Подключение приложений для обеспечения видимости и контроля с помощью Microsoft Defender for Cloud Apps

Соединители приложений используют API-интерфейсы поставщиков приложений для обеспечения лучшей видимости и управления Microsoft Defender for Cloud Apps приложениями, к которым вы подключаетесь.

Microsoft Defender for Cloud Apps использует API-интерфейсы, предоставляемые облачным поставщиком. Весь обмен данными между Defender for Cloud Apps и подключенными приложениями шифруется по протоколу HTTPS. Каждая служба имеет собственные ограничения платформы и API, такие как регулирование, ограничения API, динамические окна API с сдвигом времени и другие. Microsoft Defender for Cloud Apps работает со службами для оптимизации использования API и обеспечения максимальной производительности. Учитывая различные ограничения, которые службы накладывают на API, подсистемы Microsoft Defender for Cloud Apps используют разрешенную емкость. Для некоторых операций, таких как сканирование всех файлов в клиенте, требуется множество API, поэтому они выполняются в течение более длительного периода времени. Ожидается, что некоторые политики будут выполняться в течение нескольких часов или нескольких дней.

Важно!

Начиная с 1 сентября 2024 г., корпорация Майкрософт объявила страницу Files в Microsoft Defender for Cloud Apps устаревшей. Дополнительные сведения см. в разделе Политики файлов в Microsoft Defender for Cloud Apps.

Поддержка нескольких экземпляров

Defender for Cloud Apps поддерживает несколько экземпляров одного подключенного приложения. Например, если у вас несколько экземпляров Salesforce (один для продаж, один для маркетинга), вы можете подключить оба экземпляра к Defender for Cloud Apps. Вы можете управлять разными экземплярами из той же консоли, что позволяет создавать более детальные политики и проводить более глубокий анализ. Поддержка нескольких экземпляров применяется только к подключенным к API приложениям, а не к приложениям, подключенным к Cloud Discovered, или к подключенным прокси-приложениям.

Примечание.

Использование нескольких экземпляров не поддерживается в Microsoft 365 и Azure.

Как соединители приложений сканируют и собирают данные

Defender for Cloud Apps развертывается с правами системного администратора, чтобы предоставить полный доступ ко всем объектам в вашей среде.

Процесс App Connector выглядит следующим образом:

  1. Defender for Cloud Apps сканирует и сохраняет разрешения проверки подлинности.
  2. Defender for Cloud Apps запрашивает список пользователей. При первом выполнении запроса может потребоваться некоторое время, пока проверка завершится. После завершения сканирования пользователя Defender for Cloud Apps переходит к действиям и файлам. Как только начнется сканирование, в Defender for Cloud Apps станут доступны некоторые действия.
  3. После завершения запроса пользователя Defender for Cloud Apps периодически сканирует пользователей, группы, действия и файлы. Все действия доступны после первого полного сканирования.

Начальная настройка соединителя приложений и первая проверка могут занять некоторое время в зависимости от размера клиента, количества пользователей и размера и количества файлов, которые необходимо проверить.

В зависимости от приложения, к которому вы подключаетесь, подключение к API включает следующие элементы:

  • Сведения об учетной записи . Видимость пользователей, учетных записей, сведений о профилях, состояния (приостановленных, активных, отключенных) групп и привилегий.
  • Журнал аудита — видимость действий пользователей, действий администратора, действий входа.
  • Управление учетными записями — возможность приостановки пользователей, отзыва паролей и многого другого.
  • Разрешения приложения — видимость выданных маркеров и их разрешений.
  • Управление разрешениями приложений — возможность удаления маркеров.
  • Сканирование данных — сканирование неструктурированных данных с помощью двух процессов— периодически (каждые 12 часов) и проверки в режиме реального времени (активируется при каждом обнаружении изменения).
  • Управление данными — возможность помещать в карантин файлы, включая файлы в корзине, и перезаписывать файлы.

В следующих таблицах приведено, какие возможности поддерживаются для каждого облачного приложения с помощью соединителей приложений App:

Примечание.

Так как не все соединители приложений поддерживают все возможности, некоторые строки могут быть пустыми.

Видимость пользователей и действий для каждого подключенного приложения

В следующей таблице показано, какие возможности видимости пользователей и действий поддерживают каждый соединитель приложений.

Приложение Список учетных записей Список групп Перечисление привилегий Действие входа Действия пользователей Действия администратора.
Asana
Atlassian
AWS Неприменимо
Azure
Box
Citrix ShareFile
Docusign Поддерживается монитором DocuSign Поддерживается монитором DocuSign Поддерживается монитором DocuSign Поддерживается монитором DocuSign
Dropbox
Egnyte
GitHub
GCP Тема подключения к Google Workspace Тема подключения к Google Workspace Тема подключения к Google Workspace Тема подключения к Google Workspace
Рабочая область Google ✔ — требуется Google Business или Enterprise.
Microsoft 365
Miro
Mural
NetDocuments
Okta Не поддерживается поставщиком
OneLogin
ServiceNow Частично Частично
Salesforce Поддерживается в Salesforce Shield Поддерживается с помощью Salesforce Shield Поддерживается в Salesforce Shield Поддерживается с помощью Salesforce Shield Поддерживается в Salesforce Shield Поддержка с помощью Salesforce Shield
Slack
Smartsheet
Webex Не поддерживается поставщиком
Workday Не поддерживается поставщиком Не поддерживается поставщиком Не поддерживается поставщиком
Workplace by Meta
Zendesk
Zoom

Видимость конфигурации пользователей, приложений и конфигурации безопасности

В следующей таблице перечислены функции контроля и видимости конфигурации безопасности, доступные для каждого подключенного приложения.

Приложение Управление пользователями Просмотр разрешений приложения Отмена разрешений приложения Управление состоянием безопасности SaaS (SSPM)
Asana
Atlassian
AWS Неприменимо Неприменимо
Azure Не поддерживается поставщиком
Box Не поддерживается поставщиком
Citrix ShareFile
Docusign
Dropbox
Egnyte
GitHub
GCP Тема подключения к Google Workspace Неприменимо Неприменимо
Рабочая область Google
Microsoft 365
Miro
Mural
NetDocuments Предварительная версия
Okta Неприменимо Неприменимо
OneLogin
ServiceNow
Salesforce
Slack
Smartsheet
Webex Неприменимо Неприменимо
Workday Не поддерживается поставщиком Неприменимо Неприменимо
Workplace by Meta Предварительная версия
Zendesk
Zoom Предварительная версия

Возможности защиты информации для каждого подключенного приложения

В следующей таблице приведены сведения о функциях защиты информации, поддерживаемых каждым соединителем приложений.

Приложение DLP — периодическое сканирование невыполненной работы DLP — сканирование почти в реальном времени Управление общим доступом Управление файлами Примените метки конфиденциальности из Защита информации Microsoft Purview
Asana
Atlassian
AWS ✔ — Только обнаружение контейнера S3 Неприменимо
Azure
Box
Citrix ShareFile
Docusign
Dropbox
Egnyte
GitHub
GCP Неприменимо Неприменимо Неприменимо Неприменимо Неприменимо
Рабочая область Google ✔ — требуется Google Business Enterprise.
Okta Неприменимо Неприменимо Неприменимо Неприменимо Неприменимо
Miro
Mural
NetDocuments
Okta Неприменимо Неприменимо Неприменимо Неприменимо Неприменимо
OneLogin
ServiceNow Неприменимо
Salesforce
Slack
Smartsheet
Webex Неприменимо
Workday Не поддерживается поставщиком Не поддерживается поставщиком Не поддерживается поставщиком Не поддерживается поставщиком Неприменимо
Workplace by Meta
Zendesk Предварительная версия
Zoom

Предварительные условия

Перед включением соединителей приложений ознакомьтесь со следующими требованиями.

  • При работе с соединителем Microsoft 365 вам потребуется лицензия для каждой службы, в которой вы хотите просмотреть рекомендации по безопасности. Например, чтобы просмотреть рекомендации по Microsoft Forms, вам потребуется лицензия на поддержку Форм.

  • Для некоторых приложений может потребоваться разрешить список IP-адресов, чтобы разрешить Defender for Cloud Apps собирать журналы и предоставлять доступ для консоли Defender for Cloud Apps. Дополнительную информацию см. в статье Требования к сети.

Примечание.

Чтобы получать обновления при изменении URL-адресов и IP-адресов, подпишитесь на RSS, как описано в статье URL-адреса и диапазоны IP-адресов Microsoft 365.

Включение соединителей приложений

Чтобы включить соединитель приложений в первый раз, настройте подключение API для конкретного облачного приложения, к которому вы хотите подключиться. Подробные инструкции см. в руководствах по соединителям для каждого приложения.

Включение соединителя приложений

  1. Войдите на портал Microsoft Defender.
  2. Перейдите в раздел Облачные приложения>Подключенные приложения.
  3. Выберите Подключить приложение или Добавить новый соединитель.
  4. Выберите облачное приложение, к которому нужно подключиться.
  5. Следуйте инструкциям в руководстве по соединителю API для соответствующего приложения. Эти инструкции включают необходимые разрешения и шаги проверки подлинности.

Каждое облачное приложение имеет собственный процесс включения на основе поддерживаемых API.

Интеграция ExpressRoute с Defender for Cloud Apps

Defender for Cloud Apps развертывается в Azure и полностью интегрирована с ExpressRoute. Все взаимодействия с приложениями Defender for Cloud Apps и трафик, отправляемый в Defender for Cloud Apps, включая отправку журналов обнаружения, направляются через ExpressRoute для повышения задержки, производительности и безопасности. Дополнительные сведения о пиринге Майкрософт см. в статье Каналы ExpressRoute и домены маршрутизации.

Отключите коннекторы приложений

Ознакомьтесь со следующими сведениями перед отключением соединителя приложения.

Примечание.

  • Перед отключением соединителя приложений убедитесь, что у вас есть сведения о подключении, так как они потребуются для повторного включения соединителя.
  • Эти действия нельзя использовать для отключения приложений управления условным доступом и приложений конфигурации безопасности.

Чтобы отключить подключенные приложения, выполните приведенные далее действия.

  1. Перейдите в раздел Подключенные приложения.
  2. Выберите Отключить соединитель приложений.
  3. Выберите Отключить экземпляр соединителя приложений, чтобы подтвердить это действие.

После отключения экземпляр соединителя перестает получать данные от соединителя.

Повторно включите коннекторы приложений

Чтобы повторно включить подключенные приложения, выполните приведенные далее действия.

  1. Перейдите в раздел Подключенные приложения.
  2. Нажмите Изменить настройки. Это действие запускает процесс добавления соединителя.
  3. Добавьте соединитель, выполнив действия, описанные в соответствующем руководстве по соединителю API. Например, если вы повторно включаете GitHub, выполните действия, описанные в разделе Подключение GitHub Enterprise Cloud к Microsoft Defender for Cloud Apps.

Устранение неполадок с отсутствующими действиями

Если ожидаемые действия не отображаются после подключения приложения, см. статью Устранение отсутствующих действий после подключения приложения.

Дальнейшие действия