Så skyddar Defender för Cloud Apps din Microsoft 365-miljö

Microsoft 365 är en stor produktivitetssvit som tillhandahåller molnfillagring, samarbete, BI och CRM-verktyg och gör det möjligt för användarna att dela sina dokument i organisationen och partner på ett effektivt och effektivt sätt. Att använda Microsoft 365 kan exponera känsliga data inte bara internt, utan även för externa medarbetare, eller ännu värre göra dem offentligt tillgängliga via en delad länk. Sådana incidenter kan inträffa på grund av skadlig aktör eller av en ovetande anställd. Microsoft 365 tillhandahåller också ett stort miljösystem från tredje part för att öka produktiviteten. Om du använder dessa appar kan din organisation utsättas för risken för skadliga appar eller användning av appar med för höga behörigheter.

Genom att ansluta Microsoft 365 till Defender for Cloud Apps får du bättre insikter om användarnas aktiviteter, ger hotidentifiering med hjälp av maskininlärningsbaserade avvikelseidentifieringar, identifiering av informationsskydd (till exempel identifiering av extern informationsdelning), automatiserade reparationskontroller och identifiering av hot från aktiverade appar från tredje part i organisationen.

Defender för Cloud Apps integreras direkt med Microsoft 365s granskningsloggar och ger skydd för alla tjänster som stöds. En lista över tjänster som stöds finns i Microsoft 365-tjänster som stöder granskning.

Använd den här appanslutningsappen för att få åtkomst till SaaS SSPM-funktioner (Security Posture Management) via säkerhetskontroller som visas i Microsoft Secure Score. Läs mer.

Förbättringar av filgenomsökning för Microsoft 365

Defender för Cloud Apps har lagt till nya förbättringar av filgenomsökning för SharePoint och OneDrive:

  • Snabbare genomsökningshastighet i nära realtid för filer i SharePoint och OneDrive.

  • Bättre identifiering för en fils åtkomstnivå i SharePoint: filåtkomstnivån i SharePoint markeras som standard som Intern och inte som Privat (eftersom varje fil i SharePoint är tillgänglig för webbplatsens ägare och inte bara av filägaren).

    Kommentar

    Den här ändringen kan påverka dina filprinciper (om en filprincip letar efter interna eller privata filer i SharePoint).

Huvudsakliga hot

  • Komprometterade konton och insiderhot
  • Dataläckage
  • Otillräcklig säkerhetsmedvetenhet
  • Skadliga appar från tredje part
  • Skadlig kod
  • Nätfiske
  • Utpressningstrojaner
  • Ohanterad BYOD (Bring Your Own Device)

Hur Defender för Cloud Apps hjälper till att skydda din miljö

Kontrollera Microsoft 365 med inbyggda principer och principmallar

Du kan använda följande inbyggda principmallar för att identifiera och meddela dig om potentiella hot:

Typ Name
Inbyggd princip för avvikelseidentifiering Aktivitet från anonyma IP-adresser
Aktivitet från sällan förekommande land
Aktivitet från misstänkta IP-adresser
Omöjlig resa
Aktivitet som utförs av avslutad användare (kräver Microsoft Entra-ID som IdP)
Identifiering av skadlig kod
Flera misslyckade inloggningsförsök
Identifiering av utpressningstrojaner
Misstänkt e-postborttagningsaktivitet (förhandsversion)
Misstänkt vidarebefordran av inkorgar
Ovanliga filborttagningsaktiviteter
Ovanliga filresursaktiviteter
Ovanliga aktiviteter för nedladdning av flera filer
Mall för aktivitetsprincip Inloggning från en riskfylld IP-adress
Massnedladdning av en enskild användare
Potentiell utpressningstrojanaktivitet
Ändring på åtkomstnivå (Teams)
Extern användare har lagts till (Teams)
Massborttagning (Teams)
Filprincipmall Identifiera en fil som delas med en obehörig domän
Identifiera en fil som delas med personliga e-postadresser
Identifiera filer med PII/PCI/PHI
Avvikelseidentifieringsprincip för OAuth-app Vilseledande OAuth-appnamn
Vilseledande utgivarnamn för en OAuth-app
Medgivande för skadlig OAuth-app

Mer information om hur du skapar principer finns i Skapa en princip.

Automatisera styrningskontroller

Förutom övervakning av potentiella hot kan du tillämpa och automatisera följande Microsoft 365-styrningsåtgärder för att åtgärda identifierade hot:

Typ Åtgärd
Datastyrning OneDrive:
– Ärv behörigheter för överordnad mapp
– Gör filen/mappen privat
– Placera filen/mappen i administratörskarantän
– Placera filen/mappen i användarkarantän
– Papperskorgens fil/mapp
– Ta bort en specifik medarbetare
– Ta bort externa medarbetare i fil/mapp
– Använd känslighetsetiketten för Microsoft Purview Information Protection
– Ta bort känslighetsetiketten för Microsoft Purview Information Protection
SharePoint:
– Ärv behörigheter för överordnad mapp
– Gör filen/mappen privat
– Placera filen/mappen i administratörskarantän
– Placera filen/mappen i användarkarantän
– Placera filen/mappen i användarkarantän och lägg till ägarbehörigheter
– Papperskorgens fil/mapp
– Ta bort externa medarbetare i fil/mapp
– Ta bort en specifik medarbetare
– Använd känslighetsetiketten för Microsoft Purview Information Protection
– Ta bort känslighetsetiketten för Microsoft Purview Information Protection
Användarstyrning – Meddela användaren vid avisering (via Microsoft Entra-ID)
– Kräv att användaren loggar in igen (via Microsoft Entra-ID)
– Pausa användare (via Microsoft Entra-ID)
OAuth-appstyrning – Återkalla OAuth-appbehörighet

Mer information om hur du åtgärdar hot från appar finns i Styra anslutna appar.

Skydda Microsoft 365 i realtid

Läs våra metodtips för att skydda och samarbeta med externa användare och blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter.

Defender för Cloud Apps-integrering med Microsoft 365

Defender for Cloud Apps stöder den äldre dedikerade Microsoft 365-plattformen samt de senaste erbjudandena för Microsoft 365-tjänster, som vanligtvis kallas vNext-versionsfamiljen för Microsoft 365.

I vissa fall skiljer sig en version av vNext-tjänsten något på administrations- och hanteringsnivå jämfört med standarderbjudandet för Microsoft 365.

Granskningsloggning

Defender för Cloud Apps integreras direkt med Microsoft 365s granskningsloggar och tar emot alla granskade händelser från alla tjänster som stöds. En lista över tjänster som stöds finns i Microsoft 365-tjänster som stöder granskning.

  • Exchange-administratörens granskningsloggning, som är aktiverad som standard i Microsoft 365, loggar en händelse i Microsoft 365-granskningsloggen när en administratör (eller en användare som har tilldelats administratörsbehörighet) gör en ändring i Exchange Online-organisationen. Ändringar som gjorts med administrationscentret eller genom att köra en cmdlet i Windows PowerShell loggas i granskningsloggen för Exchange-administratörer. Mer detaljerad information om granskningsloggning för administratörer i Exchange finns Administrator audit logging (Granskningsloggning för administratörer).

  • Händelser från Exchange, Power BI och Teams visas bara efter att aktiviteter från dessa tjänster har identifierats i portalen.

  • Multi-geo-distributioner stöds endast för OneDrive

Microsoft Entra-integrering

  • Om ditt Microsoft Entra-ID är inställt på att automatiskt synkronisera med användarna i din lokala Active Directory-miljö åsidosätter inställningarna i den lokala miljön Microsoft Entra-inställningarna och användningen av åtgärden Pausa användarstyrning återställs.

  • För Microsoft Entra-inloggningsaktiviteter innehåller Defender for Cloud Apps endast interaktiva inloggningsaktiviteter och inloggningsaktiviteter från äldre protokoll som ActiveSync. Icke-interaktiva inloggningsaktiviteter kan visas i Microsoft Entra-granskningsloggen.

  • Om aplikacija Office är aktiverade importeras även grupper som ingår i Microsoft 365 till Defender för Molnappar från specifika aplikacija Office, till exempel om SharePoint är aktiverat importeras Även Microsoft 365-grupper som SharePoint-grupper.

Karantänsupport

  • I SharePoint och OneDrive stöder Defender for Cloud Apps endast användarkarantän för filer i bibliotek med delade dokument (SharePoint Online) och filer i dokumentbiblioteket (OneDrive för företag).

  • I SharePoint stöder Defender för Cloud Apps endast karantänuppgifter för filer med delade dokument i sökvägen på engelska.

Ansluta Microsoft 365 till Microsoft Defender för molnappar

Det här avsnittet innehåller instruktioner för hur du ansluter Microsoft Defender för Molnappar till ditt befintliga Microsoft 365-konto med appanslutnings-API:et. Den här anslutningen ger dig insyn i och kontroll över Microsoft 365-användning. Information om hur Defender för Cloud Apps skyddar Microsoft 365 finns i Skydda Microsoft 365.

Använd den här appanslutningsappen för att få åtkomst till SaaS SSPM-funktioner (Security Posture Management) via säkerhetskontroller som visas i Microsoft Secure Score. Läs mer.

Förutsättningar:

  • Du måste ha minst en tilldelad Microsoft 365-licens för att ansluta Microsoft 365 till Defender för Cloud Apps.

  • För att aktivera övervakning av Microsoft 365-aktiviteter i Defender för molnappar måste du aktivera granskning i Microsoft Purview.

  • Granskningsloggning för Exchange-postlådan måste vara aktiverad för varje användarpostlåda innan användaraktiviteten i Exchange Online loggas, se Aktiviteter för Exchange-postlåda.

  • Du måste aktivera granskning i Power BI för att hämta loggarna därifrån. När granskning har aktiverats börjar Defender for Cloud Apps hämta loggarna (med en fördröjning på 24–72 timmar).

  • Du måste aktivera granskning i Dynamics 365 för att hämta loggarna därifrån. När granskning har aktiverats börjar Defender for Cloud Apps hämta loggarna (med en fördröjning på 24–72 timmar).

Så här ansluter du Microsoft 365 till Defender for Cloud Apps:

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram.

  2. På sidan Konektor aplikacija väljer du +Anslut en app och sedan Microsoft 365.

    Menyalternativet Anslut O365.

  3. På sidan Välj Microsoft 365-komponenter väljer du de alternativ du behöver och väljer sedan Anslut.

    Kommentar

    • För bästa skydd rekommenderar vi att du väljer alla Microsoft 365-komponenter.
    • Azure AD-filkomponenten kräver azure AD-aktivitetskomponenten och Defender for Cloud Apps-filövervakning (Inställningar>Cloud Apps-filer>>Aktivera filövervakning).

    anslut O365-komponenter.

  4. På sidan Följ länken väljer du Anslut Microsoft 365.

  5. När Microsoft 365 visas som ansluten väljer du Klar.

  6. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram. Kontrollera att statusen för den anslutna appanslutningsappen är Ansluten.

SaaS SSPM-data (Security Posture Management) visas i Microsoft Defender-portalen på sidan Säkerhetspoäng . Mer information finns i Hantering av säkerhetsstatus för SaaS-appar.

Kommentar

När du har anslutit Microsoft 365 ser du data från en vecka tillbaka, inklusive program från tredje part som är anslutna till Microsoft 365 som hämtar API:er. För appar från tredje part som inte drog API:er före anslutningen visas händelser från det ögonblick du ansluter Microsoft 365 eftersom Defender för Cloud Apps aktiverar alla API:er som har inaktiverats som standard.

Om du har problem med att ansluta appen kan du läsa Felsöka appanslutningsprogram.

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.