Defender for Cloud Apps Microsoft 365 ortamınızı korumaya nasıl yardımcı olur?

Makale
11/28/2024

Bulut dosya depolama, işbirliği, BI ve CRM araçları sağlayan önemli bir üretkenlik paketi olarak Microsoft 365, kullanıcılarınızın belgelerini kuruluşunuz ve iş ortakları arasında kolaylaştırılmış ve verimli bir şekilde paylaşmasına olanak tanır. Microsoft 365'i kullanmak, hassas verilerinizi yalnızca şirket içinde değil, aynı zamanda dış ortak çalışanlara da gösterebilir veya daha da kötüsü paylaşılan bir bağlantı aracılığıyla herkese açık hale gelebilir. Bu tür olaylar kötü amaçlı bir aktörden veya farkında olmayan bir çalışandan kaynaklanabilir. Microsoft 365, üretkenliği artırmaya yardımcı olmak için büyük bir üçüncü taraf uygulama eko sistemi de sağlar. Bu uygulamaların kullanılması, kuruluşunuzu kötü amaçlı uygulamalar veya aşırı izinlere sahip uygulamaların kullanımı riskiyle karşı karşıya bırakılabilir.

Microsoft 365'i Defender for Cloud Apps'ye bağlamak, kullanıcılarınızın etkinlikleri hakkında gelişmiş içgörüler sağlar, makine öğrenmesi tabanlı anomali algılamaları, bilgi koruma algılamaları (dış bilgi paylaşımını algılama gibi) kullanarak tehdit algılama sağlar, otomatik düzeltme denetimlerini etkinleştirir ve kuruluşunuzdaki etkin üçüncü taraf uygulamalardan gelen tehditleri algılar.

Defender for Cloud Apps doğrudan Microsoft 365'in denetim günlükleriyle tümleştirilir ve desteklenen tüm hizmetler için koruma sağlar. Desteklenen hizmetlerin listesi için bkz. Denetimi destekleyen Microsoft 365 hizmetleri.

Microsoft Güvenli Puanı'na yansıtılan güvenlik denetimleri aracılığıyla SaaS Güvenlik Duruş Yönetimi (SSPM) özelliklerine erişmek için bu uygulama bağlayıcısını kullanın. Daha fazla bilgi edinin.

Microsoft 365 için dosya tarama güncelleştirmeleri

Microsoft 365 ortamlarında dosya tarama verimliliğini ve doğruluğunu artırmak için Defender for Cloud Apps Microsoft 365 için dosya tarama işlemini güncelleştirmiştir. Bilgi koruma ilkelerini etkinleştirmediğiniz sürece Defender for Cloud Apps kuruluş dosyalarını taramaz veya depolamaz.

Bilgi koruma ilkelerini etkin bir şekilde kullandığınızda, kuruluş dosyalarının yüksek hacimli dosya tarama etkinlikleri nedeniyle önemli tarama süreleri olabilir.

Defender for Cloud Apps SharePoint ve OneDrive için yeni dosya tarama geliştirmeleri ekledi:

SharePoint ve OneDrive'daki dosyalar için neredeyse gerçek zamanlıya yakın tarama hızı.
SharePoint'te bir dosyanın erişim düzeyi için daha iyi tanımlama: SharePoint'te dosya erişim düzeyi varsayılan olarak İç olarak işaretlenir ve Özel olarak işaretlenmez (SharePoint'teki her dosyaya yalnızca dosya sahibi tarafından değil, site sahibi tarafından erişilebildiği için).

Not

Bu değişiklik dosya ilkelerinizi etkileyebilir (bir dosya ilkesi SharePoint'te İç veya Özel dosyaları arıyorsa).

Ana tehditler

Güvenliği aşılmış hesaplar ve içeriden gelen tehditler
Veri sızıntısı
Yetersiz güvenlik farkındalığı
Kötü amaçlı üçüncü taraf uygulamaları
Kötü amaçlı yazılım
Kimlik Avı
Fidye Yazılımı
Yönetilmeyen kendi cihazını getir (KCG)

Defender for Cloud Apps ortamınızı korumaya nasıl yardımcı olur?

Yerleşik ilkeler ve ilke şablonlarıyla Microsoft 365'i denetleme

Olası tehditleri algılamak ve size bildirmek için aşağıdaki yerleşik ilke şablonlarını kullanabilirsiniz:

Tür	Name
Yerleşik anomali algılama ilkesi	Anonim IP adreslerinden etkinlik Seyrek görülen ülkeden etkinlik Şüpheli IP adreslerinden etkinlik İmkansız seyahat Sonlandırılan kullanıcı tarafından gerçekleştirilen etkinlik (IdP olarak Microsoft Entra ID gerektirir) Kötü amaçlı yazılım algılama Birden çok başarısız oturum açma girişimi Fidye yazılımı algılama Şüpheli e-posta silme etkinliği (Önizleme) Şüpheli gelen kutusu iletme Olağan dışı dosya silme etkinlikleri Olağan dışı dosya paylaşımı etkinlikleri Olağan dışı birden çok dosya indirme etkinliği
Etkinlik ilkesi şablonu	Riskli bir IP adresinden oturum açma Tek bir kullanıcı tarafından toplu indirme Olası fidye yazılımı etkinliği Erişim düzeyi değişikliği (Teams) Dış kullanıcı eklendi (Teams) Toplu silme (Teams)
Dosya ilkesi şablonu	Yetkisiz etki alanıyla paylaşılan bir dosyayı algılama Kişisel e-posta adresleriyle paylaşılan bir dosyayı algılama PII/PCI/PHI ile dosyaları algılama
OAuth uygulama anomali algılama ilkesi	Yanıltıcı OAuth uygulama adı OAuth uygulaması için yanlış yayımcı adı Kötü amaçlı OAuth uygulaması onayı

İlke oluşturma hakkında daha fazla bilgi için bkz. İlke oluşturma.

İdare denetimlerini otomatikleştirme

Olası tehditleri izlemeye ek olarak, algılanan tehditleri düzeltmek için aşağıdaki Microsoft 365 idare eylemlerini uygulayabilir ve otomatikleştirebilirsiniz:

Tür	Eylem
Veri idaresi	OneDrive: - Üst klasör izinlerini devral - Dosya/klasör özel yap - Dosya/klasörü yönetici karantinaya alın - Dosya/klasörü kullanıcı karantinaya alın - Çöp kutusu dosyası/klasörü - Belirli bir ortak çalışanı kaldırma - Dosya/klasör üzerindeki dış ortak çalışanları kaldırma - Microsoft Purview Bilgi Koruması duyarlılık etiketi uygulama - Microsoft Purview Bilgi Koruması duyarlılık etiketini kaldırma SharePoint: - Üst klasör izinlerini devral - Dosya/klasör özel yap - Dosya/klasörü yönetici karantinaya alın - Dosya/klasörü kullanıcı karantinaya alın - Dosya/klasörü kullanıcı karantinaya alın ve sahip izinleri ekleyin - Çöp kutusu dosyası/klasörü - Dosya/klasör üzerindeki dış ortak çalışanları kaldırma - Belirli bir ortak çalışanı kaldırma - Microsoft Purview Bilgi Koruması duyarlılık etiketi uygulama - Microsoft Purview Bilgi Koruması duyarlılık etiketini kaldırma
Kullanıcı idaresi	- Uyarıda kullanıcıya bildirme (Microsoft Entra ID aracılığıyla) - Kullanıcının yeniden oturum açmasını gerektir (Microsoft Entra ID aracılığıyla) - Kullanıcıyı askıya alma (Microsoft Entra ID aracılığıyla)
OAuth uygulaması idaresi	- OAuth uygulama iznini iptal etme

Uygulamalardan gelen tehditleri düzeltme hakkında daha fazla bilgi için bkz. Bağlı uygulamaları yönetme.

Microsoft 365'i gerçek zamanlı olarak koruma

Dış kullanıcıların güvenliğini sağlamak ve bunlarla işbirliği yapmak ve hassas verilerin yönetilmeyen veya riskli cihazlara indirilmesini engellemek ve korumak için en iyi yöntemlerimizi gözden geçirin.

Microsoft 365 ile Defender for Cloud Apps tümleştirmesi

Defender for Cloud Apps, microsoft 365'in vNext sürüm ailesi olarak adlandırılan eski Microsoft 365 Ayrılmış Platformu ve Microsoft 365 hizmetlerinin en son tekliflerini destekler.

Bazı durumlarda vNext hizmet sürümü, standart Microsoft 365 teklifinden yönetim ve yönetim düzeylerinde biraz farklılık gösterir.

Denetim günlüğü

Defender for Cloud Apps doğrudan Microsoft 365'in denetim günlükleriyle tümleştirilir ve desteklenen tüm hizmetlerden tüm denetlenen olayları alır. Desteklenen hizmetlerin listesi için bkz. Denetimi destekleyen Microsoft 365 hizmetleri.

Microsoft 365'te varsayılan olarak etkinleştirilen Exchange yöneticisi denetim günlüğü, bir yönetici (veya yönetici ayrıcalıkları atanmış bir kullanıcı) Exchange Online kuruluşunuzda bir değişiklik yaptığında Microsoft 365 denetim günlüğüne bir olay kaydeder. Exchange yönetim merkezi kullanılarak veya Windows PowerShell cmdlet çalıştırılarak yapılan değişiklikler Exchange yönetici denetim günlüğüne kaydedilir. Exchange'de yönetici denetim günlüğü hakkında daha ayrıntılı bilgi için bkz. Yönetici denetim günlüğü.
Exchange, Power BI ve Teams'deki olaylar yalnızca portalda söz konusu hizmetlerden gelen etkinlikler algılandıktan sonra görünür.
Çoklu coğrafi dağıtımlar yalnızca OneDrive için desteklenir

Microsoft Entra tümleştirmesi

Microsoft Entra ID Active Directory şirket içi ortamınızdaki kullanıcılarla otomatik olarak eşitlenecek şekilde ayarlandıysa, şirket içi ortamdaki ayarlar Microsoft Entra ayarlarını geçersiz kılar ve Kullanıcı idaresini askıya al eyleminin kullanımı geri döndürülür.
Microsoft Entra oturum açma etkinlikleri için Defender for Cloud Apps yalnızca ActiveSync gibi eski protokollerden etkileşimli oturum açma etkinliklerini ve oturum açma etkinliklerini ortaya çıkar. Etkileşimli olmayan oturum açma etkinlikleri Microsoft Entra denetim günlüğünde görüntülenebilir.
Office uygulamaları etkinleştirilirse, Microsoft 365'in parçası olan gruplar da belirli Office uygulamalarından Defender for Cloud Apps içeri aktarılır; örneğin, SharePoint etkinleştirilirse, Microsoft 365 grupları da SharePoint grupları olarak içeri aktarılır.

Karantina desteği

SharePoint ve OneDrive'da Defender for Cloud Apps yalnızca Paylaşılan Belgeler kitaplıklarındaki (SharePoint Online) ve Belgeler kitaplığındaki (OneDrive İş) dosyalar için kullanıcı karantinasını destekler.
SharePoint'te, Defender for Cloud Apps karantina görevlerini yalnızca İngilizce olarak paylaşılan belgelere sahip dosyalar için destekler.

Microsoft 365'i Microsoft Defender for Cloud Apps'a bağlama

Bu bölümde, uygulama bağlayıcıSı API'sini kullanarak Microsoft Defender for Cloud Apps mevcut Microsoft 365 hesabınıza bağlama yönergeleri sağlanır. Bu bağlantı, Microsoft 365 kullanımı hakkında görünürlük ve denetim sağlar. Defender for Cloud Apps Microsoft 365'i nasıl koruduğu hakkında bilgi için bkz. Microsoft 365'i koruma.

Önkoşullar:

Microsoft 365 dosyalarının dosya izlemeyi etkinleştirmek için Uygulama Yöneticisi veya Bulut Uygulaması Yöneticisi gibi ilgili bir Entra Yönetici kimliği kullanmanız gerekir. Daha fazla bilgi için bkz. Microsoft Entra yerleşik roller
Microsoft 365'i Defender for Cloud Apps bağlamak için en az bir Microsoft 365 lisansına sahip olmanız gerekir.
Defender for Cloud Apps'da Microsoft 365 etkinliklerinin izlenmesini etkinleştirmek için Microsoft Purview'da denetimi etkinleştirmeniz gerekir.
Exchange Online kullanıcı etkinliği günlüğe kaydedilmeden önce her kullanıcı posta kutusu için Exchange Posta Kutusu denetim günlüğü açılmalıdır. Bkz. Exchange Posta Kutusu etkinlikleri.
Günlükleri buradan almak için Power BI'da denetimi etkinleştirmeniz gerekir. Denetim etkinleştirildikten sonra Defender for Cloud Apps günlükleri almaya başlar (24-72 saat gecikmeyle).
Günlükleri oradan almak için Dynamics 365'de denetimi etkinleştirmeniz gerekir. Denetim etkinleştirildikten sonra Defender for Cloud Apps günlükleri almaya başlar (24-72 saat gecikmeyle).

Microsoft 365'i Defender for Cloud Apps bağlamak için:

Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin. Bağlı uygulamalar'ın altında Uygulama Bağlayıcıları'nı seçin.
Uygulama bağlayıcıları sayfasında +Uygulamaya bağlan'ı ve ardından Microsoft 365'i seçin.
Microsoft 365 bileşenlerini seçin sayfasında, ihtiyacınız olan seçenekleri belirleyin ve ardından Bağlan'ı seçin.
Not
- En iyi koruma için tüm Microsoft 365 bileşenlerini seçmenizi öneririz.
- Microsoft 365 dosyaları bileşeni, Defender for Cloud Apps dosya izlemenin etkinleştirilmesini gerektirir (Ayarlar>Cloud Apps>Dosyaları>Dosya izlemeyi etkinleştir).
Bağlantıyı takip et sayfasında Microsoft 365'e bağlan'ı seçin.
Microsoft 365 başarıyla bağlandı olarak gösterildikten sonra Bitti'yi seçin.
Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin. Bağlı uygulamalar'ın altında Uygulama Bağlayıcıları'nı seçin. Bağlı Uygulama Bağlayıcısı'nın durumunun Bağlı olduğundan emin olun.

SaaS Güvenlik Duruş Yönetimi (SSPM) verileri Microsoft Defender Portalında Güvenli Puan sayfasında gösterilir. Daha fazla bilgi için bkz . SaaS uygulamaları için güvenlik duruşu yönetimi.

Not

Microsoft 365'i bağladıktan sonra, API'leri çeken Microsoft 365'e bağlı üçüncü taraf uygulamalar da dahil olmak üzere bir hafta önceki verileri görürsünüz. Bağlantıdan önce API'leri çekmeyen üçüncü taraf uygulamalarda, Microsoft 365'i bağladığınız andan itibaren olayları görürsünüz çünkü Defender for Cloud Apps varsayılan olarak kapalı olan API'leri açar.

Uygulamayı bağlarken sorun yaşıyorsanız bkz. Uygulama Bağlayıcılarında Sorun Giderme.

Sonraki adımlar

İlkelerle bulut uygulamalarını denetleme

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.

Aracılığıyla paylaş