Integrieren von Microsoft Defender for Endpoint in Microsoft Defender for Cloud Apps

Hinweis

Microsoft Defender for Cloud Apps ist jetzt Teil von Microsoft 365 Defender, das Signale aus der gesamten Microsoft Defender Suite korreliert und Funktionen zur Erkennung, Untersuchung und leistungsstarken Reaktionsmöglichkeiten auf Incidentebene bietet. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Wichtig

Dieses Dokument konzentriert sich auf Schatten-IT-Ermittlungsfunktionen aus Defender für Endpunktprotokollen. Weitere Informationen zu Schatten-IT-Steuerungsfunktionen über Defender für Endpunkt finden Sie unter Steuern von ermittelten Apps mithilfe von Microsoft Defender for Endpoint.

Microsoft Defender for Cloud Apps kann nativ in Microsoft Defender for Endpoint integriert werden. Die Integration vereinfacht das Rollout von Cloud Discovery und ermöglicht die gerätebasierte Untersuchung. Microsoft Defender for Endpoint ist eine Sicherheitsplattform für intelligenten Schutz, Erkennung, Untersuchung und Reaktion. Defender for Endpoint schützt Endpunkte vor Cyberbedrohungen, erkennt komplexe Angriffe und Datenschutzverletzungen, automatisiert Sicherheitsincidents und verbessert den Sicherheitsstatus.

Defender für Cloud-Apps verwendet die von Defender für Endpunkt gesammelten Datenverkehrsinformationen zu den Cloud-Apps und Diensten, auf die von der IT verwalteten Geräten zugegriffen wird, die in den unten aufgeführten Voraussetzungen angegeben sind.

Die Integration erfordert keine zusätzliche Bereitstellung und kann direkt über die Einstellungen in Defender für Endpunkt und Microsoft 365 Defender aktiviert werden. Sie müssen den Datenverkehr nicht von Ihren Endpunkten aus umleiten oder spiegeln und auch keine komplexen Integrationsschritte ausführen. Protokolle von Ihren Endpunkten, die an Defender for Cloud Apps gesendet werden, enthalten Benutzer- und Geräteinformationen für Datenverkehrsaktivitäten. Das Koppeln des Gerätekontexts mit dem Benutzernamen bietet ein vollständiges Bild im gesamten Netzwerk, sodass Sie bestimmen können, welcher Benutzer welche Aktivität von welchem Gerät aus ausgeführt hat.

Wenn Sie einen riskanten Benutzer identifizieren, können Sie außerdem alle Geräte überprüfen, auf die der Benutzer zugegriffen hat, um potenzielle Risiken zu erkennen. Wenn Sie ein riskantes Gerät identifizieren, überprüfen Sie alle Benutzer, die es verwendet haben, um weitere potenzielle Risiken zu erkennen.

Nachdem Die Datenverkehrsinformationen erfasst wurden, können Sie sich eingehend mit der Verwendung von Cloud-Apps in Ihrem organization befassen. Defender für Cloud-Apps nutzt die Funktionen von Defender für Endpoint Network Protection, um den Zugriff von Endpunktgeräten auf Cloud-Apps zu blockieren. Weitere Informationen zum Steuern der ermittelten Apps finden Sie unter Steuern ermittelter Apps mithilfe von Microsoft Defender for Endpoint.

Voraussetzungen

• Microsoft Defender for Cloud Apps Lizenz

• Einer der folgenden:

  • Microsoft Defender for Endpoint mit Plan 2
  • Microsoft Defender for Business mit einer Premium- oder eigenständigen Lizenz

  Weitere Informationen finden Sie unter Vergleichen von Microsoft-Endpunktsicherheitsplänen.

• Windows 10 Version 1709 (BS-Build 16299.1085 mit KB4493441), Windows 10 Version 1803 (Betriebssystembuild 17134.7)04 mit KB4493464), Windows 10 Version 1809 (Betriebssystembuild 17763.379 mit KB4489899) oder höher Windows 10 und Windows 11 Versionen

• Aktivieren Sie Microsoft Defender Antivirus:

  • Echtzeitschutz aktiviert
  • Von der Cloud bereitgestellter Schutz aktiviert
  • Netzwerkschutz aktiviert und für den Blockierungsmodus konfiguriert

Hinweis

Microsoft Defender Antivirus wird für die Ermittlung dringend empfohlen, aber nicht obligatorisch. Einige Ermittlungsdaten sind weiterhin verfügbar, wenn Defender Antivirus deaktiviert ist.

Funktionsweise

Defender für Cloud Apps sammelt Protokolle von Ihren Endpunkten, indem Sie entweder Protokolle hochladen oder den automatischen Protokollupload konfigurieren. Die native Integration ermöglicht es Ihnen, die Protokolle zu nutzen, die der Agent von Defender für Endpunkt erstellt, wenn er unter Windows ausgeführt wird und Netzwerktransaktionen überwacht. Verwenden Sie diese Informationen für die Schatten-IT-Ermittlung auf den Windows-Geräten in Ihrem Netzwerk.

Sehen Sie sich unsere Videos an, die die Vorteile der Verwendung von Defender für Endpunkt mit Defender für Cloud-Apps zeigen.

Integrieren von Microsoft Defender for Endpoint in Defender for Cloud Apps

So aktivieren Sie die Integration von Defender für Endpunkt mit Defender for Cloud Apps:

1. Wählen Sie in Microsoft 365 Defender im Navigationsbereich Einstellungen aus.

2. Wählen Sie Endpunkte.

3. Wählen Sie unter Allgemeindie Option Erweiterte Features aus.

4. Schalten Sie die Microsoft Defender for Cloud Apps auf Ein um.

5. Wählen Sie Übernehmen.

   Hinweis

   Es dauert bis zu zwei Stunden, nachdem Sie die Integration aktiviert haben, bis die Daten in Defender für Cloud-Apps angezeigt werden.

   

So konfigurieren Sie den Schweregrad für Warnungen, die an Microsoft Defender for Endpoint gesendet werden:

1. Wählen Sie im Microsoft 365 Defender-Portal Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Cloud Discoverydie Option Microsoft Defender for Endpoint aus.

2. Wählen Sie unter Warnungen den globalen Schweregrad für Warnungen aus.

3. Wählen Sie Speichern aus.

   

Nächste Schritte

Untersuchen von Apps, die durch Microsoft Defender für Endpoint ermittelt wurden

Steuern von Apps, die durch Microsoft Defender für Endpoint ermittelt wurden

Verwandte Videos

Ermitteln und Blockieren der Schatten-IT mithilfe von Defender für Endpunkt

Schatten-IT-Ermittlung jenseits des Unternehmensnetzwerks

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.