Defender for Cloud Apps mit Zscaler integrieren

Wenn sowohl Microsoft Defender for Cloud Apps als auch Zscaler verwenden, können Sie das Cloud Discovery-Erlebnis verbessern, indem Sie die beiden Produkte integrieren. Zscaler überwacht als eigenständiger Cloudproxy den Datenverkehr Ihrer Organisation und erlaubt Ihnen Richtlinien zum Blockieren von Transaktionen festzulegen. Zusammen stellen Defender for Cloud Apps und Zscaler die folgenden Funktionen bereit:

  • Nahtlose Cloud-Ermittlung: Verwenden Sie Zscaler, um Ihren Datenverkehr zu proxyn und an Defender for Cloud Apps zu senden. Die Integration der beiden Dienste bedeutet, dass Sie keine Protokollsammler auf Ihren Netzwerkendpunkten installieren müssen, um Cloud Discovery zu ermöglichen.
  • Automatische Blockierung: Nach der Konfiguration der Integration werden die Blockfunktionen von Zscaler automatisch auf alle Apps angewendet, die Sie in Defender for Cloud Apps als nicht genehmigt festgelegt haben.
  • Erweiterte Zscalar-Daten: Erweitern Sie Ihr Zscaler-Portal mit der Defender for Cloud Apps-Risikobewertung für führende Cloud-Apps, die direkt im Zscaler-Portal angezeigt werden können.

Voraussetzungen

  • Eine gültige Lizenz für Microsoft Defender for Cloud Apps oder eine gültige Lizenz für Microsoft Entra ID P1
  • eine gültige Lizenz für Zscaler Cloud 5.6
  • ein aktives Zscaler NSS-Abonnement

Bereitstellen der Zscaler-Integration

  1. Konfigurieren Sie im Zscalar-Portal die Zscaler-Integration für Defender for Cloud Apps. Weitere Informationen finden Sie in der Zscaler-Dokumentation.

  2. Führen Sie in Microsoft Defender XDR die Integration mit den folgenden Schritten aus:

    1. Wählen Sie Einstellungen> Cloud-Apps>Cloud Discovery>Automatisches Protokollupload>+Datenquelle hinzufügen aus.

    2. Geben Sie auf der Seite Datenquelle hinzufügen die folgenden Einstellungen ein:

      • Name = NSS
      • Quelle = Zscaler QRadar LEEF
      • Empfängertyp = Syslog - UDP

      Beispiel:

      Screenshot of adding the Zscaler data source.

      Hinweis

      Stellen Sie sicher, dass der Name der Datenquelle NSS ist. Weitere Informationen zum Einrichten von NSS-Feeds finden Sie unter Hinzufügen von Defender for Cloud Apps-NSS-Feeds.

    3. Wählen Sie zum Anzeigen eines Beispielermittlungsprotokolls die Option Beispiel der erwarteten Protokolldatei anzeigen>Beispielprotokoll herunterladen aus. Stellen Sie sicher, dass das heruntergeladene Beispielprotokoll Ihren Protokolldateien entspricht.

Nach Abschluss der Integrationsschritte wird jede App, die Sie in Defender for Cloud Apps als nicht genehmigt festgelegt haben, alle zwei Stunden von Zscaler angepingt und dann gemäß Ihrer Zscalar-Konfiguration von Zscaler blockiert. Weitere Informationen finden Sie unter Sanktionieren/nicht sanktionieren einer App.

Fahren Sie fort, indem Sie Cloud-Apps untersuchen, die in Ihrem Netzwerk entdeckt wurden. Weitere Informationen und die einzelnen Untersuchungsschritte finden Sie unter Arbeiten mit Cloud Discovery.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.