Apps onderzoeken die zijn ontdekt door Microsoft Defender for Endpoint

  • Artikel

De integratie van Microsoft Defender voor Cloud Apps met Microsoft Defender voor Eindpunt biedt een naadloze oplossing voor zichtbaarheid en beheer van Shadow IT. Dankzij onze integratie kunnen Defender voor Cloud Apps-beheerders gedetecteerde apparaten, netwerkevenementen en app-gebruik onderzoeken.

Gedetecteerde apparaten onderzoeken in Defender voor Cloud Apps

Nadat u Defender for Endpoint hebt geïntegreerd met Defender voor Cloud Apps, kunt u de gedetecteerde apparaatgegevens onderzoeken in het Cloud Discovery-dashboard.

  1. Selecteer Cloud Discovery in de Microsoft Defender-portal onder Cloud Apps. Selecteer vervolgens het tabblad Dashboard .

  2. Selecteer in de rechterbovenhoek Win10-eindpuntgebruikers. Deze stroom bevat gegevens van alle besturingssystemen die worden vermeld in Defender voor Cloud Apps-vereisten. Voorbeeld:

    Defender for Endpoint report.

    Bovenaan ziet u het aantal gedetecteerde apparaten dat is toegevoegd na de integratie.

  3. Selecteer het tabblad Apparaten.

  4. Zoom in op elk apparaat dat wordt weergegeven en gebruik de tabbladen om de onderzoeksgegevens weer te geven. Correlaties zoeken tussen de apparaten, de gebruikers, IP-adressen en apps die betrokken waren bij incidenten:

    • Overzicht
      • Niveau van apparaatrisico: Laat zien hoe riskant het profiel van het apparaat is ten opzichte van andere apparaten in uw organisatie, zoals aangegeven met de ernst (hoog, gemiddeld, laag, informatielijk). Defender voor Cloud Apps maakt gebruik van apparaatprofielen van Defender voor Eindpunt voor elk apparaat op basis van geavanceerde analyses. Activiteit die afwijkend is voor de basislijn van een apparaat wordt geëvalueerd en bepaalt het risiconiveau van het apparaat. Gebruik het risiconiveau van het apparaat om te bepalen welke apparaten eerst moeten worden onderzocht.
      • Transacties: Informatie over het aantal transacties dat plaatsvond op het apparaat gedurende de geselecteerde periode.
      • Totaal verkeer: informatie over de totale hoeveelheid verkeer (in MB) gedurende de geselecteerde periode.
      • Uploads: informatie over de totale hoeveelheid verkeer (in MB) die door het apparaat is geüpload gedurende de geselecteerde periode.
      • Downloads: Informatie over de totale hoeveelheid verkeer (in MB) die gedurende de geselecteerde periode door het apparaat is gedownload.
    • Gedetecteerde apps
      Geeft een lijst weer van alle gedetecteerde apps die door het apparaat zijn geopend.
    • Gebruikersgeschiedenis
      Geeft een lijst weer van alle gebruikers die zich hebben aangemeld bij het apparaat.
    • IP-adresgeschiedenis
      Een lijst met alle IP-adressen die aan het apparaat zijn toegewezen. Devices overview.

Net als bij elke andere Cloud Discovery-bron kunt u de gegevens exporteren uit het Rapport win10-eindpuntgebruikers voor verder onderzoek.

Notitie

  • Defender voor Eindpunt stuurt gegevens door naar Defender voor Cloud Apps in segmenten van ~4 MB (~4000 eindpunttransacties)
  • Als de limiet van 4 MB niet binnen 1 uur is bereikt, rapporteert Defender voor Eindpunt alle transacties die het afgelopen uur zijn uitgevoerd.

Apps detecteren via Defender voor Eindpunt wanneer het eindpunt zich achter een netwerkproxy bevindt

Defender voor Cloud Apps kunnen schaduw-IT-netwerk gebeurtenissen detecteren die zijn gedetecteerd door Defender voor Eindpunt-apparaten die in dezelfde omgeving werken als een netwerkproxy. Als uw Windows 10-eindpuntapparaat zich bijvoorbeeld in dezelfde omgeving bevindt als ZScalar, kunnen Defender voor Cloud-apps Schaduw-IT-toepassingen detecteren via de Stream Win10 Endpoint Users.

Gebeurtenissen van apparaatnetwerk onderzoeken in Microsoft Defender XDR

Notitie

Netwerk gebeurtenissen moeten worden gebruikt om gedetecteerde apps te onderzoeken en niet te worden gebruikt voor het opsporen van fouten in ontbrekende gegevens.

Gebruik de volgende stappen om gedetailleerdere zichtbaarheid te krijgen van de netwerkactiviteit van het apparaat in Microsoft Defender voor Eindpunt:

  1. Selecteer Cloud Discovery in de Microsoft Defender-portal onder Cloud Apps. Selecteer vervolgens het tabblad Apparaten .
  2. Selecteer de computer die u wilt onderzoeken en selecteer vervolgens in de linkerbovenhoek weergave in Microsoft Defender voor Eindpunt.
  3. Selecteer tijdlijn in Microsoft Defender XDR onder Assets ->Devices> {selected device}.
  4. Selecteer onder Filters de optie Netwerk gebeurtenissen.
  5. Onderzoek de netwerkevenementen van het apparaat naar behoefte.

Screenshot showing device timeline in Microsoft Defender XDR.

App-gebruik onderzoeken in Microsoft Defender XDR met geavanceerde opsporing

Gebruik de volgende stappen om gedetailleerder inzicht te krijgen in app-gerelateerde netwerkgebeurtenissen in Defender voor Eindpunt:

  1. Selecteer Cloud Discovery in de Microsoft Defender-portal onder Cloud Apps. Selecteer vervolgens het tabblad Gedetecteerde apps .

  2. Selecteer de app die u wilt onderzoeken om de lade te openen.

  3. Selecteer de lijst met domeinen van de app en kopieer de lijst met domeinen.

  4. Selecteer geavanceerde opsporing in Microsoft Defender XDR onder Opsporing.

  5. Plak de volgende query en vervang deze door <DOMAIN_LIST> de lijst met domeinen die u eerder hebt gekopieerd.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Voer de query uit en onderzoek netwerk gebeurtenissen voor deze app.

    Screenshot showing Microsoft Defender XDR Advanced hunting.

Niet-gelezen apps onderzoeken in Microsoft Defender XDR

Elke poging om toegang te krijgen tot een niet-opgegeven app activeert een waarschuwing in Microsoft Defender XDR met uitgebreide informatie over de hele sessie. Hiermee kunt u dieper onderzoeken naar pogingen om toegang te krijgen tot niet-opgegeven apps, en aanvullende relevante informatie bieden voor gebruik in eindpuntapparaatonderzoek.

Soms wordt de toegang tot een niet-opgegeven app niet geblokkeerd, ofwel omdat het eindpuntapparaat niet correct is geconfigureerd of als het afdwingingsbeleid nog niet is doorgegeven aan het eindpunt. In dit geval ontvangen Defender voor Eindpunt-beheerders een waarschuwing in Microsoft Defender XDR dat de niet-opgegeven app niet is geblokkeerd.

Screenshot showing Defender for Endpoint unsanctioned app alert.

Notitie

  • Het duurt maximaal twee uur nadat u een app tagt als Niet-opgegeven voor app-domeinen om door te geven aan eindpuntapparaten.
  • Standaard worden apps en domeinen die zijn gemarkeerd als Niet-geaccepteerd in Defender voor Cloud Apps, geblokkeerd voor alle eindpuntapparaten in de organisatie.
  • Momenteel worden volledige URL's niet ondersteund voor niet-opgegeven apps. Daarom worden ze niet doorgegeven aan Defender for Endpoint wanneer apps die zijn geconfigureerd met volledige URL's, niet worden doorgegeven en worden ze niet geblokkeerd. Wordt bijvoorbeeld google.com/drive niet ondersteund, terwijl drive.google.com dit wordt ondersteund.
  • Meldingen in de browser kunnen verschillen tussen verschillende browsers.

Volgende stappen

Apps beheren die zijn gedetecteerd door Microsoft Defender voor Eindpunt

Cloud-apps beheren met beleidsregels

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.