Untersuchen von Apps, die durch Microsoft Defender für Endpoint ermittelt wurden

  • Artikel

Hinweis

Microsoft Defender for Cloud Apps ist jetzt Teil von Microsoft 365 Defender, das Signale aus der gesamten Microsoft Defender Suite korreliert und Funktionen zur Erkennung, Untersuchung und leistungsstarken Reaktionsmöglichkeiten auf Incidentebene bietet. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Die Microsoft Defender for Cloud Apps-Integration mit Microsoft Defender for Endpoint bietet eine nahtlose Schatten-IT-Lösung für Sichtbarkeit und Kontrolle. Unsere Integration ermöglicht es Defender für Cloud Apps-Administratoren, ermittelte Geräte, Netzwerkereignisse und die App-Nutzung zu untersuchen.

Untersuchen von ermittelten Geräten in Defender für Cloud-Apps

Nachdem Sie Defender für Endpunkt in Defender für Cloud-Apps integriert haben, können Sie ermittelte Gerätedaten im Cloud Discovery-Dashboard untersuchen.

  1. Wählen Sie im Microsoft 365 Defender-Portal unter Cloud-Appsdie Option Cloud Discovery aus. Wählen Sie dann die Registerkarte Dashboard aus.

  2. Wählen Sie in der oberen rechten Ecke Win10-Endpunktbenutzer aus. Defender für Endpunkt-Bericht.

  3. Oben sehen Sie die Anzahl der ermittelten Geräte, die nach der Integration hinzugefügt wurden.

  4. Klicken Sie auf die Registerkarte Geräte.

  5. Sie können einen Drilldown zu jedem aufgeführten Gerät durchführen und die Registerkarten verwenden, um die Untersuchungsdaten anzuzeigen. Finden Sie Korrelationen zwischen den Geräten, den Benutzern, IP-Adressen und Apps, die an Vorfällen beteiligt waren:

    • Übersicht
      • Geräterisikostufe: Zeigt an, wie riskant das Geräteprofil im Verhältnis zu anderen Geräten in Ihrem organization ist, wie durch den Schweregrad (hoch, mittel, niedrig, informell) angegeben. Defender für Cloud-Apps verwendet Geräteprofile von Defender für Endpunkt für jedes Gerät basierend auf erweiterten Analysen. Aktivität, die für die Baseline eines Geräts anomale ist, wird ausgewertet und bestimmt die Risikostufe des Geräts. Verwenden Sie die Geräterisikostufe, um zu bestimmen, welche Geräte zuerst untersucht werden sollen.
      • Transaktionen: Informationen zur Anzahl der Transaktionen, die im ausgewählten Zeitraum auf dem Gerät stattgefunden haben.
      • Gesamtdatenverkehr: Informationen zur Gesamtmenge des Datenverkehrs (in MB) im ausgewählten Zeitraum.
      • Uploads: Informationen zum Gesamtdatenverkehr (in MB), der vom Gerät im ausgewählten Zeitraum hochgeladen wurde.
      • Downloads: Informationen zum Gesamtdatenverkehr (in MB), der vom Gerät im ausgewählten Zeitraum heruntergeladen wurde.
    • Ermittelte Apps
      Listet alle ermittelten Apps auf, auf die vom Gerät zugegriffen wurde.
    • Benutzerverlauf
      Listet alle Benutzer auf, die sich beim Gerät angemeldet haben.
    • IP-Adressverlauf
      Listet alle IP-Adressen auf, die dem Gerät zugewiesen wurden. Übersicht über Geräte.

Wie bei jeder anderen Cloud Discovery-Quelle können Sie die Daten aus dem Bericht der Win10-Endpunktbenutzer zur weiteren Untersuchung exportieren.

Hinweis

  • Defender für Endpunkt leitet Daten in Blöcken von ca. 4 MB (~4000 Endpunkttransaktionen) an Defender für Cloud-Apps weiter.
  • Wenn der Grenzwert von 4 MB nicht innerhalb einer Stunde erreicht wird, meldet Defender für Endpunkt alle Transaktionen, die in der letzten Stunde ausgeführt wurden.
  • Wenn sich das Endpunktgerät hinter einem Weiterleitungsproxy befindet, sind Datenverkehrsdaten für Defender für Endpunkt nicht sichtbar und daher nicht in Cloud Discovery-Berichte enthalten. Es wird empfohlen, die Protokolle des Weiterleitungsproxys mithilfe des automatisierten Protokolluploads an Defender für Cloud-Apps weiterzuleiten, um vollständige Sichtbarkeit zu erhalten. Eine alternative Möglichkeit zum Anzeigen dieses Datenverkehrs und zum Untersuchen von URLs, auf die von Geräten zugegriffen wird, finden Sie unter Überwachen der Netzwerkverbindung hinter forward proxy.

Untersuchen von Gerätenetzwerkereignissen in Microsoft 365 Defender

Hinweis

Netzwerkereignisse sollten verwendet werden, um ermittelte Apps zu untersuchen, und nicht zum Debuggen fehlender Daten.

Führen Sie die folgenden Schritte aus, um einen präziseren Einblick in die Netzwerkaktivität des Geräts in Microsoft Defender for Endpoint zu erhalten:

  1. Wählen Sie im Microsoft 365 Defender-Portal unter Cloud-Appsdie Option Cloud Discovery aus. Wählen Sie dann die Registerkarte Geräte aus.
  2. Wählen Sie den Computer aus, den Sie untersuchen möchten, und wählen Sie dann oben links Ansicht in Microsoft Defender for Endpoint aus.
  3. Wählen Sie in Microsoft 365 Defender unter Assets ->Devices> {selected device} die Option Timeline aus.
  4. Wählen Sie unter Filterdie Option Netzwerkereignisse aus.
  5. Untersuchen Sie die Netzwerkereignisse des Geräts nach Bedarf.

Screenshot: Zeitleiste des Geräts in Microsoft 365 Defender

Untersuchen der App-Nutzung in Microsoft 365 Defender mit erweiterter Suche

Führen Sie die folgenden Schritte aus, um einen präziseren Einblick in App-bezogene Netzwerkereignisse in Defender für Endpunkt zu erhalten:

  1. Wählen Sie im Microsoft 365 Defender-Portal unter Cloud-Appsdie Option Cloud Discovery aus. Wählen Sie dann die Registerkarte Ermittelte Apps aus.

  2. Wählen Sie die App aus, die Sie untersuchen möchten, um die Schublade zu öffnen.

  3. Wählen Sie die Liste Domäne der App aus, und kopieren Sie dann die Liste der Domänen.

  4. Wählen Sie in Microsoft 365 Defender unter Jagd die Option Erweiterte Suche aus.

  5. Fügen Sie die folgende Abfrage ein, und ersetzen Sie durch <DOMAIN_LIST> die Liste der Domänen, die Sie zuvor kopiert haben.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Führen Sie die Abfrage aus, und untersuchen Sie Netzwerkereignisse für diese App.

    Screenshot: Microsoft 365 Defender erweiterte Suche

Untersuchen nicht genehmigter Apps in Microsoft 365 Defender

Jeder Versuch, auf eine nicht sanktionierte App zuzugreifen, löst eine Warnung in Microsoft 365 Defender mit ausführlichen Details zur gesamten Sitzung aus. Auf diese Weise können Sie eingehendere Untersuchungen zu Versuchen durchführen, auf nicht sanktionierte Apps zuzugreifen, und zusätzliche relevante Informationen für die Verwendung bei der Untersuchung von Endpunktgeräten bereitstellen.

Manchmal wird der Zugriff auf eine nicht sanktionierte App nicht blockiert, entweder weil das Endpunktgerät nicht ordnungsgemäß konfiguriert ist oder wenn die Erzwingungsrichtlinie noch nicht an den Endpunkt weitergegeben wurde. In diesem instance erhalten Defender für Endpunktadministratoren eine Warnung in Microsoft 365 Defender, dass die nicht sanktionierte App nicht blockiert wurde.

Screenshot: Warnung einer nicht sanktionierten App für Defender für Endpunkt

Hinweis

  • Es dauert bis zu zwei Stunden, nachdem Sie eine App als Nicht sanktioniert gekennzeichnet haben, damit App-Domänen an Endpunktgeräte weitergegeben werden.
  • Standardmäßig werden Apps und Domänen, die in Defender für Cloud-Apps als nicht sanktioniert markiert sind, für alle Endpunktgeräte im organization blockiert.
  • Derzeit werden vollständige URLs für nicht sanktionierte Apps nicht unterstützt. Daher werden Apps, die mit vollständigen URLs konfiguriert sind, nicht an Defender für Endpunkt weitergegeben und nicht blockiert. Beispielsweise google.com/drive wird nicht unterstützt, während drive.google.com unterstützt wird.
  • Browserinterne Benachrichtigungen können zwischen verschiedenen Browsern variieren.

Nächste Schritte

Steuern von Apps, die durch Microsoft Defender für Endpoint ermittelt wurden

Steuern von Cloud-Apps mit Richtlinien

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.