Integration von Microsoft Defender for Endpoints mit Microsoft Defender for Cloud Apps

Microsoft Defender for Endpoint ist eine Sicherheitsplattform für intelligenten Schutz, Erkennung, Untersuchung und Reaktion. Defender for Endpoint schützt Endpunkte vor Cyberbedrohungen, erkennt komplexe Angriffe und Datenschutzverletzungen, automatisiert Sicherheitsincidents und verbessert den Sicherheitsstatus.

In diesem Artikel wird die sofort einsatzbereite Integration zwischen Microsoft Defender for Cloud Apps und Microsoft Defender for Endpoint beschrieben, die die Cloud-Ermittlung vereinfacht und die gerätebasierte Untersuchung ermöglicht.

Wichtig

Diese Artikel konzentriert sich auf Ermittlungsfunktionen für Schatten-IT aus Defender for Endpoint-Protokollen. Weitere Informationen zu Schatten-IT-Steuerungsfunktionen über Defender for Endpoint finden Sie unter Ermittelte Apps mit Microsoft Defender for Endpoint verwalten.

Voraussetzungen

• Microsoft Defender for Cloud Apps-Lizenz

• Einer der folgenden:

  • Microsoft Defender for Endpunkt mit Plan 2
  • Microsoft Defender for Business mit einer Premium- oder eigenständigen Lizenz

  Weitere Informationen finden Sie unter Vergleichen von Sicherheitsplänen für Microsoft-Endpunkte.

• Apps, die eines der folgenden Betriebssysteme verwenden:

  • Windows 10 Version 1709 (Betriebssystembuild 16299.1085 mit KB4493441)
  • Windows 10 Version 1803 (Betriebssystembuild 17134.704 mit KB4493464)
  • Windows 10, Version 1809 (Betriebssystembuild 17763.379 mit KB4489899), oder neuere Versionen von Windows 10 und Windows 11
  • macOS, auf Geräten mit Defender for Endpoint, Version 20.123072.25.0 oder höher

• Um Integrationen für macOS-Apps zu unterstützen, müssen Sie die Netzwerkschutzfunktionen in Microsoft Defender for Endpoint aktivieren. Da der Netzwerkschutz nur TCP-Verbindungsschließereignisse überwacht, werden UDP-Protokolle nicht für die macOS-Unterstützung abgedeckt. Weitere Informationen finden Sie unter Aktivieren des Netzwerkschutzes.

• (Empfohlen) Aktivieren Sie Microsoft Defender Antivirus:

  • Echtzeitschutz aktiviert
  • Aus der Cloud gelieferter Schutz aktiviert
  • Netzwerkschutz aktiviert und für den Blockierungsmodus konfiguriert

Hinweis

Obwohl Microsoft Defender Antivirus für die Ermittlung dringend empfohlen wird, ist dies nicht obligatorisch. Manche Ermittlungsdaten sind auch dann verfügbar, wenn Defender Antivirus deaktiviert ist.

Funktionsweise

Defender for Cloud Apps sammelt eigenständig Protokolle von Ihren Endpunkten mithilfe von Protokollen, die Sie hochladen oder durch die Konfiguration des automatischen Protokolluploads. Die direkt nutzbare Integration ermöglicht es Ihnen, die Vorteile der Protokolle zu nutzen, die der Agent von Defender for Endpoint erstellt, wenn er unter Windows ausgeführt wird und Netzwerktransaktionen überwacht. Verwenden Sie diese Informationen für die Ermittlung von Schatten-IT auf Windows-Geräten in Ihrem Netzwerk.

Für die Integration sind keine zusätzlichen Bereitstellungsschritte oder Routing- oder Spiegelungsdatenverkehr von Ihren Endpunkten erforderlich, und sie funktioniert wie folgt:

• Protokolle von Ihren Endpunkten, die an Defender for Cloud Apps gesendet werden, liefern Benutzer- und Geräteinformationen zu Datenverkehrsaktivitäten. Das Koppeln von Gerätekontext mit dem Benutzernamen liefert ein vollständiges Bild Ihres Netzwerks und ermöglicht es Ihnen festzustellen, welcher Benutzer welche Aktivität von welchem Gerät aus ausgeführt hat.
• Wenn Sie einen Risikobenutzer identifiziert haben, können Sie außerdem alle Geräte überprüfen, auf die dieser zugegriffen hat, um potenzielle Risiken zu erkennen. Wenn Sie ein risikobehaftetes Gerät identifizieren, überprüfen Sie alle Benutzer*innen, die ihn genutzt haben, um weitere potenzielle Risiken zu erkennen.
• Sobald die Datenverkehrsinformationen gesammelt wurden, können Sie die Nutzung von Cloud-Anwendungen in Ihrer Organisation genauer untersuchen. Defender for Cloud Apps nutzt die Funktionen von Defender for Endpoint Network Protection, um den Zugriff von Endpunktgeräten auf Cloud-Apps zu blockieren. Weitere Informationen zur Steuerung der ermittelten Apps finden Sie unter Ermittelte Apps mit Microsoft Defender for Endpoint verwalten.

Kunden mit Integration in macOS-Geräten beobachten möglicherweise einen Anstieg der CPU-Auslastung.

Tipp

Schauen Sie sich unsere Videos an, die die Vorteile der Verwendung von Defender for Endpunkt mit Defender for Cloud Apps zeigen.

Integrieren von Microsoft Defender for Endpoint in Defender for Cloud Apps

So integrieren Sie Microsoft Defender for Endpoint mit Microsoft Defender for Cloud Apps:

1. Wählen Sie im Microsoft Defender-Portal im Navigationsfenster Einstellungen>Endpunkte>Allgemein>Erweiterte Funktionen.
2. Setzen Sie Microsoft Defender for Cloud Apps auf Ein.
3. Wählen Sie Übernehmen.

Hinweis

Es dauert bis zu zwei Stunden, nachdem Sie die Integration aktiviert haben, bis die Daten in Defender for Cloud Apps angezeigt werden.

So konfigurieren Sie den Schweregrad für Warnungen, die an Microsoft Defender for Endpoint gesendet werden:

1. Wählen Sie im Microsoft Defender-Portal Einstellungen>Cloud-Apps>Cloud Discovery>Microsoft Defender for Endpoint.

2. Wählen Sie unter Warnungen den globalen Schweregrad für Warnungen aus.

3. Wählen Sie Speichern.

   

Nächste Schritte

Untersuchen von Apps, die durch Microsoft Defender for Endpoint ermittelt wurden

Verwalten von Apps, die durch Microsoft Defender for Endpoint ermittelt wurden

Verwandte Videos

Entdecken und Blockieren von Schatten-IT mithilfe von Defender for Endpoint

Shadow IT Discovery jenseits des Unternehmensnetzwerks

Sollten Sie Probleme haben, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.