實驗室:探索適用於雲端的 Microsoft Defender 應用程式

此實驗室對應至下列 Learn 內容:

  • 學習路徑:描述 Microsoft 安全性解決方案的功能
  • 課程模組:描述 Microsoft 365 的威脅防護功能
  • 單元:描述適用於雲端的 Microsoft Defender 應用程式

實驗案例

在本實驗中,您將會探索適用於雲端的 Microsoft Defender 應用程式的功能。 您將逐步解說 Cloud Discovery 儀表板上可用的資訊、雲端應用程式目錄、可用於調查結果的功能,以及透過原則控制對組織影響的方法。 請注意:組織必須要有授權,才可使用以使用者訂閱數計費的服務適用於雲端的 Microsoft Defender 應用程式。

預估時間:30 分鐘

工作 1:探索 Cloud Discovery

探索 Cloud Discovery。

  1. 開啟 Microsoft Edge。 在網址列中輸入 https://admin.microsoft.com

  2. 使用租用戶管理員認證登入 Microsoft 365 系統管理中心。
    1. 在登入視窗中輸入 admin@WWLxZZZZZZ.onmicrosoft.com (其中的 ZZZZZZ 是實驗室託管提供者所提供的唯一租用戶識別碼),然後選取 [下一步]**
    2. 輸入應由您的實驗室託管提供者提供的管理員密碼。 選取 [登入]**
    3. 視您的實驗室主機管理員而定,如果這是您第一次登入租用戶,系統可能會提示您完成 MFA 註冊程式。 如果是,請依照畫面上的提示來設定 MFA。
    4. 登入之後,系統會帶您前往 [Microsoft 365 系統管理中心] 頁面。

  3. 從 Microsoft 365 系統管理中心的左側導覽窗格中,選取顯示全部

  4. 在 [系統管理中心] 底下,選取 [安全性]**。 會在新的瀏覽器頁面中開啟 Microsoft 365 Defender 合規性入口網站歡迎頁面。

  5. 如果這是您第一次造訪 Microsoft 365 Defender 入口網站,您可以取得快顯視窗以快速導覽。 您可以選擇進行簡短導覽或關閉視窗。

  6. 在左側導覽面板中,選取 [雲端應用程式]** 以展開清單,然後選取 [Cloud Discovery]**。 這會帶您前往 [儀表板] 檢視。 請注意儀表板上可用的資訊。 從儀表板檢視,您可以從頁面頂端選取不同的索引標籤。

  7. 選取 [已探索的應用程式]**。 探索到的應用程式視窗提供更詳細的探索應用程式檢視,包括風險分數、流量、使用者數目等等。
    1. 在清單上的任何項目上,選取資料表的動作欄位中的 [省略符號]** (…)。 請注意有各種可用的選項,包括將應用程式標記為已獲批准或未經批准的功能。 再次選取 [省略符號]** (…),關閉動作方塊。
    2. 選取特定明細項目會開啟特定應用程式的詳細資料頁面。 從清單中選取項目,並檢閱概觀頁面上可用的資訊。 針對選取的項目,選取 [ 雲端應用程式使用量 ] 索引標籤,以查看更詳細的資訊,包括 使用量、使用者、 IP位址事件。 當您探索完詳細資料頁面時,請從頁面頂端的階層連結選取 [Cloud Discovery]**,以返回已探索的應用程式頁面。 如果您從左側導覽面板選取 Cloud Discovery,則會帶您回到儀表板檢視。
    3. 從頁面頂端,選取 [IP 位址]** 索引標籤。您可以在此找到資料,包括依 IP 位址顯示的交易數目、流量和上傳數量。 請注意,您也可以依特定 IP 位址進行篩選,或匯出資料以進行進一步分析。
    4. 從頁面頂端選取 [使用者]**。 這與您選取 IP 位址時提供的資訊類型相同,但這是針對單一使用者而列出的內容。 同樣地,您可以依特定使用者篩選,匯出資料以進行進一步分析。
  8. Cloud Discovery 頁面和相關索引標籤中提供的資訊是依據您手動自防火牆與 Proxy 上傳的流量記錄快照報告,或是來自利用 Cloud App Security 分析從網路轉寄的所有記錄的連續報告。 若要查看設定的位置,請選取頁面右上角的 [動作]**
    1. 選取第一個選項 [建立 Cloud Discovery 快照報告]**,然後選取 [下一步]。 在這裡,您將填入要求的詳細資料,並上傳流量記錄,以產生和上傳報告。 選取 [結束],如果出現 [是否確定] 提示,請再次選取 [結束]**。 您針對實驗室租用戶查看的資料來自「快照報告」,此資訊位於 Cloud Discovery 視窗的右上角。
    2. 若要查看連續報告的選項,請選取頁面右上角的 [動作]**,並從下拉式清單中選取 [設定自動上傳]。 沒有連線的資料來源,但這是您要新增資料來源的位置。 選取 [新增資料來源],然後選取 [選取設備]** 欄位的下拉箭頭,以查看可當作資料來源連線的設備類型。 選取 [取消]** 即可結束。
    3. 在左側導覽面板中,選取 [Cloud Discovery]** 以返回 [Cloud Discovery] 頁面。

  9. 您可以透過設定應用程式連接器來直接連線至應用程式,提供您更大的可見度與控制雲端應用程式。 從畫面右上角選取 [動作]**,然後選取 [Cloud Discovery 設定]。 從畫面左側的 [已連線的應用程式] 底下,選取 [應用程式連接器]**。

    1. 在 [已連線的應用程式] 頁面上,從清單中選取 [Office 365]** 以檢視可用的詳細資訊,然後選取畫面右側的垂直省略號 (⋮),然後選取 [檢視應用程式連接器設定]** 以返回 [應用程式連接器] 頁面。 如果 Office 365 顯示連線錯誤,非常可能是因為「稽核」未開啟。 如果已啟用稽核,請移至細項右側的垂直省略號 (⋮),然後選取 [編輯設定]**。 若要重新連線,請選取頁面底部的 [連線Office 365]。 頁面現在應會顯示 Office 365 已連線。 選取完成**。 狀態現在會以黃色警告符號顯示,表示沒有最近的狀態。 狀態需要一些時間才能更新,因為每個應用程式的追溯掃描期間不同,而實驗室租用戶可能會經歷比正常還久的延遲。

    2. 現在,您將設定新的應用程式連接器。 選取 [+連線應用程式]**,然後從下拉式清單中選取 [Microsoft Azure]。 在 Microsoft Azure 快顯視窗中,選取 [連線至 Microsoft Azure],然後選取 [完成]。 您將會看到已連線狀態 (若沒看到,請重新整理瀏覽器)。 選取 [Microsoft Azure]** 以檢視掃描使用者、資料和活動的詳細資訊。 在左側導覽面板中,選取 Cloud Apps 下方的 [Cloud Discovery]**,以返回 Cloud Discovery 儀表板。

  10. 請保持此頁面開啟,您將在下一個工作中使用它。

工作第 2 - 探索雲端應用程式目錄

Cloud Discovery 會根據適用於雲端的 MicrosoftDefender 應用程式雲端應用程式目錄,其中 31,000 個以上的雲端應用程式,分析您的流量記錄。 這些應用程式會根據 80 個以上的風險因素進行排名和評分,可讓您持續了解雲端使用、影子 IT 以及影子 IT 對組織所造成的風險。 在這項工作中,您將探索雲端應用程式目錄的功能。

  1. 在左側導覽面板中,選取 [雲端應用程式目錄]**

  2. 雲端應用程式目錄可讓您選擇哪些應用程式符合您組織的安全性需求。 系統管理員可進行應用程式的基本篩選,如頁面頂端所示,包括應用程式已獲批准、未獲批准,或沒有標籤、風險分數、合規性風險因素和安全性風險因素。 例如,依合規性風險因素篩選可讓您搜尋應用程式可能符合的特定標準、認證和合規性。 範例包括 HIPAA、ISO 27001、SOC 2 和 PCI-DSS。 選取 [合規性風險因素]** 以檢視可用的選項。 您可以移動頁面頂端的風險分數滑杆,進一步依風險分數進行篩選。 如果您移動了滑桿,請務必將其範圍設定為 0 到 10。

  3. 系統管理員也可以依類別搜尋應用程式。 例如,在搜尋類別欄位中輸入社交網路,然後選取 [社交網路]**。 從清單中選取任何項目以取得詳細檢視。 將滑鼠停在指定類別的任何主題上,便會顯示您可選取的資訊圖示,以取得該主題的詳細資訊。

  4. 請保持此頁面開啟,您將在下一個工作中使用它。

工作 3 - 探索活動記錄和檔案

探索您可使用活動記錄和檔案調查記錄活動的方式。

  1. 在左側導覽面板中,選取 [活動記錄]**。 您在此可從連接的應用程式看見所有活動。 一旦啟用稽核,實驗室租用戶可能會經歷比正常還要長的延遲,所以您可能不會看到任何列出的資料,因為可能需要數小時才能執行追溯掃描。 請注意,可用的篩選選項,以及從搜尋建立新原則的選項。

  2. 為了提供資料保護,適用於雲端的 MicrosoftDefender 應用程式可讓您檢視連線應用程式的所有檔案,例如儲存在 SharePoint 和 Salesforce 中的所有檔案。 從左側瀏覽窗格中,選取並探索 [使檔案]** 選項。
    1. 掃描檔案的能力必須啟用為 Microsoft 365 雲端應用程式的資訊保護設定的一部分。 選取 [啟用檔案監視]**,然後選取 [啟用檔案監視] ** 旁的方塊,然後選取 [儲存]**
    2. 從左側導覽面板中選取雲端應用程式底下的 [檔案] ** 以返回檔案。 如前所述,一旦啟用檔案監視,可能需要數天的時間才能顯示檔案,值得注意的是,一旦列出檔案,您就可以依應用程式、擁有者、存取層級、檔案類型和相符原則來篩選資料。 此外,您要從資料搜尋和匯出建立新原則。
  3. 請保持此頁面開啟,您將在下一個工作中使用它。

工作 4 - 探索原則

在這項工作中,您將會探索適用於雲端的 MicrosoftDefender 應用程式中的原則。

  1. 在左側導覽面板中,選取 [原則]**,然後選取 [原則管理]**。 列出的原則提供由原則、嚴重性等項目所產生警示數目的相關資訊。選取任何明細項目可提供原則的詳細資訊。
    1. 請注意,您也可以建立原則。 選取 [+ 建立原則]** 以檢視您可建立的原則類型。 選取 [活動原則]** 以檢視可用於建立原則的不同選項。 選取 [取消]** 以退出設定視窗。
    2. 請注意,您也可以選擇匯出原則資訊。

  2. 在左側導覽面板中,選取 [原則範本]**。 若要從其中一個可用的範本建立原則,請選取一個範本細項右側的 **+。 檢視原則的各種設定選項。 選取 [取消]** 以退出頁面。

  3. 關閉瀏覽器視窗。

檢閱

在本實驗中,您將會探索適用於雲端的 Microsoft Defender 應用程式功能。 您已逐步解說了 Cloud Discovery 儀表板上可用的資訊、雲端應用程式目錄、可用於調查結果的功能,以及透過原則控制對組織影響的方法。