Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I connettori app usano le API dei provider di app per offrire maggiore visibilità e controllo tramite Microsoft Defender for Cloud Apps per le app a cui ci si connette.
Microsoft Defender for Cloud Apps usa le API fornite dal provider di servizi cloud. Tutte le comunicazioni tra Defender for Cloud Apps e le app connesse vengono crittografate tramite HTTPS. Ogni servizio ha i propri framework e limitazioni API, ad esempio la limitazione delle richieste, i limiti api, le finestre dell'API con spostamento dinamico del tempo e altre. Microsoft Defender for Cloud Apps interagisce con questi servizi per ottimizzare l'utilizzo delle API e offrire prestazioni ottimali. Tenendo conto delle diverse limitazioni imposte dai servizi alle API, i motori di Microsoft Defender for Cloud Apps usano la capacità consentita. Alcune operazioni, ad esempio l'analisi di tutti i file nel tenant, richiedono numerose API, quindi vengono distribuite in un periodo più lungo. È prevista l'esecuzione di alcuni criteri per diverse ore o diversi giorni.
Importante
A partire dal 1° settembre 2024, Microsoft ha deprecato la pagina Files da Microsoft Defender for Cloud Apps. Per altre informazioni, vedere Criteri file in Microsoft Defender for Cloud Apps.
Supporto per più istanze
Defender for Cloud Apps supporta più istanze della stessa app connessa. Ad esempio, se si dispone di più istanze di Salesforce (una per le vendite, una per il marketing) è possibile connettersi a Defender for Cloud Apps.If you have more one instance of Salesforce (one for sales, one for marketing) you can connect both to Defender for Cloud Apps. È possibile gestire le diverse istanze dalla stessa console per creare criteri granulari e indagini più approfondite. Questo supporto si applica solo alle app connesse alle API, non alle app individuate nel cloud o alle app connesse tramite proxy.
Nota
L'istanza multipla non è supportata per Microsoft 365 e Azure.
Come funziona
Defender for Cloud Apps viene distribuito con privilegi di amministratore di sistema per consentire l'accesso completo a tutti gli oggetti nell'ambiente.
Il flusso del connettore app è il seguente:
- Defender for Cloud Apps analizza e salva le autorizzazioni di autenticazione.
- Defender for Cloud Apps richiede l'elenco utenti. La prima volta che effettua la richiesta, potrebbe essere necessario del tempo prima che l'analisi venga completata. Al termine dell'analisi dell'utente, Defender for Cloud Apps passa ad attività e file. Non appena viene avviata l'analisi, alcune attività sono disponibili in Defender for Cloud Apps.
- Al termine della richiesta dell'utente, Defender for Cloud Apps analizza periodicamente utenti, gruppi, attività e file. Tutte le attività sono disponibili dopo la prima analisi completa.
Questa connessione potrebbe richiedere del tempo a seconda delle dimensioni del tenant, del numero di utenti e delle dimensioni e del numero di file da analizzare.
A seconda dell'app a cui ci si connette, la connessione API abilita gli elementi seguenti:
- Informazioni sull'account : visibilità su utenti, account, informazioni sul profilo, stato (sospeso, attivo, disabilitato) gruppi e privilegi.
- Audit trail : visibilità sulle attività degli utenti, sulle attività di amministrazione, sulle attività di accesso.
- Governance dell'account : possibilità di sospendere gli utenti, revocare le password e altro ancora.
- Autorizzazioni per le app : visibilità dei token rilasciati e delle relative autorizzazioni.
- Governance delle autorizzazioni dell'app : possibilità di rimuovere i token.
- Analisi dei dati: analisi dei dati non strutturati tramite due processi, periodicamente (ogni 12 ore) e in analisi in tempo reale (attivata ogni volta che viene rilevata una modifica).
- Governance dei dati : possibilità di mettere in quarantena i file, inclusi i file nel cestino e sovrascrivere i file.
Le tabelle seguenti elencano, per app cloud, quali funzionalità sono supportate con i connettori di app:
Nota
Poiché non tutti i connettori di app supportano tutte le funzionalità, alcune righe potrebbero essere vuote.
Utenti e attività
| App | Elencare gli account | Elencare i gruppi | Elencare i privilegi | Attività di accesso | Attività utente | Attività amministrativa |
|---|---|---|---|---|---|---|
| Asana | ✔ | ✔ | ✔ | |||
| Atlassian | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | Non applicabile | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | ||||||
| DocuSign | Supportato con DocuSign Monitor | Supportato con DocuSign Monitor | Supportato con DocuSign Monitor | Supportato con DocuSign Monitor | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| GitHub | ✔ | ✔ | ✔ | ✔ | ||
| GCP | Connessione a Google Workspace soggetto | Connessione a Google Workspace soggetto | Connessione a Google Workspace soggetto | Connessione a Google Workspace soggetto | ✔ | ✔ |
| Google Workspace | ✔ | ✔ | ✔ | ✔ | ✔ - richiede Google Business o Enterprise | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Miro | ✔ | ✔ | ✔ | |||
| Mural | ✔ | ✔ | ✔ | |||
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Okta | ✔ | Non supportato dal provider | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | Parziale | Parziale |
| Salesforce | Supportato con Salesforce Shield | Supportato con Salesforce Shield | Supportato con Salesforce Shield | Supportato con Salesforce Shield | Supportato con Salesforce Shield | Supportato con Salesforce Shield |
| Slack | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | Non supportato dal provider | ||
| Workday | ✔ | Non supportato dal provider | Non supportato dal provider | ✔ | ✔ | Non supportato dal provider |
| Workplace by Meta | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zoom |
Visibilità della configurazione dell'utente, della governance delle app e della sicurezza
| App | Governance degli utenti | Visualizzare le autorizzazioni dell'app | Revocare le autorizzazioni dell'app | SaaS Security Posture Management (SSPM) |
|---|---|---|---|---|
| Asana | ||||
| Atlassian | ✔ | |||
| AWS | Non applicabile | Non applicabile | ||
| Azure | Non supportato dal provider | |||
| Box | ✔ | Non supportato dal provider | ||
| Citrix ShareFile | ✔ | |||
| DocuSign | ✔ | |||
| Dropbox | ✔ | |||
| Egnyte | ||||
| GitHub | ✔ | ✔ | ||
| GCP | Connessione a Google Workspace soggetto | Non applicabile | Non applicabile | |
| Google Workspace | ✔ | ✔ | ✔ | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
| Miro | ||||
| Mural | ||||
| NetDocuments | Anteprima | |||
| Okta | Non applicabile | Non applicabile | ✔ | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | |
| Slack | ||||
| Smartsheet | ||||
| Webex | Non applicabile | Non applicabile | ||
| Workday | Non supportato dal provider | Non applicabile | Non applicabile | |
| Workplace by Meta | Anteprima | |||
| Zendesk | ✔ | |||
| Zoom | Anteprima |
Protezione delle informazioni
| App | DLP - Analisi periodica del backlog | DLP - Analisi quasi in tempo reale | Controllo della condivisione | Governance dei file | Applicare etichette di riservatezza da Microsoft Purview Information Protection |
|---|---|---|---|---|---|
| Asana | |||||
| Atlassian | |||||
| AWS | ✔ - Solo individuazione bucket S3 | ✔ | ✔ | Non applicabile | |
| Azure | |||||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | |||||
| DocuSign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| GitHub | |||||
| GCP | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile |
| Google Workspace | ✔ | ✔ - richiede Google Business Enterprise | ✔ | ✔ | ✔ |
| Okta | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile |
| Miro | |||||
| Mural | |||||
| NetDocuments | |||||
| Okta | Non applicabile | Non applicabile | Non applicabile | Non applicabile | Non applicabile |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | Non applicabile | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| Slack | |||||
| Smartsheet | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | Non applicabile |
| Workday | Non supportato dal provider | Non supportato dal provider | Non supportato dal provider | Non supportato dal provider | Non applicabile |
| Workplace by Meta | |||||
| Zendesk | Anteprima | ||||
| Zoom |
Prerequisiti
Quando si usa il connettore Microsoft 365, è necessaria una licenza per ogni servizio in cui si vogliono visualizzare le raccomandazioni sulla sicurezza. Ad esempio, per visualizzare le raccomandazioni per Microsoft Forms, è necessaria una licenza che supporti i moduli.
Per alcune app, potrebbe essere necessario consentire agli indirizzi IP dell'elenco di abilitare Defender for Cloud Apps per raccogliere i log e fornire l'accesso per la console Defender for Cloud Apps. Per altre informazioni, vedere Requisiti di rete.
Nota
Per ottenere gli aggiornamenti quando gli URL e gli indirizzi IP cambiano, sottoscrivere rss come illustrato in: URL e intervalli di indirizzi IP di Microsoft 365.
Abilitare i connettori di app
Per abilitare un connettore app per la prima volta, configurare una connessione API per l'app cloud specifica da connettere. Per istruzioni dettagliate, vedere le singole guide del connettore per ogni app.
- Accedere al portale di Microsoft Defender.
- Passare ad App cloud App>connesse.
- Selezionare Connetti un'app o Aggiungi un nuovo connettore.
- Scegliere l'app cloud da connettere.
- Seguire le istruzioni riportate nella guida corrispondente del connettore API specifico dell'app. Queste istruzioni includono le autorizzazioni e i passaggi di autenticazione necessari.
Ogni app cloud ha un proprio processo di abilitazione basato sulle API supportate.
ExpressRoute
Defender for Cloud Apps viene distribuito in Azure e completamente integrato con ExpressRoute. Tutte le interazioni con le app Defender for Cloud Apps e il traffico inviato a Defender for Cloud Apps, incluso il caricamento dei log di individuazione, vengono instradate tramite ExpressRoute per migliorare la latenza, le prestazioni e la sicurezza. Per altre informazioni sul peering Microsoft, vedere Circuiti ExpressRoute e domini di routing.
Disabilitare i connettori di app
Nota
- Prima di disabilitare un connettore di app, assicurarsi di avere i dettagli di connessione disponibili perché saranno necessari se si vuole riabilitare il connettore.
- Questi passaggi non possono essere usati per disabilitare le app di controllo delle app di accesso condizionale e le app di configurazione della sicurezza.
Per disabilitare le app connesse:
- Passare a App connesse.
- Selezionare Disabilita connettore app.
- Selezionare Disabilita l'istanza del connettore app per confermare l'azione.
Una volta disabilitata, l'istanza del connettore interrompe l'utilizzo dei dati dal connettore.
Riabilitare i connettori di app
Per riabilitare le app connesse:
- Passare a App connesse.
- Selezionare Modifica impostazioni. Questa azione avvia il processo per aggiungere un connettore.
- Aggiungere il connettore usando i passaggi descritti nella guida del connettore API pertinente. Ad esempio, se si riabilitare GitHub, usare la procedura descritta in Connettere GitHub Enterprise Cloud a Microsoft Defender for Cloud Apps.
Risolvere i problemi relativi alle attività mancanti dopo la connessione di un'app
Se le attività previste non vengono visualizzate dopo la connessione di un'app, usare i controlli seguenti per determinare dove devono essere disponibili i dati e se è necessaria una configurazione aggiuntiva.
1. Verificare che il connettore sia integro
Verificare che il connettore app sia connesso correttamente e che non siano presenti avvisi di configurazione o problemi di autorizzazione.
2. Controllare le aspettative di ritardo di inserimento
Alcuni connettori hanno previsto latenza prima che vengano visualizzate le attività. Verificare se il connettore presenta un ritardo di inserimento documentato prima di considerare l'attività mancante come un problema.
3. Verificare che il connettore supporti l'inserimento di attività
Controllare se il connettore supporta la raccolta di attività nella sezione Utenti e attività.
4. Esaminare le opzioni di attività specifiche del connettore Per i connettori che supportano tipi di attività selezionabili, verificare che le opzioni necessarie siano abilitate. Ad esempio, se si sta analizzando l'attività di accesso, verificare che il connettore sia configurato per raccogliere i dati di accesso pertinenti.
5. Verificare le impostazioni di distribuzione con ambito
Se la distribuzione con ambito è abilitata, verificare che l'account che esegue l'attività sia incluso nelle regole di distribuzione con ambito corrente. Le attività generate da utenti, gruppi o app esclusi non vengono ingerite. Verificare anche se gli identificatori dell'account vengono confrontati correttamente tra le applicazioni connesse, in particolare quando vengono usati formati di identificatori diversi.
6. Convalidare la superficie di registrazione prevista
A seconda del tipo di attività, verificare se l'evento viene visualizzato nell'origine appropriata elencata nella tabella seguente.
| Evento | Origine |
|---|---|
| Defender for Cloud Apps modifiche all'amministrazione dei criteri | log attività Microsoft Defender for Cloud Apps |
| Microsoft Entra eventi di accesso | Microsoft Entra log di accesso |
| Dati di indagine correlati all'identità | Tabelle delle identità di ricerca avanzata |
7. Applicare filtri prima di concludere che i dati sono mancanti
Usare filtri come:
- Intervallo di tempo
- Utente o amministratore
- Tipo di attività
- App o carico di lavoro
8. Verificare la presenza di limitazioni dell'ambito note
Alcune attività potrebbero non essere completamente rappresentate in ogni superficie di registrazione. Se manca un evento da un'origine, verificare se tale attività è documentata come disponibile in un'altra origine.
Importante
L'attività mancante non indica sempre un errore del connettore. Verificare innanzitutto se l'attività è prevista in Defender for Cloud Apps, log Microsoft Entra, log di controllo di Microsoft 365 o Ricerca avanzata.
Ulteriori indagini
Analizzare ulteriormente quando:
- Il connettore mostra uno stato integro, ma non vengono visualizzati dati previsti in alcuna superficie di registrazione supportata.
- Le opzioni di attività necessarie sono attivate, ma l'evento è ancora assente dopo un periodo di convalida ragionevole.
- Lo stesso tipo di attività non è sempre disponibile in più controlli.