版 Microsoft 365 專用平臺,以及 Microsoft 365 服務的最新供應專案,通常稱為 Microsoft 365 的 vNext 版本系列。
在某些情況下,vNext 服務版本在管理層級與標準 Microsoft 365 供應專案稍有不同。
稽核記錄
適用於雲端的 Defender Apps 直接與 整合Microsoft 365 的稽核記錄,並接收來自所有支援服務的所有稽核事件。 如需支持的服務清單,請參閱 支援稽核的 Microsoft 365 服務。
在 Microsoft 365 中預設啟用的 Exchange 系統管理員稽核記錄,會在系統管理員(或已獲指派系統管理許可權的使用者)在您的 Exchange Online 組織中進行變更時,記錄 Microsoft 365 稽核記錄中的事件。 使用 Exchange 系統管理中心進行的變更,或是在 Windows PowerShell 中執行 Cmdlet 所做的變更,皆會記錄在 Exchange 系統管理稽核記錄檔中。 如需 Exchange 系統管理員稽核記錄功能的詳細資訊,請參閱 Administrator audit logging (系統管理員稽核記錄)。
來自 Exchange、 Power BI 和 Teams 的事件只會出現在入口網站中偵測到來自這些服務的活動之後。
Microsoft Entra 整合
如果您的 Microsoft Entra 識別碼設定為自動與 Active Directory 內部部署環境中的使用者同步處理,則內部部署環境中的設定會覆寫 Microsoft Entra 設定並使用 暫停使用者 治理動作。
針對 Microsoft Entra 登入活動,適用於雲端的 Defender 應用程式只會呈現來自 ActiveSync 等舊版通訊協定的互動式登入活動和登入活動。 非互動式登入活動可以在 Microsoft Entra 稽核記錄中檢視。
如果啟用 Office 應用程式,屬於 Microsoft 365 的群組也會從特定 Office 應用程式 匯入至 適用於雲端的 Defender Apps,例如,如果啟用 SharePoint,Microsoft 365 群組也會匯入為 SharePoint 群組。
隔離支援
在 SharePoint 和 OneDrive 中,適用於雲端的 Defender Apps 僅支援使用者隔離共用文檔庫中的檔案 (SharePoint Online) 和文檔庫中的檔案 (商務用 OneDrive)。
在 SharePoint 中,適用於雲端的 Defender Apps 僅針對路徑中英文共用檔的檔案,支援隔離工作。
連線 Microsoft 365 至 適用於雲端的 Microsoft Defender Apps
本節提供使用應用程式連接器 API 將 適用於雲端的 Microsoft Defender Apps 連線到現有 Microsoft 365 帳戶的指示。 此連線可讓您檢視及控制 Microsoft 365 的使用。 如需 適用於雲端的 Defender 應用程式如何保護 Microsoft 365 的資訊,請參閱保護 Microsoft 365。
使用此應用程式連接器可透過 Microsoft 安全分數中反映的安全性控制,存取 SaaS 安全性狀態管理 (SSPM) 功能。 深入了解。
先決條件:
您必須至少有一個指派的 Microsoft 365 授權,才能將 Microsoft 365 連線到 適用於雲端的 Defender Apps。
若要在 適用於雲端的 Defender Apps 中啟用 Microsoft 365 活動的監視,您必須在 Microsoft Purview 合規性入口網站 中啟用稽核。
您必須針對每個使用者信箱開啟 Exchange 信箱稽核記錄功能,才能記錄 Exchange Online 中的使用者活動,請參閱 Exchange 信箱活動。
您必須 在Power BI 中啟用稽核,才能從該處取得記錄。 啟用稽核后,適用於雲端的 Defender 應用程式開始取得記錄檔(延遲 24-72 小時)。
您必須 在 Dynamics 365 中啟用稽核,才能從該處取得記錄。 啟用稽核后,適用於雲端的 Defender 應用程式會開始取得記錄檔(延遲為24-72小時)。
若要將 Microsoft 365 連線到 適用於雲端的 Defender Apps:
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [連線 應用程式] 底下,選取 [應用程式 連線 者]。
在 [應用程式連線程式] 頁面中,選取 [+連線 應用程式],然後選取 [Microsoft 365]。
在 [選取 Microsoft 365 元件] 頁面中,選取您需要的選項,然後選取 [連線]。
注意
- 為了獲得最佳保護,建議您選取所有 Microsoft 365 元件。
- Azure AD 檔案元件需要 Azure AD 活動元件和 適用於雲端的 Defender Apps 檔案監視(設定> Cloud Apps>檔案>啟用檔案監視)。
在 [遵循連結] 頁面上,選取 [連線 Microsoft 365]。
在 Microsoft 365 顯示為成功連線之後,選取 [ 完成]。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [連線 應用程式] 底下,選取 [應用程式 連線 者]。 請確定已連線的應用程式 連線 狀態已 連線。
SaaS 安全性狀態管理 (SSPM) 數據會顯示在 Microsoft Defender 入口 網站的 [安全分數 ] 頁面上。 如需詳細資訊,請參閱 SaaS 應用程式的安全性狀態管理。
注意
連線 Microsoft 365 之後,您會看到一周後的數據,包括任何連線到 Microsoft 365 且正在提取 API 的第三方應用程式。 針對未在連線前提取 API 的第三方應用程式,您會在連線 Microsoft 365 的那一刻看到事件,因為 適用於雲端的 Defender 應用程式會開啟預設關閉的任何 API。
如果您在連線應用程式時發生任何問題,請參閱針對應用程式 連線 程式進行疑難解答。
下一步
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。