实验室:探索 Microsoft Defender for Cloud Apps

此实验室与下列 Learn 内容保持一致:

  • 学习路径:描述 Microsoft 安全解决方案的功能
  • 模块:描述 Microsoft 365 的威胁防护功能
  • 单元:描述 Microsoft Defender for Cloud Apps

实验室场景

在本实验室中,你将探索 Microsoft Defender for Cloud Apps 的功能。 你将逐步了解 Cloud Discovery 仪表板上提供的信息、云应用目录、可用于调查结果的功能,以及通过策略控制对组织的影响的方法。 注意:组织必须拥有许可证才能使用 Microsoft Defender for Cloud Apps,这是一项基于用户的订阅服务。

预计用时:30 分钟

任务 1 - 探索 Cloud Discovery

探索 Cloud Discovery。

  1. 打开 Microsoft Edge。 在地址栏中,输入“admin.microsoft.com”。

  2. 使用 Microsoft 365 租户的管理员凭据登录。
    1. 在“登录”窗口中,输入 admin@WWLxZZZZZZ.onmicrosoft.com(其中 ZZZZZZ 是实验室托管提供商提供的唯一租户 ID),然后选择“下一步”。
    2. 输入管理员密码,该密码应由实验室托管提供商提供。 选择“登录”。
    3. 如果以前以管理员身份登录过,系统会提示你完成辅助身份验证,作为 MFA 的一部分。 如果之前未以管理员身份登录过,系统会提示你完成 MFA 注册过程。按照屏幕上的提示设置 MFA。
    4. 在提示保持登录状态时,选择“”。 这将使你进入 Microsoft 365 管理中心页面。

  3. 从 Microsoft 365 管理中心的左侧导航窗格中,选择“全部显示”。

  4. 在管理中心下,选择“安全性”。 这会打开一个新的浏览器页面,显示 Microsoft 365 Defender 门户的欢迎页。

  5. 如果你是第一次访问 Microsoft 365 Defender 门户,可能会出现一个弹出窗口,帮助你快速浏览。 请关闭此窗口。

  6. 在左侧导航面板中,选择“云应用”以展开列表,然后选择“Cloud Discovery”。 这会转到“仪表板”视图。 请注意仪表板中提供的信息。 在仪表板视图中,可以从页面顶部选择不同的选项卡。

  7. 选择“已发现的应用”。 “已发现的应用”窗口提供已发现的应用的更加详细的视图,其中包含风险分数、流量、用户数量等。
    1. 在列表中的任意项上,选择表的操作列中的省略号 (…)**。 请注意提供的各种选项,其中包括将应用标记为已批准或未批准。 再次选择省略号 (…) 可关闭操作框。**
    2. 通过选择一个特定的行项,打开特定应用的详细信息页。 从列表中选择一项,并查看概述页上的可用信息。 对于所选项,选择“云应用使用情况”选项卡以查看更多详细信息,包括使用情况用户、IP地址警报。 浏览完详细信息页后,从页面顶部的痕迹导航栏中选择“Cloud Discovery”返回到“已发现的应用”页。 如果从左侧导航面板中选择“Cloud Discovery”,将返回到仪表板视图。
    3. 在页面顶部,选择“IP 地址”选项卡。在此处可以按 IP 地址找到事务数量、流量和上传数量等数据。 请注意也可以按特定 IP 地址进行筛选或将数据导出供进一步分析。
    4. 在页面顶部选择“用户”。 信息类型与选择 IP 地址时提供的信息类型相同,但是针对各个用户列出。 在此处也可以按特定用户进行筛选,并导出数据供进一步分析。
  8. Cloud Discovery 页面和相关选项卡中提供的信息基于从防火墙和代理手动上传的流量日志的快照报表,或者基于分析使用 Cloud App Security 从网络转发的所有日志的连续报表。 若要查看设置此项的位置,请选择页面右上角的“操作”。
    1. 选择第一个选项“创建 Cloud Discovery 快照报表”,然后选择“下一步”。 在此处填写所需的详细信息,并上传流量日志以生成和上传报表。 选择“退出”,如果出现“是否确定”提示,请再次选择“退出”。 你看到的实验室租户的数据来自快照报表,可以在“Cloud Discovery”窗口顶部查看此信息。
    2. 若要查看连续报表的选项,请选择页面右上角的“操作”,然后在下拉列表中选择“配置自动上传”。 没有连接的数据源,但可在此处添加数据源。 选择“添加数据源”,然后选择“选择设备”字段中的下拉箭头,以查看可以作为数据源连接的设备类型。 选择“取消”以退出,
    3. 在左侧导航面板中,选择“Cloud Discovery”以返回到“Cloud Discovery”页。

  9. 可通过设置应用连接器直接连接到应用,从而提供对云应用更好的可见性和控制。 在屏幕右上角,选择“操作”,然后选择“Cloud Discovery 设置”。 在屏幕左侧的“已连接的应用”下,选择“应用连接器”。

    1. 在“连接的应用”页上,从列表中选择“Office 365”以查看可用的详细信息,选择屏幕右侧的垂直省略号 (⋮),然后选择“查看应用连接器设置”以返回到“应用连接器”页面。**** 如果 Office 365 显示连接错误,很可能是因为未启用“审核”。 如果启用了审核,请转到行项右侧的垂直省略号(⋮),然后选择“编辑设置”**。 若要重新连接,请选择页面底部的“连接 Office 365”。 该页面现在应显示 Office 365 已连接。 选择“完成**”。 状态现在将显示一个黄色警告标志,表示没有最近的状态。 由于每个应用程序的追溯扫描时间不同,状态更新需要一段时间,实验室租户可能会遇到比正常情况更长的延迟。

    2. 现在,你将设置一个新的应用连接器。 选择“+连接应用”,然后在下拉列表中选择“Microsoft Azure”。 在 Microsoft Azure 弹出窗口中,选择“连接 Microsoft Azure”,然后选择“完成”。 你将看到已连接状态(如果没有看到,请刷新浏览器)。 选择“Microsoft Azure”查看有关扫描用户、数据和活动的详细信息。 从最左侧的导航面板中选择 Cloud Apps 下的“Cloud Discovery”以返回到 Cloud Discovery 仪表板。

  10. 请将此页面保持打开状态,因为在下一个任务中将用到它。

任务 2–探索云应用目录

Cloud Discovery 根据 Microsoft Defender for Cloud Apps 中包含超过 31,000 个云应用的云应用目录来分析流量日志。 应用根据 80 多种风险因素进行排名和评分,使你持续了解云使用情况、影子 IT 以及影子 IT 给组织带来的风险。 在此任务中,你将探索云应用目录的功能。

  1. 从左侧导航面板中,选择“云应用目录”。

  2. 使用云应用目录,可以选择适合组织安全要求的应用。 管理员可以对应用执行基本的筛选,如页面顶部所示,筛选条件包括已批准应用、未批准应用、无标记应用、风险评分、合规性风险因素和安全风险因素。 例如,通过按合规性风险因素进行筛选,可以搜索应用可能符合的特定标准、认证和合规性。 例子包括 HIPAA、ISO 27001、SOC 2 和 PCI-DSS。 选择“合规性风险因素”以查看可用选项。 可以通过在页面顶部移动风险评分上的滑块来进一步筛选风险评分。 如果移动了该滑块,请确保将范围设置为 0 到 10。

  3. 管理员还可以按类别搜索应用。 例如,在搜索类别字段中输入“社交网络”,然后选择“社交网络”。 从列表中选择任意项以获取详细视图。 将鼠标悬停在给定类别的任何主题上,将看到一个信息图标,可以通过选择该图标来获取有关该主题的详细信息。

  4. 请将此页面保持打开状态,因为在下一个任务中将用到它。

任务 3 - 探索活动日志和文件

探索使用活动日志和文件调查记录的活动的方法。

  1. 从左侧导航面板中,选择“活动日志”。 在此处可查看已连接应用的所有活动。 此处可能未列出任何数据,因为启用审核后,执行追溯扫描可能需要几个小时,且实验室租户可能会遇到比正常情况更高的延迟。 请注意可用的筛选器选项以及用于通过搜索创建新策略的选项。

  2. 为了提供数据保护,Microsoft Defender for Cloud Apps 可让你查看已连接应用中的所有文件,例如 SharePoint 和 Salesforce 中存储的所有文件。 在左侧导航窗格中,选择并浏览“文件”选项。
    1. 在 Microsoft 365 云应用的信息保护设置中,必须启用扫描文件的功能。 选择“启用文件监视”,再选择“启用文件监视”旁边的框,然后选择“保存”。
    2. 通过从左侧导航面板中选择“云应用”下列出的“文件”,返回到文件。 如前所述,显示文件可能需要几天时间,启用文件监视后,值得注意的是,列出文件后,可以按应用、所有者、访问级别、文件类型和匹配策略筛选数据。 另外,通过搜索和导出数据来创建新策略。
  3. 请将此页面保持打开状态,因为在下一个任务中将用到它。

任务 4 - 探索策略

在此任务中,你将探索 Microsoft Defender for Cloud Apps 中的策略。

  1. 在左侧导航面板中,选择“策略”,然后选择“策略管理”。 列出的策略提供有关策略生成的警报数量、严重性等的信息。选择任何行项可提供有关该策略的更多详细信息。
    1. 请注意,你也可以创建策略。 选择“+ 创建策略”可查看可以创建的策略类型。 选择“活动策略”可查看可用于创建策略的不同选项。 选择“取消”退出配置窗口。
    2. 请注意,还可以选择导出策略信息。

  2. 从左侧导航面板中,选择“策略模板”。 要通过其中一个可用模板创建策略,请选择模板行项右侧的“ + ”。 查看策略的不同配置选项。 选择“取消”退出此页面。

  3. 关闭浏览器窗口。

审阅

在本实验室中,你探索了 Microsoft Defender for Cloud Apps 的功能。 你逐步了解了 Cloud Discovery 仪表板上提供的信息以及可用于调查结果和通过策略控制对组织的影响的功能。