Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Appanslutningsprogram använder API:erna för appleverantörer för att ge bättre synlighet och kontroll genom att Microsoft Defender for Cloud Apps över de appar som du ansluter till.
Microsoft Defender for Cloud Apps använder de API:er som tillhandahålls av molnleverantören. All kommunikation mellan Defender for Cloud Apps och anslutna appar krypteras med HTTPS. Varje tjänst har sina egna ramverks- och API-begränsningar, till exempel begränsning, API-gränser, dynamiska tidsförskjutnings-API-fönster med mera. Microsoft Defender for Cloud Apps fungerar med tjänsterna för att optimera användningen av API:erna och för att ge bästa möjliga prestanda. Med hänsyn till olika begränsningar som tjänsterna tillämpar på API:erna använder Microsoft Defender for Cloud Apps-motorerna den tillåtna kapaciteten. Vissa åtgärder, till exempel genomsökning av alla filer i klientorganisationen, kräver många API:er så att de sprids över en längre period. Förvänta dig att vissa principer körs i flera timmar eller flera dagar.
Viktigt
Från och med den 1 september 2024 inaktuelle Microsoft Files sidan från Microsoft Defender for Cloud Apps. Mer information finns i Filprinciper i Microsoft Defender for Cloud Apps.
Stöd för flera instanser
Defender for Cloud Apps stöder flera instanser av samma anslutna app. Om du till exempel har mer än en instans av Salesforce (en för försäljning, en för marknadsföring) kan du ansluta båda till Defender for Cloud Apps. Du kan hantera de olika instanserna från samma konsol för att skapa detaljerade principer och djupare undersökning. Det här stödet gäller endast FÖR API-anslutna appar, inte molnupptäckta appar eller proxyanslutna appar.
Obs!
Flera instanser stöds inte för Microsoft 365 och Azure.
Så här fungerar det
Defender for Cloud Apps distribueras med systemadministratörsbehörighet för att ge fullständig åtkomst till alla objekt i din miljö.
Flödet för appanslutningsappen är följande:
- Defender for Cloud Apps genomsöker och sparar autentiseringsbehörigheter.
- Defender for Cloud Apps begär användarlistan. Första gången den skickar begäran kan det ta en stund innan genomsökningen har slutförts. När användargenomsökningen är klar går Defender for Cloud Apps vidare till aktiviteter och filer. Så snart genomsökningen startar är vissa aktiviteter tillgängliga i Defender for Cloud Apps.
- När användarbegäran har slutförts genomsöker Defender for Cloud Apps regelbundet användare, grupper, aktiviteter och filer. Alla aktiviteter är tillgängliga efter den första fullständiga genomsökningen.
Den här anslutningen kan ta lite tid beroende på klientorganisationens storlek, antalet användare samt storleken och antalet filer som behöver genomsökas.
Beroende på vilken app du ansluter till aktiverar API-anslutningen följande objekt:
- Kontoinformation – Insyn i användare, konton, profilinformation, statusgrupper (inaktiverad, aktiv, inaktiverad) och behörigheter.
- Spårningslogg – Insyn i användaraktiviteter, administratörsaktiviteter, inloggningsaktiviteter.
- Kontostyrning – Möjlighet att inaktivera användare, återkalla lösenord med mera.
- Appbehörigheter – Insyn i utfärdade token och deras behörigheter.
- Styrning av appbehörighet – Möjlighet att ta bort token.
- Datagenomsökning – Genomsökning av ostrukturerade data med två processer – regelbundet (var 12:e timme) och i realtidsgenomsökning (utlöses varje gång en ändring identifieras).
- Datastyrning – Möjlighet att placera filer i karantän, inklusive filer i papperskorgen, och skriva över filer.
Följande tabeller listar, per molnapp, vilka funktioner som stöds med appanslutningsprogram:
Obs!
Eftersom inte alla appanslutningsprogram stöder alla funktioner kan vissa rader vara tomma.
Användare och aktiviteter
| Program | Lista konton | Lista grupper | Listbehörigheter | Inloggningsaktivitet | Användaraktivitet | Administrativ aktivitet |
|---|---|---|---|---|---|---|
| Asana | ✔ | ✔ | ✔ | |||
| Atlassian | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | Ej tillämpligt | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| Ruta | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | ||||||
| DocuSign | Stöds med DocuSign Monitor | Stöds med DocuSign Monitor | Stöds med DocuSign Monitor | Stöds med DocuSign Monitor | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Github | ✔ | ✔ | ✔ | ✔ | ||
| GCP | Ämnesanslutning till Google-arbetsyta | Ämnesanslutning till Google-arbetsyta | Ämnesanslutning till Google-arbetsyta | Ämnesanslutning till Google-arbetsyta | ✔ | ✔ |
| Google-arbetsyta | ✔ | ✔ | ✔ | ✔ | ✔ – kräver Google Business eller Enterprise | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Miro | ✔ | ✔ | ✔ | |||
| Väggmålning | ✔ | ✔ | ✔ | |||
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Okta | ✔ | Stöds inte av providern | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | Partiell | Partiell |
| Salesforce | Stöds med Salesforce Shield | Stöds med Salesforce Shield | Stöds med Salesforce Shield | Stöds med Salesforce Shield | Stöds med Salesforce Shield | Stöds med Salesforce Shield |
| Slack | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartblad | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | Stöds inte av providern | ||
| Arbetsdag | ✔ | Stöds inte av providern | Stöds inte av providern | ✔ | ✔ | Stöds inte av providern |
| Arbetsplats efter meta | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zooma |
Synlighet för användar-, appstyrnings- och säkerhetskonfiguration
| Program | Användarstyrning | Visa appbehörigheter | Återkalla appbehörigheter | SaaS Security Posture Management (SSPM) |
|---|---|---|---|---|
| Asana | ||||
| Atlassian | ✔ | |||
| AWS | Ej tillämpligt | Ej tillämpligt | ||
| Azure | Stöds inte av providern | |||
| Ruta | ✔ | Stöds inte av providern | ||
| Citrix ShareFile | ✔ | |||
| DocuSign | ✔ | |||
| Dropbox | ✔ | |||
| Egnyte | ||||
| Github | ✔ | ✔ | ||
| GCP | Ämnesanslutning till Google-arbetsyta | Ej tillämpligt | Ej tillämpligt | |
| Google-arbetsyta | ✔ | ✔ | ✔ | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
| Miro | ||||
| Väggmålning | ||||
| NetDocuments | Förhandsgranskning | |||
| Okta | Ej tillämpligt | Ej tillämpligt | ✔ | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | |
| Slack | ||||
| Smartblad | ||||
| Webex | Ej tillämpligt | Ej tillämpligt | ||
| Arbetsdag | Stöds inte av providern | Ej tillämpligt | Ej tillämpligt | |
| Arbetsplats efter meta | Förhandsgranskning | |||
| Zendesk | ✔ | |||
| Zooma | Förhandsgranskning |
Informationsskydd
| Program | DLP – Regelbunden genomsökning av kvarvarande uppgifter | DLP – nästan realtidsgenomsökning | Delningskontroll | Filstyrning | Använd känslighetsetiketter från Microsoft Purview Information Protection |
|---|---|---|---|---|---|
| Asana | |||||
| Atlassian | |||||
| AWS | ✔ – Endast S3-bucketidentifiering | ✔ | ✔ | Ej tillämpligt | |
| Azure | |||||
| Ruta | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | |||||
| DocuSign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| Github | |||||
| GCP | Ej tillämpligt | Ej tillämpligt | Ej tillämpligt | Ej tillämpligt | Ej tillämpligt |
| Google-arbetsyta | ✔ | ✔ – kräver Google Business Enterprise | ✔ | ✔ | ✔ |
| Okta | Ej tillämpligt | Ej tillämpligt | Ej tillämpligt | Ej tillämpligt | Ej tillämpligt |
| Miro | |||||
| Väggmålning | |||||
| NetDocuments | |||||
| Okta | Ej tillämpligt | Ej tillämpligt | Ej tillämpligt | Ej tillämpligt | Ej tillämpligt |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | Ej tillämpligt | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| Slack | |||||
| Smartblad | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | Ej tillämpligt |
| Arbetsdag | Stöds inte av providern | Stöds inte av providern | Stöds inte av providern | Stöds inte av providern | Ej tillämpligt |
| Arbetsplats efter meta | |||||
| Zendesk | Förhandsgranskning | ||||
| Zooma |
Förhandskrav
När du arbetar med Microsoft 365-anslutningsappen behöver du en licens för varje tjänst där du vill visa säkerhetsrekommendationer. Om du till exempel vill visa rekommendationer för Microsoft Forms behöver du en licens som stöder Formulär.
För vissa appar kan du behöva tillåta list-IP-adresser för att aktivera Defender for Cloud Apps för att samla in loggar och ge åtkomst till Defender for Cloud Apps-konsolen. Mer information finns i Nätverkskrav.
Obs!
Om du vill få uppdateringar när URL:er och IP-adresser ändras prenumererar du på RSS enligt beskrivningen i: Microsoft 365-URL:er och IP-adressintervall.
Aktivera appanslutningsprogram
Om du vill aktivera en appanslutning för första gången konfigurerar du en API-anslutning för den specifika molnapp som du vill ansluta till. Detaljerade instruktioner finns i de enskilda anslutningsguiderna för varje app.
- Logga in på Microsoft Defender-portalen.
- Gå till CloudApps-anslutna> appar.
- Välj Anslut en app eller Lägg till en ny anslutningsapp.
- Välj den molnapp som du vill ansluta till.
- Följ anvisningarna i motsvarande appspecifika API-anslutningsguide. De här anvisningarna innehåller de behörigheter och autentiseringssteg som krävs.
Varje molnapp har sin egen aktiveringsprocess baserat på de API:er som den stöder.
ExpressRoute
Defender for Cloud Apps distribueras i Azure och är helt integrerat med ExpressRoute. Alla interaktioner med Defender for Cloud Apps-appar och trafik som skickas till Defender for Cloud Apps, inklusive uppladdning av identifieringsloggar, dirigeras via ExpressRoute för bättre svarstid, prestanda och säkerhet. Mer information om Microsoft-peering finns i ExpressRoute-kretsar och routningsdomäner.
Inaktivera appanslutningsprogram
Obs!
- Innan du inaktiverar en appanslutning måste du se till att du har anslutningsinformationen tillgänglig eftersom du behöver dem om du vill återaktivera anslutningsappen.
- De här stegen kan inte användas för att inaktivera appkontrollappar för villkorlig åtkomst och säkerhetskonfigurationsappar.
Så här inaktiverar du anslutna appar:
- Gå till Anslutna appar.
- Välj Inaktivera appanslutning.
- Välj Inaktivera appanslutningsinstans för att bekräfta åtgärden.
När den har inaktiverats slutar anslutningsinstansen att använda data från anslutningsappen.
Återaktivera appanslutningsprogram
Så här återaktiverar du anslutna appar:
- Gå till Anslutna appar.
- Välj Redigera inställningar. Den här åtgärden startar processen för att lägga till en anslutningsapp.
- Lägg till anslutningsappen med hjälp av stegen i den relevanta API-anslutningsguiden. Om du till exempel aktiverar GitHub använder du stegen i Anslut GitHub Enterprise Cloud för att Microsoft Defender for Cloud Apps.
Felsöka aktiviteter som saknas när du har anslutit en app
Om förväntade aktiviteter inte visas när du har anslutit en app använder du följande kontroller för att avgöra var data ska vara tillgängliga och om ytterligare konfiguration krävs.
1. Bekräfta att anslutningsappen är felfri
Kontrollera att anslutningsappen är ansluten och att det inte finns några konfigurationsvarningar eller behörighetsproblem.
2. Kontrollera förväntningar om inmatningsfördröjning
Vissa anslutningsappar har förväntad svarstid innan aktiviteter visas. Kontrollera om anslutningsappen har en dokumenterad inmatningsfördröjning innan du behandlar den saknade aktiviteten som ett problem.
3. Bekräfta att anslutningsappen stöder aktivitetsinmatning
Kontrollera om anslutningsappen stöder aktivitetssamling under avsnittet Användare och aktiviteter.
4. Granska anslutningsprogramspecifika aktivitetsalternativ För anslutningsappar som stöder valbara aktivitetstyper kontrollerar du att de alternativ som krävs är aktiverade. Om du till exempel undersöker inloggningsaktiviteten kontrollerar du att anslutningsappen är konfigurerad för att samla in relevanta inloggningsdata.
5. Verifiera begränsade distributionsinställningar
Om omfångsdistribution är aktiverat kontrollerar du att kontot som utför aktiviteten ingår i de aktuella omfångsdistributionsreglerna. Aktiviteter som genereras av exkluderade användare, grupper eller appar matas inte in. Kontrollera också om kontoidentifierare matchas korrekt mellan anslutna program, särskilt när olika identifierarformat används.
6. Verifiera den förväntade loggningsytan
Beroende på aktivitetstyp kontrollerar du om händelsen visas i lämplig källa som anges i följande tabell.
| Händelse | Source |
|---|---|
| Defender for Cloud Apps principadministrationsändringar | Microsoft Defender for Cloud Apps aktivitetslogg |
| Microsoft Entra inloggningshändelser | Microsoft Entra inloggningsloggar |
| Identitetsrelaterade undersökningsdata | Avancerade identitetstabeller för jakt |
7. Använd filter innan du drar slutsatsen att data saknas
Använd filter som:
- Tidsintervall
- Användare eller administratör
- Aktivitetstyp
- App eller arbetsbelastning
8. Sök efter kända omfångsbegränsningar
Vissa aktiviteter kanske inte är helt representerade på varje loggningsyta. Om en händelse saknas från en källa kontrollerar du om aktiviteten är dokumenterad som tillgänglig i en annan källa.
Viktigt
Aktivitet som saknas tyder inte alltid på anslutningsfel. Kontrollera först om aktiviteten förväntas i Defender for Cloud Apps, Microsoft Entra loggar, Microsoft 365-granskningsloggar eller Avancerad jakt.
Undersök ytterligare
Undersök ytterligare när:
- Anslutningsappen visar ett felfritt tillstånd, men inga förväntade data visas på någon loggningsyta som stöds.
- Obligatoriska aktivitetsalternativ är aktiverade, men händelsen saknas fortfarande efter en rimlig valideringsperiod.
- Samma aktivitetstyp är konsekvent otillgänglig för flera kontroller.