Condividi tramite

Integrare Microsoft Defender per endpoint con app Microsoft Defender per il cloud

  • Articolo

Microsoft Defender per endpoint è una piattaforma di sicurezza per la protezione intelligente, il rilevamento, l'indagine e la risposta. Defender per endpoint offre protezione degli endpoint contro minacce informatiche, identifica attacchi e violazioni avanzate, consente di automatizzare la gestione di eventi di sicurezza e ottimizza il comportamento di sicurezza.

Questo articolo descrive l'integrazione predefinita disponibile tra le app di Microsoft Defender per il cloud e le Microsoft Defender per endpoint, semplificando l'individuazione del cloud e abilitando l'analisi basata su dispositivo.

Importante

Questo articolo è incentrato sulle funzionalità di individuazione IT shadow dai log di Defender per endpoint. Per altre informazioni sulle funzionalità di governance IT shadow tramite Defender per endpoint, vedere Gestire le app individuate usando Microsoft Defender per endpoint.

Prerequisiti

  • licenza di app Microsoft Defender per il cloud

  • Uno dei seguenti:

    • Microsoft Defender per endpoint con piano 2
    • Microsoft Defender for Business con una licenza premium o autonoma

    Per altre informazioni, vedere Confrontare i piani di sicurezza degli endpoint Microsoft.

  • App che usano uno dei sistemi operativi seguenti:

    • Windows 10 versione 1709 (Build del sistema operativo 16299.1085 con KB4493441)
    • Windows 10 versione 1803 (Build del sistema operativo 17134.704 con KB4493464)
    • Windows 10 versione 1809 (Build del sistema operativo 17763.379 con KB4489899) o versioni successive di Windows 10 e Windows 11
    • macOS, nei dispositivi con Defender per endpoint versione 20.123072.25.0 o successiva

  • Per supportare le integrazioni per le app macOS, è necessario attivare le funzionalità di protezione di rete in Microsoft Defender per endpoint. Poiché la protezione di rete controlla solo gli eventi di chiusura della connessione TCP, i protocolli UDP non sono coperti per il supporto macOS. Per altre informazioni, vedere Attivare la protezione di rete

  • (Scelta consigliata) Abilitare Antivirus Microsoft Defender:

Nota

Anche se Antivirus Microsoft Defender è altamente consigliato per l'individuazione, non è obbligatorio. Alcuni dati di individuazione sono ancora disponibili quando Antivirus Defender è disabilitato.

Funzionamento

In modo autonomo, Defender per il cloud App raccoglie i log dagli endpoint usando i log caricati o configurando il caricamento automatico dei log. L'integrazione predefinita consente di sfruttare i vantaggi dell'agente di Defender per endpoint quando viene eseguito in Windows e monitora le transazioni di rete. Usare queste informazioni per l'individuazione shadow IT nei dispositivi Windows nella rete.

L'integrazione non richiede passaggi di distribuzione aggiuntivi o il routing o il traffico di mirroring dagli endpoint e funziona come segue:

  • I log dagli endpoint inviati a Defender per il cloud App forniscono informazioni sull'utente e sul dispositivo per le attività di traffico. L'associazione del contesto di dispositivo con il nome utente fornisce un quadro completo nella rete, consentendo di determinare l'utente che ha eseguito l'attività da quale dispositivo.
  • Quando si identifica un utente rischioso, controllare i dispositivi a cui l'utente ha eseguito l'accesso per rilevare potenziali rischi. Se si identifica un dispositivo rischioso, controllare tutti gli utenti che l'hanno usato per rilevare altri potenziali rischi.
  • Dopo aver raccolto le informazioni sul traffico, è possibile approfondire l'uso delle app cloud nell'organizzazione. Defender per il cloud App sfrutta le funzionalità di Defender per Endpoint Network Protection per bloccare l'accesso dei dispositivi endpoint alle app cloud. Per altre informazioni sulla governance delle app individuate, vedere Gestire le app individuate usando Microsoft Defender per endpoint.

I clienti che si integrano con dispositivi macOS possono osservare un picco di consumo della CPU.

Suggerimento

Guardare i video che illustrano i vantaggi dell'uso di Defender per endpoint con app Defender per il cloud.

Integrare Microsoft Defender per endpoint con app Defender per il cloud

Per abilitare l'integrazione di Defender per endpoint con Defender per il cloud Apps:

  1. Nel riquadro di spostamento del portale di Microsoft Defender selezionare Impostazioni>Endpoint>generali>Funzionalità avanzate.
  2. Attivare l'opzione App di Microsoft Defender per il cloud.
  3. Seleziona Applica.

Nota

Sono necessarie fino a due ore dopo aver abilitato l'integrazione per la visualizzazione dei dati in Defender per il cloud App.

Screenshot delle impostazioni di Defender per endpoint.

Per configurare la gravità per gli avvisi inviati a Microsoft Defender per endpoint:

  1. Nel portale di Microsoft Defender selezionare Impostazioni>Cloud Apps>Cloud Discovery> Microsoft Defender per endpoint.

  2. In Avvisi selezionare il livello di gravità globale per gli avvisi.

  3. Seleziona Salva.

    Screenshot delle impostazioni di avviso di Defender per endpoint.

Passaggi successivi

Analizzare le app individuate da Microsoft Defender per endpoint

Gestire le app individuate da Microsoft Defender per endpoint

Individuare e bloccare Shadow IT con Defender per endpoint

Individuazione shadow IT oltre la rete aziendale

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.