Intégrer Microsoft Defender for Cloud Apps à Microsoft Defender for Endpoint.
Microsoft Defender for Endpoint est une plateforme de sécurité pour une protection, une détection, un examen et une réponse intelligents. Defender for Endpoint protège les points de terminaison contre les cybermenaces, détecte les attaques avancées et les violations de données, automatise les incidents de sécurité et améliore la posture de sécurité.
Cet article décrit l'intégration prête à l'emploi disponible entre Microsoft Defender pour Cloud Apps et Microsoft Defender pour point terminaison, qui simplifie la découverte du cloud et permet une investigation basée sur les appareils.
Important
Cet article se concentre sur les fonctionnalités de découverte informatique fantôme des journaux Defender for Endpoint. Pour plus d’informations sur les fonctionnalités de gouvernance de l’informatique fantôme via Defender for Endpoint, consultez Gouverner les applications découvertes à l’aide de Microsoft Defender for Endpoint.
Prérequis
Licence Microsoft Defender for Cloud Apps
Celui-ci peut avoir l'une des valeurs suivantes :
- Microsoft Defender for Endpoint avec Plan 2
- Microsoft Defender for Business avec une licence Premium ou autonome
Pour plus d’informations, consultez Comparer les plans de sécurité des points de terminaison Microsoft.
Applications utilisant l'un des systèmes d'exploitation suivants :
- Windows 10 version 1709 (build de système d'exploitation 16299.1085 avec KB4493441).
- Windows 10 version 1803 (build de système d'exploitation 17134.704 avec KB4493464).
- Windows 10 version 1809 (build de système d'exploitation 17763.379 avec KB4489899), ou versions ultérieures de Windows 10 et Windows 11.
- macOS, sur les appareils dotés de Defender pour point de terminaison version 20.123072.25.0 ou supérieure.
Pour prendre en charge les intégrations pour les applications macOS, vous devez activer les fonctionnalités de protection du réseau dans Microsoft Defender pour point de terminaison. Étant donné que la protection du réseau vérifie uniquement les événements de fermeture de connexion TCP, les protocoles UDP ne sont pas couverts par la prise en charge de macOS. Pour plus d'informations, voir Activer la protection du réseau
(Recommandé) Activez l'antivirus Microsoft Defender :
Remarque
Bien que Microsoft Defender Antivirus soit fortement recommandé pour la découverte, il n'est pas obligatoire. Certaines données de découverte restent disponibles lorsque Defender Antivirus est désactivé.
Fonctionnement
Seul, Defender for Cloud Apps collecte des journaux de vos points de terminaison en utilisant des journaux que vous chargez ou en configurant le chargement automatique de journaux. L’intégration prête à l'emploi vous permet d’exploiter au mieux les journaux que Defender pour agent de point de terminaison crée lorsqu’il s’exécute sur Windows et supervise les transactions réseau. Utilisez ces informations pour la découverte de l’informatique fantôme sur les appareils Windows de votre réseau.
L'intégration ne nécessite pas d'étapes de déploiement supplémentaires, ni de routage ou de mise en miroir du trafic de vos points de terminaison, et fonctionne comme suit :
- Les journaux de vos points de terminaison envoyés à Defender for Cloud Apps fournissent des informations sur l’utilisateur et l’appareil pour les activités de trafic. L’association du contexte d’appareil au nom d’utilisateur permet de disposer d’une image complète de votre réseau qui vous aide à déterminer quel utilisateur a effectué quelle activité et à partir de quel appareil.
- Lorsque vous identifiez un utilisateur à risque, vérifiez les appareils auxquels l'utilisateur a accédé pour détecter les risques potentiels. Si vous identifiez un appareil à risque, vérifiez tous les utilisateurs qui l’ont utilisée pour détecter d’autres risques potentiels.
- Une fois que les informations de trafic sont collectées, vous êtes prêt à approfondir l’utilisation de l’application cloud dans votre organisation. Defender for Cloud Apps tire parti des fonctionnalités de protection réseau de Defender for Endpoint pour bloquer l’accès des appareils de point de terminaison aux applications cloud. Pour plus d’informations sur la gouvernance des applications découvertes, consultez Gouverner les applications découvertes à l’aide de Microsoft Defender for Endpoint.
Les clients qui intègrent des appareils macOS peuvent observer un pic de consommation du processeur.
Conseil
Regardez nos vidéos montrant les avantages de l’utilisation de Defender for Endpoint avec Defender for Cloud Apps.
Intégrer Microsoft Defender for Cloud Apps à Microsoft Defender for Endpoint
Pour autoriser l’intégration de Defender for Endpoint à Defender for Cloud Apps :
- Dans le portail Microsoft Defender, dans le volet de navigation, sélectionnez Paramètres> Points> de terminaison Généralités >Fonctionnalités avancées.
- Basculer Microsoft Defender for Cloud Apps sur On.
- Sélectionnez Appliquer.
Remarque
Il faut jusqu’à deux heures après l’activation de l’intégration pour que les données s’affichent dans Defender for Cloud Apps.
Pour configurer la gravité des alertes envoyées à Microsoft Defender for Endpoint :
Dans le portail Microsoft Defender, sélectionnez Paramètres>Applications Cloud>Découverte Cloud>Microsoft Defender pour point de terminaison.
Sous Alertes, sélectionnez le niveau de gravité global des alertes.
Cliquez sur Enregistrer.
Étapes suivantes
Vidéos connexes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.