Udostępnij za pośrednictwem


Badanie aplikacji odkrytych przez Ochronę punktu końcowego w usłudze Microsoft Defender

Integracja aplikacji Microsoft Defender dla Chmury z usługą Ochrona punktu końcowego w usłudze Microsoft Defender zapewnia bezproblemowe rozwiązanie do wglądu i kontroli IT w tle. Nasza integracja umożliwia administratorom usługi Defender dla Chmury Apps badanie odnalezionych urządzeń, zdarzeń sieciowych i użycia aplikacji.

Wymagania wstępne

Przed wykonaniem procedur opisanych w tym artykule upewnij się, że zintegrowano Ochrona punktu końcowego w usłudze Microsoft Defender z aplikacjami Microsoft Defender dla Chmury.

Badanie odnalezionych urządzeń w usłudze Defender dla Chmury Apps

Po zintegrowaniu usługi Defender for Endpoint z aplikacjami Defender dla Chmury zbadaj odnalezione dane urządzenia na pulpicie nawigacyjnym odnajdywania w chmurze.

  1. W portalu usługi Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Pulpit nawigacyjny rozwiązania Cloud Discovery>.

  2. W górnej części strony wybierz pozycję Punkty końcowe zarządzane przez usługę Defender. Ten strumień zawiera dane z dowolnych systemów operacyjnych wymienionych w wymaganiach wstępnych Defender dla Chmury Apps.

W górnej części zobaczysz liczbę odnalezionych urządzeń dodanych po integracji.

  1. Wybierz kartę Urządzenia.

  2. Przejdź do szczegółów każdego urządzenia, które znajduje się na liście, i użyj kart, aby wyświetlić dane badania. Znajdź korelacje między urządzeniami, użytkownikami, adresami IP i aplikacjami, które brały udział w zdarzeniach:

    • Omówienie:

      • Poziom ryzyka urządzenia: pokazuje, jak ryzykowny jest profil urządzenia względem innych urządzeń w organizacji, zgodnie z ważnością (wysoki, średni, niski, informacyjny). Defender dla Chmury Apps używa profilów urządzeń z usługi Defender for Endpoint dla każdego urządzenia w oparciu o zaawansowaną analizę. Działanie, które jest nietypowe dla punktu odniesienia urządzenia, jest oceniane i określa poziom ryzyka urządzenia. Użyj poziomu ryzyka urządzenia, aby określić, które urządzenia należy zbadać jako pierwsze.
      • Transakcje: informacje o liczbie transakcji, które miały miejsce na urządzeniu w wybranym przedziale czasu.
      • Całkowity ruch: informacje o łącznej ilości ruchu (w MB) w wybranym przedziale czasu.
      • Przekazywanie: informacje o całkowitej ilości ruchu (w MB) przekazanego przez urządzenie w wybranym przedziale czasu.
      • Pobrane: informacje o całkowitej ilości ruchu (w MB) pobranego przez urządzenie w wybranym przedziale czasu.
    • Odnalezione aplikacje: wyświetla listę wszystkich odnalezionych aplikacji, do których uzyskiwano dostęp przez urządzenie.

    • Historia użytkownika: wyświetla listę wszystkich użytkowników, którzy zalogowali się na urządzeniu.

    • Historia adresów IP: wyświetla listę wszystkich adresów IP przypisanych do urządzenia.

Podobnie jak w przypadku dowolnego innego źródła odnajdywania w chmurze, możesz wyeksportować dane z raportu punktów końcowych zarządzanych przez usługę Defender w celu dalszego zbadania.

Uwaga

  • Usługa Defender for Endpoint przekazuje dane do aplikacji Defender dla Chmury we fragmentach ok. 4 MB (ok. 4000 transakcji punktu końcowego)
  • Jeśli limit 4 MB nie zostanie osiągnięty w ciągu 1 godziny, usługa Defender for Endpoint zgłasza wszystkie transakcje wykonywane w ciągu ostatniej godziny.

Odnajdywanie aplikacji za pośrednictwem usługi Defender dla punktu końcowego, gdy punkt końcowy znajduje się za serwerem proxy sieci

Defender dla Chmury Aplikacje mogą odnajdywać zdarzenia sieci it w tle wykryte na urządzeniach usługi Defender for Endpoint działających w tym samym środowisku co serwer proxy sieci. Jeśli na przykład urządzenie punktu końcowego systemu Windows 10 znajduje się w tym samym środowisku co usługa ZScalar, aplikacje Defender dla Chmury mogą odnajdywać aplikacje IT w tle za pośrednictwem strumienia Użytkownicy punktu końcowego Win10.

Badanie zdarzeń sieciowych urządzeń w usłudze Microsoft Defender XDR

Uwaga

Zdarzenia sieciowe powinny służyć do badania odnalezionych aplikacji i nie służy do debugowania brakujących danych.

Wykonaj następujące kroki, aby uzyskać bardziej szczegółowy wgląd w aktywność sieci urządzenia w Ochrona punktu końcowego w usłudze Microsoft Defender:

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Cloud Discovery. Następnie wybierz kartę Urządzenia .
  2. Wybierz maszynę, którą chcesz zbadać, a następnie w lewym górnym rogu wybierz pozycję Widok w Ochrona punktu końcowego w usłudze Microsoft Defender.
  3. W usłudze Microsoft Defender XDR w obszarze Zasoby> urządzenia> {wybrane urządzenie}, wybierz pozycję Oś czasu.
  4. W obszarze Filtry wybierz pozycję Zdarzenia sieciowe.
  5. Zbadaj zdarzenia sieciowe urządzenia zgodnie z potrzebami.

Zrzut ekranu przedstawiający oś czasu urządzenia w usłudze Microsoft Defender XDR.

Badanie użycia aplikacji w usłudze Microsoft Defender XDR przy użyciu zaawansowanego wyszukiwania zagrożeń

Wykonaj następujące kroki, aby uzyskać bardziej szczegółowy wgląd w zdarzenia sieciowe związane z aplikacją w usłudze Defender dla punktu końcowego:

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Cloud Discovery. Następnie wybierz kartę Odnalezione aplikacje .

  2. Wybierz aplikację, którą chcesz zbadać, aby otworzyć szufladę.

  3. Wybierz listę Domena aplikacji, a następnie skopiuj listę domen.

  4. W usłudze Microsoft Defender XDR w obszarze Wyszukiwanie zagrożeń wybierz pozycję Zaawansowane wyszukiwanie zagrożeń.

  5. Wklej następujące zapytanie i zastąp ciąg <DOMAIN_LIST> listą skopiowanych wcześniej domen.

    DeviceNetworkEvents
    | where RemoteUrl has_any ("<DOMAIN_LIST>")
    | order by Timestamp desc
    
  6. Uruchom zapytanie i zbadaj zdarzenia sieciowe dla tej aplikacji.

    Zrzut ekranu przedstawiający zaawansowane wyszukiwanie zagrożeń w usłudze Microsoft Defender XDR.

Badanie niezaakceptowanych aplikacji w usłudze Microsoft Defender XDR

Każda próba uzyskania dostępu do niezaakceptowanej aplikacji wyzwala alert w usłudze Microsoft Defender XDR ze szczegółowymi informacjami na temat całej sesji. Dzięki temu można dokładniej zbadać próby uzyskania dostępu do niezaakceptowanych aplikacji, a także zapewnić dodatkowe istotne informacje do użycia w badaniu urządzenia punktu końcowego.

Czasami dostęp do niezaakceptowanej aplikacji nie jest blokowany, ponieważ urządzenie punktu końcowego nie jest poprawnie skonfigurowane lub jeśli zasady wymuszania nie zostały jeszcze propagowane do punktu końcowego. W tym przypadku administratorzy usługi Defender for Endpoint otrzymają alert w usłudze Microsoft Defender XDR, że niezaakceptowana aplikacja nie została zablokowana.

Zrzut ekranu przedstawiający alert aplikacji niezaakceptowany w usłudze Defender for Endpoint.

Uwaga

  • Po oznaczeniu aplikacji jako niezaakceptowanej propagacja domen aplikacji na urządzeniach punktu końcowego trwa do dwóch godzin.
  • Domyślnie aplikacje i domeny oznaczone jako Niezaakceptowane w aplikacjach Defender dla Chmury będą blokowane dla wszystkich urządzeń punktów końcowych w organizacji.
  • Obecnie pełne adresy URL nie są obsługiwane w przypadku niezatwierdzonych aplikacji. W związku z tym w przypadku niezatwierdzonych aplikacji skonfigurowanych z pełnymi adresami URL nie są propagowane do usługi Defender for Endpoint i nie będą blokowane. Na przykład google.com/drive nie jest obsługiwana, chociaż drive.google.com jest obsługiwana.
  • Powiadomienia w przeglądarce mogą się różnić w różnych przeglądarkach.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.