Импорт групп пользователей из подключенных приложений
При подключении приложений с помощью соединителей API Microsoft Defender для облака Apps позволяет импортировать группы пользователей, например из Идентификатора Microsoft 365 и Microsoft Entra. Существует два типа групп пользователей:
Автоматические группы: автоматические группы создаются по умолчанию Microsoft Defender для облака Приложения. Например, имеется автоматическая группа пользователей — внешняя, в которой объединяются все пользователи из всех приложений, являющиеся внешними по отношению к вашей организации и имеющие доступ к файлам или участвовавшие в действиях пользователей в клиенте. В приложениях Defender для облака существуют следующие автоматические группы:
- Внешняя.
- Администратор Dropbox
- Администратор Microsoft 365
- Администратор Рабочей области Google
- Администратор Box
- Все стандартные и пользовательские профили Salesforce, например системный администратор Salesforce. Ознакомьтесь с полным списком здесь.
Импортированные группы: вы можете импортировать любую группу из подключенных приложений. Например, можно импортировать группы пользователей из Microsoft 365 (Active Directory) и других подключенных приложений. Эти группы позволяют выполнять поиск угроз в организации без проверки всей организации или конкретного пользователя — проверяется только конкретная группа.
Типичные сценарии, использующие импортированные группы пользователей, включают:
- Изучение того, на какие документы смотрят сотрудники отдела кадров.
- Проверьте, есть ли что-то необычное происходит в исполнительной группе.
- поиск действий, выполненных пользователем из группы администраторов за пределами США.
Импорт групп пользователей
В XDR в Microsoft Defender выберите "Параметры системных > пользователей > облачных > приложений>" и "Импортировать группу пользователей".
В области импорта группы пользователей выберите приложение, из которого нужно импортировать группу пользователей. Отображаемые приложения зависят от развернутых соединителей.
Выберите группу, которую вы хотите импортировать. Список включает первые 50 групп из существующих групп пользователей в приложении. Если группа не отображается, введите текст поиска в поле поиска над списком.
Чтобы добавить новую группу в список, сделайте это в самом приложении, а затем вернитесь на портал Microsoft Defender, чтобы просмотреть новую группу в списке.
(Необязательно) Выберите, чтобы получать уведомления по электронной почте после завершения процесса импорта.
Выберите Импорт.
После завершения импорта выберите группу на странице "Группы пользователей", чтобы просмотреть список всех участников группы. Выберите любого члена группы, чтобы получить дополнительные сведения, включая приложения, используемые и сводку действий учетной записи. Импортированные группы также можно выбрать в качестве фильтров при изучении в журнале действий и при создании политик. Члены группы автоматически синхронизируются для импортированных групп так же, как и для Active Directory Connect.
Примечание.
- Максимальное количество импортированных групп пользователей — 500.
- Импортируются только активные пользователи в составе импортированной группы. Все приостановленные, удаленные или отключенные пользователи будут игнорироваться.
- В фильтрах может быть небольшая задержка до тех пор, пока импортированные группы пользователей не будут доступны.
- Отмечены как выполненные членом группы пользователей будут только действия, выполненные после импорта группы пользователей.
- После начальной синхронизации группы обычно обновляются каждый час. Однако из-за различных факторов может возникнуть время, когда это может занять несколько часов.
Дополнительные сведения об использовании фильтров группы пользователей см. в разделе Действия.
Следующие шаги
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.