Integre Microsoft Defender para punto de conexión con Microsoft Defender for Cloud Apps

Microsoft Defender para punto de conexión es una plataforma de seguridad para la protección, detección, investigación y respuesta inteligentes. Defender para punto de conexión protege los puntos de conexión de las amenazas cibernéticas, detecta vulneraciones de datos y ataques avanzados, automatiza los incidentes de seguridad y mejora la posición de seguridad.

En este artículo se describe la integración lista para usar entre Microsoft Defender for Cloud Apps y Microsoft Defender for Endpoint, lo que simplifica la detección en la nube y habilita la investigación basada en dispositivos.

Importante

Este artículo se centra en las funcionalidades de Shadow IT Discovery de los registros de Defender for Endpoint. Para obtener más información sobre las funcionalidades de gobernanza de shadow IT a través de Defender para punto de conexión, consulte Gobernanza de las aplicaciones detectadas mediante Microsoft Defender para punto de conexión.

Requisitos previos

• Licencia de Microsoft Defender for Cloud Apps

• Uno de los siguientes:

  • Microsoft Defender para punto de conexión con Plan 2
  • Microsoft Defender para Empresas con una licencia premium o independiente

  Para obtener más información, consulte Comparación de los planes de seguridad de los puntos de conexión de Microsoft.

• Apps que utilizan uno de los siguientes sistemas operativos:

  • Windows 10 versión 1709 (compilación del sistema operativo 16299.1085 con KB4493441)
  • Windows 10 versión 1803 (compilación del sistema operativo 17134.704 con KB4493464)
  • Windows 10 versión 1809 (compilación del sistema operativo 17763.379 con KB4489899) o versiones posteriores de Windows 10 y Windows 11
  • macOS, en dispositivos con Defender for Endpoint versión 20.123072.25.0 o posterior

• Para admitir integraciones para aplicaciones macOS, debe activar las funcionalidades de protección de red en Microsoft Defender for Endpoint. Dado que la protección de red solo audita los eventos de cierre de conexión TCP, los protocolos UDP no están cubiertos para la compatibilidad con macOS. Para más información, consulte Activación de la protección de red

• (Recomendado) Habilite el Antivirus de Microsoft Defender:

  • Protección en tiempo real habilitada
  • Protección en la nube habilitada
  • Protección de red habilitada y configurada en modo bloqueo

Nota:

Aunque Antivirus de Microsoft Defender es muy recomendable para la detección, no es obligatorio. Algunos datos de detección siguen estando disponibles cuando el Antivirus de Defender está deshabilitado.

Funcionamiento

Por su cuenta, Defender for Cloud Apps recopila registros de los puntos de conexión usando registros cargados o configurando la carga automática de registros. La integración inmediata le permite aprovechar las ventajas de los registros que crea el agente de ATP de Defender for Endpoint cuando se ejecuta en Windows y supervisa las transacciones de red. Use esta información para la detección de Shadow IT en los dispositivos Windows de la red.

La integración no requiere pasos adicionales de implementación ni cálculo de ruta ni creación de reflejo del tráfico desde los puntos de conexión y funciona de la siguiente manera:

• Los registros de los puntos de conexión enviados a Defender for Cloud Apps proporcionan información de usuario y dispositivo para las actividades de tráfico. Asociar el contexto del dispositivo con el nombre de usuario proporciona una imagen completa de toda su red, lo que le permite determinar qué usuario realizó qué actividad desde qué dispositivo.
• Además, cuando identifique a un usuario de riesgo, podrá comprobar los dispositivos a los que accedió el usuario para detectar posibles riesgos. Si identifica un dispositivo en riesgo, compruebe todos los usuarios que lo han utilizado para detectar posibles riesgos.
• Una vez recopilada la información de tráfico, está listo para profundizar en el uso de aplicaciones en la nube en su organización. Defender for Cloud Apps aprovecha las funcionalidades de Defender para la protección de redes de punto de conexión para bloquear el acceso del dispositivo de punto de conexión a las aplicaciones en la nube. Para obtener más información sobre la gobernanza de las aplicaciones detectadas, consulte Gobernanza de las aplicaciones detectadas mediante Microsoft Defender para punto de conexión.

Los clientes que integran con dispositivos macOS pueden observar un pico en el consumo de CPU.

Sugerencia

Vea nuestros vídeos en los que se muestran las ventajas de usar Defender para punto de conexión con Defender for Cloud Apps.

Integración de Microsoft Defender for Endpoint con Defender for Cloud Apps

Para activar la integración de Defender para punto de conexión con Defender for Cloud Apps:

1. En el portal Microsoft Defender, en el panel de navegación, seleccione Configuración>Puntos de conexión>General>Características avanzadas.
2. Seleccione la opción Activado para Microsoft Defender for Cloud Apps.
3. Seleccione Aplicar.

Nota:

Los datos tardan en aparecer en Defender for Cloud Apps hasta dos horas después de habilitar la integración.

Para configurar la gravedad de las alertas enviadas a Microsoft Defender para punto de conexión:

1. En el Portal Microsoft Defender, seleccione Configuración>Cloud Apps>Cloud Discovery>Microsoft Defender for Endpoint.

2. En Alertas, seleccione el nivel de gravedad global de las alertas.

3. Seleccione Guardar.

   

Pasos siguientes

Investigación de aplicaciones detectadas por Microsoft Defender para punto de conexión

Gobernanza de aplicaciones detectadas por Microsoft Defender para punto de conexión

Vídeos relacionados

Detección y bloqueo de Shadow IT mediante Defender para punto de conexión

Detección de Shadow IT más allá de la red corporativa

Si tiene algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.