每周操作指南 - Microsoft Defender for Cloud Apps
本文列出了建议使用 Microsoft Defender for Cloud Apps 执行的每周操作活动。
查看 SaaS 安全状况管理
位置:在 Microsoft Defender XDR 门户中,选择 “安全功能分数”。
角色:安全性和合规性管理员、SOC 分析师
Microsoft Defender for Cloud Apps 中的 SaaS 安全状况管理(SSPM)功能使你能够更深入地了解、自动识别 SaaS 应用配置错误,并帮助修正这些错误配置以提高组织安全性。
Defender for Cloud Apps SSPM 功能集成到 Microsoft Defender XDR 中,以便安全团队可以通过 Microsoft 安全功能分数在整个企业中查看其整体安全状况。
若要查看每个产品的安全评分建议,请在 Microsoft Defender XDR 中选择“建议的安全评分>”操作,并按产品对列表进行分组。
检查应用连接器、日志收集器和 SIEM 代理运行状况
位置:在 Microsoft Defender XDR 门户中,选择设置>云应用。
角色:安全性和合规性管理员、SOC 分析师
当连接器、代理或日志收集器失败并且无法向 Defender for Cloud Apps 管理员发送通知时,系统警报将引发。 建议定期检查系统警报,以监视应用连接器、日志收集器和 SIEM 代理的运行状况。
如果使用 SIEM 代理,系统警报可以直接发送到 SIEM 系统。 在 Microsoft Defender XDR 中,选择设置云应用>系统 > SIEM 代理,并配置 SIEM 代理。 > 在“数据类型”部分中,选择“警报”,并确保“警报类型”筛选器包含系统警报。
我们还建议查看以下设置,以确保它们正确且最新:
| 检查的状态 | Microsoft Defender XDR 中的检查位置 |
|---|---|
| 应用连接器 | >设置云应用>连接应用应用>连接器 |
| 条件访问应用控制应用 | >设置云应用>连接应用>条件访问应用控制应用 |
| 自动上传日志 | >设置云应用 > Cloud Discovery > 自动上传日志 |
| API 令牌 | >设置云应用>系统 > API 令牌 |
有关详细信息,请参阅:
- 使用 Microsoft Defender for Cloud Apps 连接应用获取可见性和控制
- 使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用
- 为连续报表配置自动上传日志
- 管理 API 令牌
跟踪 Microsoft Defender XDR 中的新更改
位置:在Microsoft 365 管理中心中,选择“运行状况>消息中心”
角色:安全管理员
Microsoft 365 消息中心 可帮助你跟踪即将发生的更改,包括新功能、计划内维护或其他可能影响 Defender for Cloud Apps 环境的重要公告。
有关详细信息,请参阅 Microsoft 365 消息中心中的“跟踪新增和更改的功能”。
查看治理日志
位置:在 Microsoft Defender XDR 门户的云应用下,选择“治理日志”。
角色:安全性和合规性管理员
治理日志提供配置 Defender for Cloud Apps 运行的每个任务的状态记录,包括手动任务和自动任务。 这些任务包括策略中配置的任务、在文件和用户上设置的治理操作,以及设置 Defender for Cloud Apps 要执行的任何其他操作。
有关详细信息,请参阅 管理连接的应用。