Integrace Microsoft Defenderu pro koncový bod s Microsoft Defenderem for Cloud Apps

Microsoft Defender for Endpoint je platforma zabezpečení pro inteligentní ochranu, detekci, vyšetřování a reakci. Defender for Endpoint chrání koncové body před kybernetickými hrozbami, detekuje pokročilé útoky a porušení zabezpečení, automatizuje bezpečnostní incidenty a zlepšuje stav zabezpečení.

Tento článek popisuje připravenou integraci mezi programem Microsoft Defender for Cloud Apps a Microsoft Defenderem for Endpoint, která zjednodušuje zjišťování cloudu a umožňuje prošetření na základě zařízení.

Důležité

Tento článek se zaměřuje na možnosti stínového zjišťování IT z protokolů Defenderu pro koncové body. Další informace o možnostech řízení stínového IT prostřednictvím programu Defender for Endpoint najdete v tématu Řízení zjištěných aplikací pomocí programu Microsoft Defender for Endpoint.

Požadavky

• Licence Microsoft Defenderu pro Cloud Apps

• Jeden z následujících:

  • Microsoft Defender for Endpoint s plánem 2
  • Microsoft Defender pro firmy s licencí Premium nebo samostatnou licencí

  Další informace najdete v tématu Porovnání plánů zabezpečení koncového bodu Microsoftu.

• Aplikace používající jeden z následujících operačních systémů:

  • Windows 10 verze 1709 (build operačního systému 16299.1085 s KB4493441)
  • Windows 10 verze 1803 (build operačního systému 17134.704 s KB4493464)
  • Windows 10 verze 1809 (build operačního systému 17763.379 s KB4489899) nebo novější verze Windows 10 a Windows 11
  • macOS, na zařízeních s defenderem for Endpoint verze 20.123072.25.0 nebo novější

• Pokud chcete podporovat integrace pro aplikace pro macOS, musíte zapnout možnosti ochrany sítě v programu Microsoft Defender for Endpoint. Vzhledem k tomu, že ochrana sítě audituje pouze události ukončení připojení TCP, nejsou protokoly UDP pokryté podporou macOS. Další informace najdete v tématu Zapnutí ochrany sítě.

• (Doporučeno) Povolení Antivirová ochrana v programu Microsoft Defender:

  • Povolená ochrana v reálném čase
  • Povolená ochrana doručená do cloudu
  • Povolená a nakonfigurovaná ochrana sítě pro režim blokování

Poznámka:

I když se Antivirová ochrana v programu Microsoft Defender důrazně doporučuje pro zjišťování, není to povinné. Některá data zjišťování jsou stále dostupná, když je antivirová ochrana v programu Defender zakázaná.

Jak to funguje

Defender for Cloud Apps automaticky shromažďuje protokoly z koncových bodů pomocí protokolů, které nahrajete , nebo konfigurací automatického nahrávání protokolů. Předdefinovaná integrace umožňuje využít výhod agenta Defenderu pro koncové body při spuštění ve Windows a monitorování síťových transakcí. Tyto informace použijte ke zjišťování stínového IT na zařízeních s Windows ve vaší síti.

Integrace nevyžaduje další kroky nasazení ani směrování nebo zrcadlení provozu z koncových bodů a funguje takto:

• Protokoly z koncových bodů odesílaných do Defenderu for Cloud Apps poskytují informace o uživatelích a zařízeních pro aktivity provozu. Spárování kontextu zařízení s uživatelským jménem poskytuje v síti úplný obrázek, který vám umožní určit, který uživatel provedl aktivitu, ze kterého zařízení.
• Když identifikujete rizikového uživatele, zkontrolujte zařízení, ke kterým uživatel přistupoval, a zjistěte potenciální rizika. Pokud identifikujete rizikové zařízení, zkontrolujte všechny uživatele, kteří ho použili ke zjištění dalších potenciálních rizik.
• Jakmile se shromažďují informace o provozu, můžete se podrobně ponořit do používání cloudových aplikací ve vaší organizaci. Defender for Cloud Apps využívá možnosti Defenderu for Endpoint Network Protection k blokování přístupu zařízení koncových bodů ke cloudovým aplikacím. Další informace o řízení zjištěných aplikací najdete v tématu Řízení zjištěných aplikací pomocí programu Microsoft Defender for Endpoint.

Zákazníci, kteří se integrují se zařízeními s macOS, můžou zaznamenat nárůst spotřeby procesoru.

Tip

Podívejte se na naše videa , která ukazují výhody používání defenderu pro koncový bod s defenderem pro Cloud Apps.

Integrace Microsoft Defenderu pro koncový bod s Defenderem for Cloud Apps

Povolení integrace Defenderu for Endpoint s Defenderem pro Cloud Apps:

1. Na portálu Microsoft Defender v navigačním podokně vyberte Obecné pokročilé funkce koncové body>>nastavení.>
2. Přepněte Microsoft Defender for Cloud Apps na Zapnuto.
3. Vyberte Použít.

Poznámka:

Po povolení integrace dat v Defenderu pro Cloud Apps to trvá až dvě hodiny.

Konfigurace závažnosti pro výstrahy odeslané do programu Microsoft Defender for Endpoint:

1. Na portálu Microsoft Defender vyberte Nastavení>Cloud Apps>Cloud Discovery>Microsoft Defender pro koncový bod.

2. V části Výstrahy vyberte pro výstrahy globální úroveň závažnosti.

3. Zvolte Uložit.

   

Další kroky

Prověřování aplikací zjištěných Microsoft Defenderem for Endpoint

Řízení aplikací zjištěných v programu Microsoft Defender for Endpoint

Související videa

Zjišťování a blokování stínového IT pomocí defenderu pro koncový bod

Stínové zjišťování IT mimo podnikovou síť

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.