Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Zarządzanie odnalezionych aplikacji przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender

Integracja Microsoft Defender for Cloud Apps z usługą Ochrona punktu końcowego w usłudze Microsoft Defender zapewnia bezproblemowe rozwiązanie do kontroli i widoczności it w tle. Nasza integracja umożliwia administratorom Defender for Cloud Apps blokowanie dostępu użytkowników końcowych do aplikacji w chmurze poprzez natywną integrację kontrolek ładu aplikacji Defender for Cloud Apps z Ochrona punktu końcowego w usłudze Microsoft Defender ochrony sieci. Alternatywnie administratorzy mogą przyjąć łagodniejsze podejście do ostrzegania użytkowników, gdy uzyskują dostęp do ryzykownych aplikacji w chmurze.

Defender for Cloud Apps używa wbudowanego tagu aplikacji Unsanctioned do oznaczania aplikacji w chmurze jako zabronionych do użycia, dostępnych zarówno na stronach Cloud Discovery, jak i Cloud App Catalog. Dzięki włączeniu integracji z usługą Defender for Endpoint możesz bezproblemowo zablokować dostęp do niesankcjonowanych aplikacji za pomocą jednego kliknięcia w portalu Defender for Cloud Apps.

Aplikacje oznaczone jako niezatwierdzone w Defender for Cloud Apps są automatycznie synchronizowane z usługą Defender for Endpoint. W szczególności domeny używane przez te niesankcjonowane aplikacje są propagowane do urządzeń punktu końcowego, które mają być blokowane przez program antywirusowy Microsoft Defender w ramach umowy SLA ochrony sieci.

Uwaga

Opóźnienie czasowe blokowania aplikacji za pośrednictwem usługi Defender for Endpoint trwa do trzech godzin od momentu oznaczenia aplikacji jako niezatwierdzone w Defender for Cloud Apps do momentu zablokowania aplikacji na urządzeniu. Jest to spowodowane do jednej godziny synchronizacji Defender for Cloud Apps zaakceptowanych/niesankcjonowanych aplikacji do usługi Defender for Endpoint i do dwóch godzin wypychania zasad na urządzenia w celu zablokowania aplikacji po utworzeniu wskaźnika w usłudze Defender for Endpoint.

Wymagania wstępne

Włączanie blokowania aplikacji w chmurze za pomocą usługi Defender for Endpoint

Wykonaj następujące kroki, aby włączyć kontrolę dostępu dla aplikacji w chmurze:

  1. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Cloud Discovery wybierz pozycję Ochrona punktu końcowego w usłudze Microsoft Defender, a następnie wybierz pozycję Wymuś dostęp do aplikacji.

    Zrzut ekranu przedstawiający sposób włączania blokowania za pomocą usługi Defender for Endpoint.

    Uwaga

    Zastosowanie tego ustawienia może potrwać do 30 minut.

  2. W Microsoft Defender XDR przejdź do pozycji Ustawienia>Punkty końcowe>Funkcje zaawansowane, a następnie wybierz pozycję Niestandardowe wskaźniki sieciowe. Aby uzyskać informacje o wskaźnikach sieciowych, zobacz Tworzenie wskaźników dla adresów IP i adresów URL/domen.

    Dzięki temu można korzystać z funkcji ochrony sieci programu antywirusowego Microsoft Defender, aby zablokować dostęp do wstępnie zdefiniowanego zestawu adresów URL przy użyciu Defender for Cloud Apps, ręcznie przypisując tagi aplikacji do określonych aplikacji lub automatycznie korzystając z zasad odnajdywania aplikacji.

    Zrzut ekranu przedstawiający sposób włączania niestandardowych wskaźników sieciowych w usłudze Defender for Endpoint.

Edukowanie użytkowników podczas uzyskiwania dostępu do zablokowanych aplikacji & dostosowywania strony bloku

Administratorzy mogą teraz konfigurować i osadzać adres URL pomocy/pomocy dla stron blokowych. Dzięki tej konfiguracji administratorzy mogą edukować użytkowników, kiedy uzyskują dostęp do zablokowanych aplikacji. Użytkownicy są monitowane za pomocą niestandardowego linku przekierowania do strony firmowej z listą aplikacji zablokowanych do użycia i niezbędnymi krokami do wykonania w celu zabezpieczenia wyjątku na stronach zablokowanych. Użytkownicy końcowi będą przekierowywani do tego adresu URL skonfigurowanego przez administratora po kliknięciu pozycji "Odwiedź stronę pomocy technicznej" na stronie bloku.

Defender for Cloud Apps używa wbudowanego tagu aplikacji Unsanctioned do oznaczania aplikacji w chmurze jako zablokowanych do użycia. Tag jest dostępny zarówno na stronach cloud discovery , jak i cloud app catalog . Dzięki włączeniu integracji z usługą Defender for Endpoint możesz bezproblemowo edukować użytkowników na temat aplikacji zablokowanych do użycia i kroków zabezpieczania wyjątku za pomocą jednego kliknięcia w portalu Defender for Cloud Apps.

Aplikacje oznaczone jako Niezatwierdzone są automatycznie synchronizowane z niestandardowymi wskaźnikami adresu URL usługi Defender dla punktu końcowego, zwykle w ciągu kilku minut. W szczególności domeny używane przez zablokowane aplikacje są propagowane do urządzeń punktu końcowego w celu dostarczenia komunikatu przez program antywirusowy Microsoft Defender w ramach umowy SLA ochrony sieci.

Konfigurowanie niestandardowego adresu URL przekierowania dla strony bloku

Wykonaj poniższe kroki, aby skonfigurować niestandardowy adres URL pomocy/pomocy technicznej wskazujący firmową stronę internetową lub link do punktu sharepoint, w którym można edukować pracowników, dlaczego zablokowano im dostęp do aplikacji, i podać listę kroków w celu zabezpieczenia wyjątku lub udostępnienia firmowych zasad dostępu w celu przestrzegania akceptacji ryzyka organizacji.

  1. W portalu Microsoft Defender wybierz pozycję Ustawienia>Cloud Apps>Cloud Discovery>Ochrona punktu końcowego w usłudze Microsoft Defender.
  2. Na liście rozwijanej Alerty wybierz pozycję Informacje.
  3. W obszarze Ostrzeżenia> użytkownikaAdres URL powiadomień dla zablokowanych aplikacji wprowadź swój adres URL. Przykład:

Zrzut ekranu przedstawiający konfigurację dodawania niestandardowego adresu URL dla zablokowanych aplikacji.

Blokowanie aplikacji dla określonych grup urządzeń

Aby zablokować użycie dla określonych grup urządzeń, wykonaj następujące czynności:

  1. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. Następnie w obszarze Odnajdywanie w chmurze wybierz pozycję Tagi aplikacji i przejdź do karty Profile o zakresie .

  2. Wybierz pozycję Dodaj profil. Profil ustawia jednostki o zakresie blokowania/odblokowywania aplikacji.

  3. Podaj opisową nazwę profilu i opis.

  4. Określ, czy profil powinien być profilem dołączania , czy wykluczania .

    • Uwzględnij: wymuszanie dostępu będzie miało wpływ tylko na dołączony zestaw jednostek. Na przykład profil myContoso zawiera element Include dla grup urządzeń A i B. Blokowanie aplikacji Y z profilem myContoso spowoduje zablokowanie dostępu do aplikacji tylko dla grup A i B.

    • Wykluczanie: wymuszanie dostępu nie będzie miało wpływu na wykluczony zestaw jednostek. Na przykład profil myContoso ma opcję Wyklucz dla grup urządzeń A i B. Blokowanie aplikacji Y przy użyciu profilu myContoso zablokuje dostęp do aplikacji dla całej organizacji z wyjątkiem grup A i B.

  5. Wybierz odpowiednie grupy urządzeń dla profilu. Wymienione grupy urządzeń są pobierane z Ochrona punktu końcowego w usłudze Microsoft Defender. Aby uzyskać więcej informacji, zobacz Tworzenie grupy urządzeń.

  6. Wybierz Zapisz.

    Profile o zakresie.

Aby zablokować aplikację, wykonaj następujące czynności:

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Cloud Discovery i przejdź do karty Odnalezione aplikacje.

  2. Wybierz aplikację, która powinna zostać zablokowana.

  3. Otaguj aplikację jako niezatwierdzone.

    Odssankowanie aplikacji.

  4. Aby zablokować wszystkie urządzenia w organizacji, w oknie dialogowym Tagowanie jako niezatwierdzone? wybierz pozycję Zapisz. Aby zablokować określone grupy urządzeń w organizacji, wybierz pozycję Wybierz profil do uwzględnienia lub wykluczenia grup z blokady. Następnie wybierz profil, dla którego aplikacja zostanie zablokowana, a następnie wybierz pozycję Zapisz.

    Wybierz profil, za pomocą który ma zostać anulowany przez aplikację.

    Okno dialogowe Tag as unsanctioned? jest wyświetlane tylko wtedy, gdy dzierżawa blokuje aplikację w chmurze z włączoną usługą Defender for Endpoint i jeśli masz dostęp administratora do wprowadzania zmian.

Uwaga

  • Możliwość wymuszania jest oparta na niestandardowych wskaźnikach adresu URL usługi Defender for Endpoint.
  • Wszelkie organizacyjne określanie zakresu, które zostało ustawione ręcznie dla wskaźników utworzonych przez Defender for Cloud Apps przed wydaniem tej funkcji, zostanie zastąpione przez Defender for Cloud Apps. Wymagane określanie zakresu należy ustawić na podstawie środowiska Defender for Cloud Apps przy użyciu środowiska profilów o określonym zakresie.
  • Aby usunąć wybrany profil określania zakresu z niesankcjonowanej aplikacji, usuń niesankcjonowany tag, a następnie ponownie otaguj aplikację przy użyciu wymaganego profilu o określonym zakresie.
  • Propagowanie domen aplikacji i aktualizowanie ich na urządzeniach punktu końcowego może potrwać do dwóch godzin po oznaczeniu ich odpowiednim tagiem lub/i określeniem zakresu.
  • Gdy aplikacja jest oznaczona jako Monitorowana, opcja zastosowania profilu o określonym zakresie jest wyświetlana tylko wtedy, gdy wbudowane źródło danych Użytkownicy punktu końcowego Win10 stale odbiera dane w ciągu ostatnich 30 dni.

Edukowanie użytkowników podczas uzyskiwania dostępu do ryzykownych aplikacji

Administratorzy mogą ostrzegać użytkowników, gdy uzyskują dostęp do ryzykownych aplikacji. Zamiast blokować użytkowników, zostanie wyświetlony monit z komunikatem zawierającym niestandardowy link przekierowania do strony firmowej z listą aplikacji zatwierdzonych do użycia. Monit zawiera opcje dla użytkowników, aby pominąć ostrzeżenie i przejść do aplikacji. Administratorzy mogą również monitorować liczbę użytkowników, którzy pomijają komunikat ostrzegawczy.

Defender for Cloud Apps używa wbudowanego tagu monitorowanej aplikacji do oznaczania aplikacji w chmurze jako ryzykownych do użycia. Tag jest dostępny zarówno na stronach cloud discovery , jak i cloud app catalog . Dzięki włączeniu integracji z usługą Defender for Endpoint możesz bezproblemowo ostrzegać użytkowników o dostępie do monitorowanych aplikacji za pomocą jednego kliknięcia w portalu Defender for Cloud Apps.

Aplikacje oznaczone jako Monitorowane są automatycznie synchronizowane z niestandardowymi wskaźnikami adresu URL punktu końcowego w usłudze Defender, zwykle w ciągu kilku minut. W szczególności domeny używane przez monitorowane aplikacje są propagowane do urządzeń punktu końcowego w celu dostarczenia komunikatu ostrzegawczego przez program antywirusowy Microsoft Defender w ramach umowy SLA ochrony sieci.

Konfigurowanie niestandardowego adresu URL przekierowania dla komunikatu ostrzeżenia

Wykonaj poniższe kroki, aby skonfigurować niestandardowy adres URL wskazujący firmową stronę internetową, na której można edukować pracowników, dlaczego zostali oni ostrzeżeni, i udostępnić listę alternatywnych zatwierdzonych aplikacji, które są zgodne z akceptacją ryzyka organizacji lub są już zarządzane przez organizację.

  1. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Cloud Discovery wybierz pozycję Ochrona punktu końcowego w usłudze Microsoft Defender.

  2. W polu Adres URL powiadomienia wprowadź swój adres URL.

    Zrzut ekranu przedstawiający sposób konfigurowania adresu URL powiadomień.

Konfigurowanie czasu trwania obejścia użytkownika

Ponieważ użytkownicy mogą pominąć komunikat ostrzegawczy, możesz użyć poniższych kroków, aby skonfigurować czas trwania obejścia. Po upływie czasu trwania użytkownicy otrzymują monit z komunikatem ostrzegawczym, gdy następnym razem uzyskają dostęp do monitorowanych aplikacji.

  1. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Cloud Discovery wybierz pozycję Ochrona punktu końcowego w usłudze Microsoft Defender.

  2. W polu Czas trwania obejścia wprowadź czas trwania (godziny) obejścia użytkownika.

    Zrzut ekranu przedstawiający sposób konfigurowania czasu trwania obejścia.

Monitorowanie zastosowanych kontrolek aplikacji

Po zastosowaniu kontrolek można monitorować wzorce użycia aplikacji za pomocą zastosowanych kontrolek (dostęp, blok, obejście), wykonując następujące kroki.

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Cloud Discovery, a następnie przejdź do karty Odnalezione aplikacje. Użyj filtrów, aby znaleźć odpowiednią monitorowaną aplikację.
  2. Wybierz nazwę aplikacji, aby wyświetlić zastosowane kontrolki aplikacji na stronie przeglądu aplikacji.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.