Prověřování aplikací zjištěných Microsoft Defenderem for Endpoint

  • Článek

Integrace Microsoft Defenderu for Cloud Apps s Microsoft Defenderem for Endpoint poskytuje bezproblémové řešení viditelnosti a řízení stínového IT. Naše integrace umožňuje správcům Defenderu for Cloud Apps zkoumat zjištěná zařízení, síťové události a využití aplikací.

Zkoumání zjištěných zařízení v Defenderu pro Cloud Apps

Po integraci Defenderu for Endpoint s Defenderem for Cloud Apps můžete prověřovat zjištěná data o zařízeních na řídicím panelu Cloud Discovery.

  1. Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery. Pak vyberte kartu Řídicí panel .

  2. V pravém horním rohu vyberte uživatele koncového bodu Win10. Tento datový proud obsahuje data z libovolného operačního systému uvedeného v programu Defender for Cloud Apps. Příklad:

    Defender for Endpoint report.

    V horní části uvidíte počet zjištěných zařízení přidaných po integraci.

  3. Vyberte kartu Zařízení.

  4. Přejděte k podrobnostem o jednotlivých zařízeních, která jsou uvedená, a pomocí karet zobrazte data šetření. Najděte korelace mezi zařízeními, uživateli, IP adresami a aplikacemi, které byly součástí incidentů:

    • Přehled
      • Úroveň rizika zařízení: Ukazuje, jak rizikový profil zařízení odpovídá jiným zařízením ve vaší organizaci, jak je uvedeno závažností (vysoká, střední, nízká, informační). Defender for Cloud Apps používá profily zařízení z defenderu for Endpoint pro každé zařízení na základě pokročilých analýz. Aktivita, která je neobvyklá pro směrný plán zařízení, se vyhodnotí a určí úroveň rizika zařízení. Pomocí úrovně rizika zařízení určete, která zařízení se mají nejprve prošetřit.
      • Transakce: Informace o počtu transakcí, které proběhly na zařízení během vybraného časového období.
      • Celkový provoz: Informace o celkovém množství provozu (v MB) během vybraného časového období.
      • Nahrání: Informace o celkovém množství provozu (v MB) nahraném zařízením během vybraného časového období.
      • Stažené soubory: Informace o celkovém množství provozu (v MB) staženého zařízením během vybraného časového období.
    • Zjištěné aplikace
      Zobrazí seznam všech zjištěných aplikací, ke kterým zařízení přistupovalo.
    • Historie uživatelů
      Zobrazí seznam všech uživatelů, kteří se přihlásili k zařízení.
    • Historie IP adres
      Zobrazí seznam všech IP adres přiřazených zařízení. Devices overview.

Stejně jako u jakéhokoli jiného zdroje Cloud Discovery můžete exportovat data ze sestavy uživatelů koncového bodu Win10 pro další šetření.

Poznámka:

  • Defender for Endpoint předává data do Defenderu for Cloud Apps v blocích přibližně 4 MB (~4000 transakcí koncového bodu).
  • Pokud limit 4 MB není dosažen do 1 hodiny, Program Defender for Endpoint hlásí všechny transakce provedené za poslední hodinu.

Zjišťování aplikací přes Defender for Endpoint, když je koncový bod za síťovým proxy serverem

Defender for Cloud Apps může zjistit události stínové sítě IT zjištěné ze zařízení Defenderu pro koncové body, která pracují ve stejném prostředí jako síťový proxy server. Pokud je například vaše zařízení s koncovým bodem Windows 10 ve stejném prostředí jako ZScalar, může Defender for Cloud Apps zjišťovat stínové IT aplikace prostřednictvím datového proudu Uživatelé koncového bodu Win10.

Zkoumání síťových událostí zařízení v XDR v programu Microsoft Defender

Poznámka:

Síťové události by se měly použít ke zkoumání zjištěných aplikací a k ladění chybějících dat.

Pomocí následujících kroků získáte podrobnější přehled o síťové aktivitě zařízení v programu Microsoft Defender for Endpoint:

  1. Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery. Pak vyberte kartu Zařízení .
  2. Vyberte počítač, který chcete prozkoumat, a pak v levém horním rohu vyberte Zobrazit v programu Microsoft Defender for Endpoint.
  3. V programu Microsoft Defender XDR v části Prostředky –>Zařízení> {selected device} (zařízení) vyberte časovou osu.
  4. V části Filtry vyberte Síťové události.
  5. Podle potřeby prozkoumejte síťové události zařízení.

Screenshot showing device timeline in Microsoft Defender XDR.

Zkoumání využití aplikací v XDR v programu Microsoft Defender s pokročilým vyhledáváním

Pomocí následujících kroků získáte podrobnější přehled o síťových událostech souvisejících s aplikacemi v defenderu pro koncový bod:

  1. Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery. Pak vyberte kartu Zjištěné aplikace .

  2. Vyberte aplikaci, kterou chcete prozkoumat, a otevřete její zásuvku.

  3. Vyberte seznam domén aplikace a zkopírujte seznam domén.

  4. V programu Microsoft Defender XDR v části Proaktivní vyhledávání vyberte Rozšířené proaktivní vyhledávání.

  5. Vložte následující dotaz a nahraďte <DOMAIN_LIST> seznamem domén, které jste zkopírovali dříve.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Spusťte dotaz a prozkoumejte síťové události pro tuto aplikaci.

    Screenshot showing Microsoft Defender XDR Advanced hunting.

Zkoumání neschválené aplikace v XDR v programu Microsoft Defender

Každý pokus o přístup k neschválené aplikaci aktivuje upozornění v XDR v programu Microsoft Defender s podrobnými podrobnostmi o celé relaci. Díky tomu můžete provádět hlubší šetření při pokusech o přístup k neschválené aplikaci a také poskytnutí dalších relevantních informací pro použití při šetření zařízení koncových bodů.

Někdy není přístup k neschválené aplikaci zablokovaný, a to buď kvůli tomu, že zařízení koncového bodu není správně nakonfigurované nebo pokud se zásady vynucení ještě nešířely do koncového bodu. V tomto případě správci defenderu pro koncové body obdrží upozornění v XDR v programu Microsoft Defender, že neschválené aplikace nebyla blokovaná.

Screenshot showing Defender for Endpoint unsanctioned app alert.

Poznámka:

  • Po označení aplikace jako neschválené aplikace trvá až dvě hodiny, než se domény aplikací rozšíří na zařízení koncových bodů.
  • Ve výchozím nastavení budou aplikace a domény označené jako neschválené v programu Defender for Cloud Apps blokované pro všechna zařízení koncových bodů v organizaci.
  • V současné době nejsou úplné adresy URL podporované pro neschválené aplikace. Proto se při zrušení schválení aplikací nakonfigurovaných s úplnými adresami URL nešířují do programu Defender for Endpoint a nebudou blokovány. Například google.com/drive se nepodporuje, i když drive.google.com se podporuje.
  • Oznámení v prohlížeči se mohou mezi různými prohlížeči lišit.

Další kroky

Řízení aplikací zjištěných v programu Microsoft Defender for Endpoint

Řízení cloudových aplikací pomocí zásad

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.