使用 適用於雲端的 Defender Apps 保護組織的最佳做法

本文提供使用 適用於雲端的 Microsoft Defender Apps 保護組織的最佳做法。 這些最佳做法來自我們的 適用於雲端的 Defender 應用程式體驗，以及像您這樣的客戶體驗。

本文所討論的最佳做法包括：

探索和評估雲端應用程式

適用於雲端的 Defender Apps 與 適用於端點的 Microsoft Defender 整合，可讓您在公司網路或安全的 Web 閘道之外使用 Cloud Discovery。 透過合併的使用者和裝置資訊，您可以識別有風險的使用者或裝置、查看他們所使用的應用程式，並在適用於端點的 Defender 入口網站中進一步調查。

最佳做法：使用適用於端點的Defender啟用影子IT探索
詳細數據：Cloud Discovery 會分析適用於端點的 Defender 所收集的流量記錄，並針對雲端應用程式目錄評估已識別的應用程式，以提供合規性和安全性資訊。 藉由設定 Cloud Discovery，您可以檢視雲端使用、影子 IT，以及持續監視使用者所使用的未批准應用程式。
如需詳細資訊：＜＞

• 適用於端點的 Microsoft Defender 與 適用於雲端的 Defender Apps 整合
• 設定 Cloud Discovery
• 探索和管理您網路中的影子 IT

最佳做法：設定應用程式探索原則以主動識別有風險、不符合規範和趨勢應用程式
詳細數據：應用程式探索原則可讓您更輕鬆地追蹤組織中已探索到的重要應用程式，以協助您有效率地管理這些應用程式。 建立原則，以在偵測識別為具風險、不符合規範、趨勢或大量應用程式的新應用程式時接收警示。
如需詳細資訊：＜＞

• Cloud Discovery 原則
• Cloud Discovery 異常偵測原則
• 取得實時的行為分析和異常偵測

最佳做法：管理由用戶授權的 OAuth 應用程式
詳細數據：許多使用者隨便將 OAuth 許可權授與第三方應用程式以存取其帳戶資訊，因此，不小心也會授與其他雲端應用程式中數據的存取權。 IT 通常無法查看這些應用程式，因此很難根據應用程式所提供的生產力權益來權衡應用程式的安全性風險。

適用於雲端的 Defender Apps 可讓您調查及監視使用者授與的應用程式許可權。 您可以使用這項資訊來識別潛在的可疑應用程式，而且，如果您判斷它有風險，您可以禁止存取它。
如需詳細資訊：＜＞

• 管理 OAuth 應用程式
• OAuth 應用程式原則

套用雲端治理原則

最佳做法：標記應用程式和匯出區塊腳本
詳細數據：檢閱組織中探索到的應用程式清單之後，您可以保護環境不受不必要的應用程式使用。 您可以將「獲批准」標籤套用至貴組織核准的應用程式，並將 [未批准] 標籤用至未核准的應用程式。 您可以使用探索篩選器來監視未經批准的應用程式，或匯出腳本，以使用內部部署安全性設備封鎖未經批准的應用程式。 使用標籤和匯出文稿可讓您組織應用程式並保護環境，只允許存取安全的應用程式。
如需詳細資訊：＜＞

• 控管探索到的應用程式

限制共享數據的暴露，並強制執行共同作業原則

最佳做法：連線 Microsoft 365
詳細數據：連線 Microsoft 365 至 適用於雲端的 Defender Apps 可讓您立即查看使用者的活動、他們正在存取的檔案，並提供 Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 的治理動作。
如需詳細資訊：＜＞

• 連接應用程式
• 連線 Microsoft 365 至 適用於雲端的 Microsoft Defender Apps

最佳做法：連線 您的應用程式
詳細數據：將應用程式 連線 至 適用於雲端的 Defender Apps 可讓您深入瞭解使用者的活動、威脅偵測和控管功能。 若要查看支援哪些第三方應用程式 API，請移至 連線 應用程式。

如需詳細資訊：＜＞

• 連接應用程式

最佳做法：建立原則以移除個人帳戶的共用
詳細數據：連線 Microsoft 365 至 適用於雲端的 Defender Apps 可讓您立即查看使用者的活動、他們正在存取的檔案，並提供 Microsoft 365、SharePoint、OneDrive、Teams、Power BI、Exchange 和 Dynamics 的治理動作。
如需詳細資訊：＜＞

• 控管已連線的應用程式

探索、分類、標記和保護雲端儲存的受管制和敏感性資料

最佳做法：與 Microsoft Purview 資訊保護 整合
詳細數據：與 Microsoft Purview 資訊保護整合可讓您自動套用敏感度標籤，並選擇性地新增加密保護。 一旦開啟整合之後，您可以將標籤套用為治理動作、依分類檢視檔案、依分類層級調查檔案，以及建立細微的原則，以確保已正確處理分類檔案。 如果您未開啟整合，就無法受益於在雲端中自動掃描、標記和加密檔案的能力。
如需詳細資訊：＜＞

• Microsoft Purview 資訊保護整合
• 教學課程：從 Microsoft Purview 資訊保護 自動套用敏感度標籤

最佳做法：建立數據暴露原則
詳細數據：使用檔案原則來偵測雲端應用程式中的資訊共用和掃描機密資訊。 建立下列檔案原則，以在偵測到數據暴露時發出警示：

• 在外部共用的檔案，其中包含敏感數據
• 外部共用且標示為 機密的檔案
• 與未經授權的網域共用的檔案
• 保護 SaaS 應用程式上的敏感性檔案

如需詳細資訊：＜＞

• 內容檢查
• 檔案原則
• 信息保護原則

最佳做法：檢閱 [ 檔案 ] 頁面中的報告
詳細數據：使用應用程式連接器連接各種 SaaS 應用程式之後，適用於雲端的 Defender 應用程式會掃描這些應用程式所儲存的檔案。 此外，每次修改檔案時，都會再次掃描它。 您可以使用 [ 檔案 ] 頁面來瞭解並調查儲存在雲端應用程式中的數據類型。 為了協助您調查，您可以依網域、群組、使用者、建立日期、擴展名、檔名和類型、檔案標識碼、敏感度標籤等等進行篩選。 使用這些篩選可讓您控制您選擇調查檔案的方式，以確保沒有任何數據處於危險中。 在您進一步了解數據的使用方式之後，您可以建立原則來掃描這些檔案中的敏感性內容。
如需詳細資訊：＜＞

• 連接應用程式
• 檔案篩選
• 內容檢查

針對儲存在雲端中的數據強制執行 DLP 和合規性原則

最佳做法：保護機密數據免於與外部用戶共用
詳細數據：建立檔案原則，以偵測使用者何時嘗試與組織外部人員共用檔案與 機密 敏感度卷標，並設定其治理動作以移除外部使用者。 此原則可確保您的機密數據不會離開您的組織，而外部用戶無法取得其存取權。
如需詳細資訊：＜＞

• 控管已連線的應用程式

封鎖和保護將敏感數據下載至非受控或具風險的裝置

最佳做法：管理和控制高風險裝置的存取
詳細數據：使用條件式存取應用程控在 SaaS 應用程式上設定控制件。 您可以建立會話原則來監視高風險、低信任會話。 同樣地，您可以建立會話原則，讓用戶嘗試從非受控或具風險的裝置存取敏感數據，以封鎖和保護下載。 如果您未建立會話原則來監視高風險會話，您將失去封鎖和保護 Web 用戶端下載的能力，以及監視 Microsoft 和第三方應用程式中低信任會話的能力。
如需詳細資訊：＜＞

• 使用適用於雲端的 Microsoft Defender 應用程式條件式存取應用程式控制來保護應用程式
• 工作階段原則

藉由強制執行即時會話控件來保護與外部使用者的共同作業

最佳做法：使用條件式存取應用程控監視與外部使用者的會話
詳細數據：若要保護環境中的共同作業，您可以建立會話原則來監視內部和外部使用者之間的會話。 這不僅可讓您監視使用者之間的會話（並通知使用者正在監視其會話活動），也可讓您限制特定活動。 建立工作階段原則以監視活動時，您可以選擇想要監視的應用程式和使用者。
如需詳細資訊：＜＞

• 使用適用於雲端的 Microsoft Defender 應用程式條件式存取應用程式控制來保護應用程式
• 工作階段原則

偵測雲端威脅、遭入侵的帳戶、惡意測試人員及勒索軟體

最佳做法：調整異常原則、設定IP範圍、傳送警示意見反應
詳細數據：異常偵測原則提供現用的使用者和實體行為分析 （UEBA） 和機器學習 （ML），讓您可以立即在雲端環境中執行進階威脅偵測。

當環境中使用者執行異常活動時，就會觸發異常偵測原則。 適用於雲端的 Defender 應用程式會持續監視您的用戶活動，並使用 UEBA 和 ML 來瞭解並了解使用者的正常行為。 您可以調整原則設定以符合組織需求，例如，您可以設定原則的敏感度，並將原則的範圍設定為特定群組。

• 微調和範圍異常偵測原則：例如，若要減少不可能移動警示內的誤判數目，您可以將原則的敏感度滑桿設定為低。 如果您的組織中有經常是公司旅客的使用者，您可以將他們新增至使用者群組，然後在原則的範圍內選取該群組。

• 設定IP範圍：一旦設定IP位址範圍，適用於雲端的 Defender應用程式就可以識別已知的IP位址。 設定IP位址範圍後，您可以標記、分類及自訂記錄和警示的顯示和調查方式。 新增IP位址範圍有助於減少誤判偵測，並改善警示的精確度。 如果您選擇不新增IP位址，您可能會看到可能增加的誤判和警示數目來調查。

• 傳送警示的意見反應

  關閉或解決警示時，請務必傳送意見反應，以及您關閉警示的原因或解決方式。 這項資訊可協助 適用於雲端的 Defender Apps 改善警示並減少誤判。

如需詳細資訊：＜＞

• 取得實時的行為分析和異常偵測
• 使用IP範圍和標籤

最佳做法：從非預期的位置或國家/地區偵測活動
詳細數據：建立活動原則，以在使用者從非預期的位置或國家/地區登入時通知您。 這些通知可以警示您環境中可能遭到入侵的會話，以便偵測並補救威脅，再發生威脅。
如需詳細資訊：＜＞

• 威脅防護原則

最佳做法：建立 OAuth 應用程式原則
詳細數據：建立 OAuth 應用程式原則，以在 OAuth 應用程式符合特定準則時通知您。 例如，您可以選擇在超過100位使用者存取需要高許可權等級的特定應用程式時收到通知。
如需詳細資訊：＜＞

• OAuth 應用程式原則

使用活動的稽核線索進行鑑識調查

最佳做法：調查警示時使用活動的稽核線索
詳細數據：當使用者、系統管理員或登入活動不符合您的原則時，就會觸發警示。 請務必調查警示，以了解環境中是否有可能的威脅。

您可以在 [警示] 頁面上選取警示，並檢閱與該警示相關的活動稽核線索，以調查警示。 稽核線索可讓您查看相同類型、相同使用者、相同IP位址和位置的活動，以提供警示的整體故事。 如果警示需要進一步調查，請建立計劃來解決組織中的這些警示。

關閉警示時，請務必調查並了解它們為何不重要，或是否為誤判。 如果有大量這類活動，您可能也想要考慮檢閱和調整觸發警示的原則。
如需詳細資訊：＜＞

• 活動

保護 IaaS 服務和自訂應用程式

最佳做法：連線 Azure、AWS 和 GCP
詳細數據：連線 這些雲端平臺 適用於雲端的 Defender 應用程式可協助您改善威脅偵測功能。 藉由監視這些服務的系統管理與登入活動，您可以偵測並收到可能暴力密碼破解攻擊、惡意使用特殊許可權用戶帳戶，以及環境中其他威脅的通知。 例如，您可以識別風險，例如異常刪除 VM，或甚至模擬這些應用程式中的活動。
如需詳細資訊：＜＞

• 將 Azure 連線 至 適用於雲端的 Microsoft Defender Apps
• 連線 Amazon Web Services 適用於雲端的 Microsoft Defender Apps
• 連線 Google Workspace 適用於雲端的 Microsoft Defender Apps

最佳做法：將自定義應用程序上線
詳細數據：若要從企業營運應用程式取得活動的額外可見度，您可以將自定義應用程式上線至 適用於雲端的 Defender Apps。 設定自訂應用程式之後，您會看到使用他們的人員、所使用的IP位址，以及進出應用程式的流量。

此外，您可以將自定義應用程式上線為條件式存取應用程控應用程式，以監視其低信任會話。
如需詳細資訊：＜＞

• 新增自訂應用程式到 Cloud Discovery
• 為任何應用程式上線及部署條件式存取應用程控