Examiner les applications découvertes par Microsoft Defender pour point de terminaison

  • Article

L’intégration de Microsoft Defender for Endpoint à Microsoft Defender pour point de terminaison fournit une solution de contrôle et de visibilité de l’informatique « fantôme ». Notre intégration permet aux administrateurs de Defender for Cloud Apps d’examiner les appareils découverts, les événements réseau et l’utilisation des applications.

Examiner les appareils découverts dans Defender for Cloud Apps

Après avoir intégré Defender pour point de terminaison de service à Defender for Cloud Apps, vous pouvez examiner les données des appareils découverts dans le tableau de bord Cloud Discovery.

  1. Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Cloud Discovery. Sélectionnez ensuite l'onglet Tableau de bord.

  2. Dans le coin supérieur droit, sélectionnez Utilisateurs de point de terminaison Win10. Ce flux contient des données de tous les systèmes d’exploitation mentionnés dans les prérequis Defender for Cloud Apps. Par exemple :

    Defender for Endpoint report.

    En haut, vous voyez le nombre d’appareils détectés ajoutés après l’intégration.

  3. Sélectionnez l’onglet Appareils.

  4. Explorez chaque appareil répertorié et utilisez les onglets pour afficher les données de la recherche. Recherchez des corrélations entre les appareils, les utilisateurs, les adresses IP et les applications qui ont été impliqués dans des incidents :

    • Vue d’ensemble
      • Niveau de risque de l’appareil : montre le niveau de risque du profil de l’appareil par rapport à d’autres appareils de votre organisation, comme indiqué par la gravité (élevée, moyenne, faible, informationnelle). Defender for Cloud Apps utilise des profils d’appareil à partir de Defender for Endpoint pour chaque appareil en fonction des analyses avancées. L’activité anormale à la base de référence d’un appareil est évaluée et détermine le niveau de risque de l’appareil. Utilisez le niveau de risque de l’appareil pour déterminer les appareils à examiner en premier.
      • Transactions : Informations sur le nombre de transactions qui ont eu lieu sur l’appareil pendant la période sélectionnée.
      • Trafic total : Informations sur la quantité de trafic totale (en Mo) pour la période sélectionnée.
      • Chargements : Informations sur la quantité de trafic totale (en Mo) chargée par l’appareil pendant la période sélectionnée.
      • Téléchargements : Informations sur la quantité de trafic totale (en Mo) téléchargée par l’appareil pendant la période sélectionnée.
    • Applications découvertes
      Répertorie toutes les applications découvertes qui ont fait l’objet d’un accès par l’appareil.
    • Historique de l’utilisateur
      Répertorie tous les utilisateurs qui se sont connectés à l’appareil.
    • Historique de l’adresse IP
      Répertorie toutes les adresses IP qui ont été attribuées à l’appareil. Devices overview.

Comme avec n’importe quelle autre source Cloud Discovery, vous pouvez exporter les données du rapport sur les utilisateurs de point de terminaison Win10 pour un examen plus approfondi.

Remarque

  • Defender for Endpoint transfère les données à Defender for Cloud Apps en blocs de ~4 Mo (~4 000 transactions de point de terminaison)
  • Si la limite de 4 Mo n’est pas atteinte dans un délai de 1 heure, Defender for Endpoint signale toutes les transactions effectuées au cours de la dernière heure.

Découvrir des applications via Defender for Endpoint lorsque le point de terminaison se trouve derrière un proxy réseau

Defender pour le cloud Apps peut découvrir les événements de réseau informatique shadow détectés à partir d’appareils Defender pour point de terminaison qui fonctionnent dans le même environnement qu’un proxy réseau. Par exemple, si votre appareil de point de terminaison Windows 10 se trouve dans le même environnement que ZScalar, Defender for Cloud Apps peut découvrir les applications informatique fantôme via le flux Utilisateurs du point de terminaison Win10.

Examiner les événements réseau d’appareils dans Microsoft Defender XDR

Remarque

Les événements réseau doivent être utilisés pour examiner les applications découvertes et non pour déboguer les données manquantes.

Utilisez les étapes suivantes pour obtenir une visibilité plus granulaire sur l’activité réseau de l’appareil dans Microsoft Defender pour for Endpoint :

  1. Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Cloud Discovery. Ensuite, sélectionnez l’onglet Appareils.
  2. Sélectionnez la machine à examiner, puis, dans la partie supérieure gauche, sélectionnez Affichage dans Microsoft Defender for Endpoint.
  3. Dans Microsoft Defender XDR, sous Ressources ->Appareils> {appareil sélectionné}, sélectionnez Chronologie.
  4. Sous Filtres, sélectionnez Événements réseau.
  5. Examinez les événements réseau de l’appareil en fonction des besoins.

Screenshot showing device timeline in Microsoft Defender XDR.

Examiner l’utilisation de l’application dans Microsoft Defender XDR avec le repérage avancé

Utilisez les étapes suivantes pour obtenir une visibilité plus granulaire sur les événements réseau dans Defender for Endpoint :

  1. Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Cloud Discovery. Sélectionnez ensuite l’onglet Applications découvertes.

  2. Sélectionnez l’application que vous voulez examiner pour ouvrir son tiroir.

  3. Sélectionnez la liste de domaines de l’application, puis copiez la liste des domaines.

  4. Dans Microsoft Defender XDR, sous Chasse, sélectionnez Chasse avancée.

  5. Collez la requête suivante et remplacez <DOMAIN_LIST> par la liste des domaines que vous avez copiés précédemment.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Exécutez la requête et examinez les événements réseau pour cette application.

    Screenshot showing Microsoft Defender XDR Advanced hunting.

Examiner les applications non approuvées dans Microsoft Defender XDR

Chaque tentative d’accès à une application non approuvée déclenche une alerte dans Microsoft Defender XDR avec des informations détaillées sur l’ensemble de la session. Cela vous permet d’effectuer des enquêtes plus approfondies sur les tentatives d’accès aux applications non approuvées, ainsi que de fournir des informations pertinentes supplémentaires à utiliser dans l’investigation de l’appareil de point de terminaison.

Parfois, l’accès à une application non approuvée n’est pas bloqué, soit parce que l’appareil de point de terminaison n’est pas configuré correctement, soit parce que la stratégie de mise en œuvre des principes de protection des informations personnelles n’a pas encore été propagée au point de terminaison. Dans cet exemple, les administrateurs Defender for Endpoint recevront une alerte dans Microsoft Defender XDR indiquant que l’application non approuvée n’a pas été bloquée.

Screenshot showing Defender for Endpoint unsanctioned app alert.

Remarque

  • Il faut jusqu’à deux heures après que vous avez étiqueté une application comme non approuvée pour que les domaines d’application se propagent aux appareils de point de terminaison.
  • Par défaut, les applications et les domaines marqués comme non approuvés dans Defender for Cloud Apps sont bloqués pour tous les appareils de point de terminaison de l’organisation.
  • Actuellement, les URL complètes ne sont pas prises en charge pour les applications non approuvées. Par conséquent, lorsque des applications non approuvées configurées avec des URL complètes, elles ne sont pas propagées à Defender for Endpoint et ne sont pas bloquées. Par exemple, google.com/drive n’est pas pris en charge, mais drive.google.com l’est.
  • Les notifications dans le navigateur peuvent varier entre différents navigateurs.

Étapes suivantes

Gouverner les applications découvertes par Microsoft Defender for Endpoint

Contrôler les applications cloud avec des stratégies

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.