Интеграция Microsoft Defender для конечной точки с Microsoft Defender for Cloud Apps

Microsoft Defender для конечной точки — это платформа безопасности для интеллектуальной защиты, обнаружения, исследования и реагирования. Defender для конечной точки защищает конечные точки от киберугроз, обнаруживает расширенные атаки и нарушения безопасности, автоматизирует инциденты безопасности и улучшает состояние безопасности.

В этой статье описывается интегрированная интеграция между Microsoft Defender for Cloud Apps и Microsoft Defender для конечной точки, которая упрощает обнаружение в облаке и позволяет проводить исследования на основе устройств.

Важно!

В этой статье рассматриваются возможности обнаружения теневых ИТ из журналов Defender для конечной точки. Дополнительные сведения о возможностях управления теневыми ИТ-ресурсами с помощью Defender для конечной точки см. в статье Управление обнаруженными приложениями с помощью Microsoft Defender для конечной точки.

Предварительные условия

• Лицензия Microsoft Defender for Cloud Apps

• Устройства должны быть подключены к Microsoft Defender для конечной точки

• Один из следующих продуктов:

  • Microsoft Defender для конечной точки с планом 2
  • Microsoft Defender для бизнеса (автономная или в составе Microsoft 365 бизнес премиум)

  Дополнительные сведения см. в статье Сравнение планов безопасности конечных точек Майкрософт.

• Приложения, использующие одну из следующих операционных систем:

  • Windows 10 версии 1709 (сборка ОС 16299.1085 с KB4493441)
  • Windows 10 версии 1803 (сборка ОС 17134.704 с KB4493464)
  • Windows 10 версии 1809 (сборка ОС 17763.379 с KB4489899) или более поздние версии Windows 10 и Windows 11
  • macOS на устройствах с Defender для конечной точки версии 20.123072.25.0 или более поздней

• Для поддержки интеграции приложений macOS необходимо включить возможности защиты сети в Microsoft Defender для конечной точки. Так как защита сети проверяет только события закрытия TCP-подключения, протоколы UDP не охватываются для поддержки macOS. Дополнительные сведения см. в статье Включение защиты сети.

• (Рекомендуется) Включите антивирусную программу Microsoft Defender:

  • Включена защита в режиме реального времени
  • Облачная защита включена
  • Защита сети включена и настроена в режиме блокировки

Примечание.

Хотя для обнаружения настоятельно рекомендуется использовать антивирусную программу Microsoft Defender, она не является обязательной. Некоторые данные обнаружения по-прежнему доступны при отключении антивирусная программа Defender.

Принципы действия

Самостоятельно Defender for Cloud Apps собирает журналы из конечных точек с помощью отправляемых журналов или путем настройки автоматической отправки журналов. Готовая интеграция позволяет воспользоваться преимуществами журналов, которые создает агент Defender для конечной точки при запуске в Windows и мониторинге сетевых транзакций. Используйте эти сведения для обнаружения теневых ИТ-ресурсов на устройствах Windows в сети.

Интеграция не требует дополнительных шагов развертывания, маршрутизации или зеркального отображения трафика от конечных точек и работает следующим образом:

• Журналы конечных точек, отправляемые в Defender for Cloud Apps предоставляют сведения о пользователях и устройствах для действий трафика. Связывание контекста устройства с именем пользователя обеспечивает полную картину в сети, что позволяет определить, какой пользователь выполнял действия с какого устройства.
• При определении опасного пользователя проверка устройства, к которым он обращается, чтобы обнаружить потенциальные риски. При обнаружении устройства, сопряженного с риском, проверка всех пользователей, которые использовали его для обнаружения дополнительных потенциальных рисков.
• После сбора сведений о трафике вы можете подробно изучить использование облачных приложений в вашей организации. Defender for Cloud Apps использует возможности Защиты сети Defender для конечной точки, чтобы заблокировать доступ устройств конечной точки к облачным приложениям. Дополнительные сведения об управлении обнаруженными приложениями см. в разделе Управление обнаруженными приложениями с помощью Microsoft Defender для конечной точки.

Клиенты, интегрирующиеся с устройствами macOS, могут наблюдать всплеск потребления ЦП.

Совет

Просмотрите наши видео о преимуществах использования Defender для конечной точки с Defender for Cloud Apps.

Интеграция Microsoft Defender для конечной точки с Defender for Cloud Apps

Чтобы включить интеграцию Defender для конечной точки с Defender for Cloud Apps:

1. На портале Microsoft Defender в области навигации выберите Параметры Конечные>>точкиОбщие>дополнительные функции.
2. Переключите Microsoft Defender for Cloud Apps в значение Вкл.
3. Выберите Сохранить параметры.

Примечание.

После включения интеграции данные отображаются в Defender for Cloud Apps, займет до двух часов.

Чтобы настроить уровень серьезности для оповещений, отправляемых в Microsoft Defender для конечной точки, выполните следующие действия.

1. На портале Microsoft Defender выберите Параметры Облачные>приложения>Cloud Discovery>Microsoft Defender для конечной точки.

2. В разделе Оповещения выберите глобальный уровень серьезности для оповещений.

3. Выберите Сохранить.

   

Дальнейшие действия

Изучение приложений, обнаруженных Microsoft Defender для конечной точки

Управление приложениями, обнаруженными Microsoft Defender для конечной точки

Связанные видео

Обнаружение и блокировка теневых ИТ с помощью Defender для конечной точки

Обнаружение теневых ИТ-ресурсов за пределами корпоративной сети

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.