Integrieren von Microsoft Defender for Endpoint in Microsoft Defender for Cloud Apps

Artikel
04/26/2023

Hinweis

Microsoft Defender for Cloud Apps ist jetzt Teil von Microsoft 365 Defender und kann über das Portal unter zugegriffen werden: https://security.microsoft.com. Microsoft 365 Defender korreliert Signale der Microsoft Defender Suite über Endpunkte, Identitäten, E-Mails und SaaS-Apps hinweg, um Erkennungs-, Untersuchungs- und leistungsstarke Reaktionsfunktionen auf Incidentebene bereitzustellen. Es verbessert Ihre betriebliche Effizienz durch eine bessere Priorisierung und kürzere Antwortzeiten, die Ihre organization effektiver schützen. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Wichtig

Dieses Dokument konzentriert sich auf Schatten-IT-Ermittlungsfunktionen aus Defender für Endpunktprotokollen. Weitere Informationen zu Schatten-IT-Steuerungsfunktionen über Defender für Endpunkt finden Sie unter Steuern von ermittelten Apps mithilfe von Microsoft Defender for Endpoint.

Microsoft Defender for Cloud Apps kann nativ in Microsoft Defender for Endpoint integriert werden. Die Integration vereinfacht das Rollout von Cloud Discovery und ermöglicht die gerätebasierte Untersuchung. Microsoft Defender for Endpoint ist eine Sicherheitsplattform für intelligenten Schutz, Erkennung, Untersuchung und Reaktion. Defender for Endpoint schützt Endpunkte vor Cyberbedrohungen, erkennt komplexe Angriffe und Datenschutzverletzungen, automatisiert Sicherheitsincidents und verbessert den Sicherheitsstatus.

Defender für Cloud-Apps verwendet die von Defender für Endpunkt gesammelten Datenverkehrsinformationen zu den Cloud-Apps und Diensten, auf die von der IT verwalteten Geräten zugegriffen wird, die in den unten aufgeführten Voraussetzungen angegeben sind.

Die Integration erfordert keine zusätzliche Bereitstellung und kann direkt über die Einstellungen in Defender für Endpunkt und Microsoft 365 Defender aktiviert werden. Sie müssen den Datenverkehr nicht von Ihren Endpunkten aus umleiten oder spiegeln und auch keine komplexen Integrationsschritte ausführen. Protokolle von Ihren Endpunkten, die an Defender for Cloud Apps gesendet werden, enthalten Benutzer- und Geräteinformationen für Datenverkehrsaktivitäten. Das Koppeln des Gerätekontexts mit dem Benutzernamen bietet ein vollständiges Bild im gesamten Netzwerk, sodass Sie bestimmen können, welcher Benutzer welche Aktivität von welchem Gerät aus ausgeführt hat.

Wenn Sie einen riskanten Benutzer identifizieren, können Sie außerdem alle Geräte überprüfen, auf die der Benutzer zugegriffen hat, um potenzielle Risiken zu erkennen. Wenn Sie ein riskantes Gerät identifizieren, überprüfen Sie alle Benutzer, die es verwendet haben, um weitere potenzielle Risiken zu erkennen.

Nachdem Die Datenverkehrsinformationen erfasst wurden, können Sie sich eingehend mit der Verwendung von Cloud-Apps in Ihrem organization befassen. Defender für Cloud-Apps nutzt die Defender für Endpoint Network Protection-Funktionen, um den Zugriff von Endpunktgeräten auf Cloud-Apps zu blockieren. Weitere Informationen zum Steuern der ermittelten Apps finden Sie unter Steuern ermittelter Apps mithilfe von Microsoft Defender for Endpoint.

Voraussetzungen

Microsoft Defender for Cloud Apps Lizenz
Microsoft Defender for Endpoint mit Plan 2-Lizenz oder Microsoft Defender for Business-Lizenz
Windows 10 Version 1709 (BS-Build 16299.1085 mit KB4493441), Windows 10 Version 1803 (Betriebssystembuild 17134.7)04 mit KB4493464), Windows 10 Version 1809 (Betriebssystembuild 17763.379 mit KB4489899) oder höher Windows 10 und Windows 11 Versionen
Aktivieren Sie Microsoft Defender Antivirus:

Hinweis

Microsoft Defender Antivirus wird für die Ermittlung dringend empfohlen, aber nicht obligatorisch. Einige Ermittlungsdaten sind weiterhin verfügbar, wenn Defender Antivirus deaktiviert ist.

Funktionsweise

Defender für Cloud Apps sammelt protokolle von Ihren Endpunkten selbst, indem Sie entweder Protokolle verwenden, die Sie hochladen , oder indem Sie den automatischen Protokollupload konfigurieren. Die native Integration ermöglicht es Ihnen, die Protokolle zu nutzen, die der Agent von Defender für Endpunkt erstellt, wenn er unter Windows ausgeführt wird und Netzwerktransaktionen überwacht. Verwenden Sie diese Informationen für die Schatten-IT-Ermittlung auf den Windows-Geräten in Ihrem Netzwerk.

Sehen Sie sich unsere Videos an, die die Vorteile der Verwendung von Defender für Endpunkt mit Defender für Cloud-Apps zeigen.

Integrieren von Microsoft Defender for Endpoint in Defender for Cloud Apps

So aktivieren Sie die Integration von Defender für Endpunkt mit Defender for Cloud Apps:

Wählen Sie in Microsoft 365 Defender im Navigationsbereich Einstellungen aus.
Wählen Sie Endpunkte.
Wählen Sie unter Allgemeindie Option Erweiterte Features aus.
Schalten Sie die Microsoft Defender for Cloud Apps auf Ein um.
Wählen Sie Übernehmen.

Hinweis

Es dauert bis zu zwei Stunden, nachdem Sie die Integration aktiviert haben, bis die Daten in Defender für Cloud-Apps angezeigt werden.

So konfigurieren Sie den Schweregrad für Warnungen, die an Microsoft Defender for Endpoint gesendet werden:

Wählen Sie im Microsoft 365 Defender-Portal Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Cloud Discoverydie Option Microsoft Defender for Endpoint aus.
Wählen Sie unter Warnungen den globalen Schweregrad für Warnungen aus.
Wählen Sie Speichern aus.