Badanie aplikacji odkrytych przez Ochronę punktu końcowego w usłudze Microsoft Defender

  • Artykuł

Integracja aplikacji Microsoft Defender dla Chmury z usługą Ochrona punktu końcowego w usłudze Microsoft Defender zapewnia bezproblemowe rozwiązanie do wglądu i kontroli IT w tle. Nasza integracja umożliwia administratorom usługi Defender dla Chmury Apps badanie odnalezionych urządzeń, zdarzeń sieciowych i użycia aplikacji.

Badanie odnalezionych urządzeń w usłudze Defender dla Chmury Apps

Po zintegrowaniu Ochrony punktu końcowego w usłudze Defender z usługą Defender for Cloud Apps możesz badać odkryte dane urządzeń na pulpicie nawigacyjnym usługi Cloud Discovery.

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Cloud Discovery. Następnie wybierz kartę Pulpit nawigacyjny .

  2. W prawym górnym rogu wybierz pozycję Użytkownicy punktów końcowych Win10. Ten strumień zawiera dane z dowolnych systemów operacyjnych wymienionych w wymaganiach wstępnych Defender dla Chmury Apps. Na przykład:

    Defender for Endpoint report.

    W górnej części zobaczysz liczbę odnalezionych urządzeń dodanych po integracji.

  3. Wybierz kartę Urządzenia.

  4. Przejdź do szczegółów każdego urządzenia, które znajduje się na liście, i użyj kart, aby wyświetlić dane badania. Znajdź korelacje między urządzeniami, użytkownikami, adresami IP i aplikacjami, które brały udział w zdarzeniach:

    • Omówienie
      • Poziom ryzyka urządzenia: pokazuje, jak ryzykowny jest profil urządzenia względem innych urządzeń w organizacji, zgodnie z ważnością (wysoki, średni, niski, informacyjny). Defender dla Chmury Apps używa profilów urządzeń z usługi Defender for Endpoint dla każdego urządzenia w oparciu o zaawansowaną analizę. Działanie, które jest nietypowe dla punktu odniesienia urządzenia, jest oceniane i określa poziom ryzyka urządzenia. Użyj poziomu ryzyka urządzenia, aby określić, które urządzenia należy zbadać jako pierwsze.
      • Transakcje: informacje o liczbie transakcji, które miały miejsce na urządzeniu w wybranym przedziale czasu.
      • Całkowity ruch: informacje o łącznej ilości ruchu (w MB) w wybranym przedziale czasu.
      • Przekazywanie: informacje o całkowitej ilości ruchu (w MB) przekazanego przez urządzenie w wybranym przedziale czasu.
      • Pobrane: informacje o całkowitej ilości ruchu (w MB) pobranego przez urządzenie w wybranym przedziale czasu.
    • Odnalezione aplikacje
      Wyświetla listę wszystkich odnalezionych aplikacji, do których uzyskiwano dostęp przez urządzenie.
    • Historia użytkowników
      Wyświetla listę wszystkich użytkowników, którzy zalogowali się na urządzeniu.
    • Historia adresów IP
      Wyświetla listę wszystkich adresów IP przypisanych do urządzenia. Devices overview.

Podobnie jak w przypadku dowolnego innego źródła rozwiązania Cloud Discovery, możesz wyeksportować dane z raportu użytkowników punktu końcowego Win10 w celu dalszego zbadania.

Uwaga

  • Usługa Defender for Endpoint przekazuje dane do aplikacji Defender dla Chmury we fragmentach ok. 4 MB (ok. 4000 transakcji punktu końcowego)
  • Jeśli limit 4 MB nie zostanie osiągnięty w ciągu 1 godziny, usługa Defender for Endpoint zgłasza wszystkie transakcje wykonywane w ciągu ostatniej godziny.

Odnajdywanie aplikacji za pośrednictwem usługi Defender dla punktu końcowego, gdy punkt końcowy znajduje się za serwerem proxy sieci

Defender dla Chmury Aplikacje mogą odnajdywać zdarzenia sieci it w tle wykryte na urządzeniach usługi Defender for Endpoint działających w tym samym środowisku co serwer proxy sieci. Jeśli na przykład urządzenie punktu końcowego systemu Windows 10 znajduje się w tym samym środowisku co usługa ZScalar, aplikacje Defender dla Chmury mogą odnajdywać aplikacje IT w tle za pośrednictwem strumienia Użytkownicy punktu końcowego Win10.

Badanie zdarzeń sieciowych urządzeń w usłudze Microsoft Defender XDR

Uwaga

Zdarzenia sieciowe powinny służyć do badania odnalezionych aplikacji i nie służy do debugowania brakujących danych.

Wykonaj następujące kroki, aby uzyskać bardziej szczegółowy wgląd w aktywność sieci urządzenia w Ochrona punktu końcowego w usłudze Microsoft Defender:

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Cloud Discovery. Następnie wybierz kartę Urządzenia .
  2. Wybierz maszynę, którą chcesz zbadać, a następnie w lewym górnym rogu wybierz pozycję Widok w Ochrona punktu końcowego w usłudze Microsoft Defender.
  3. W usłudze Microsoft Defender XDR w obszarze Zasoby> urządzenia> {wybrane urządzenie}, wybierz pozycję Oś czasu.
  4. W obszarze Filtry wybierz pozycję Zdarzenia sieciowe.
  5. Zbadaj zdarzenia sieciowe urządzenia zgodnie z potrzebami.

Screenshot showing device timeline in Microsoft Defender XDR.

Badanie użycia aplikacji w usłudze Microsoft Defender XDR przy użyciu zaawansowanego wyszukiwania zagrożeń

Wykonaj następujące kroki, aby uzyskać bardziej szczegółowy wgląd w zdarzenia sieciowe związane z aplikacją w usłudze Defender dla punktu końcowego:

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Cloud Discovery. Następnie wybierz kartę Odnalezione aplikacje .

  2. Wybierz aplikację, którą chcesz zbadać, aby otworzyć szufladę.

  3. Wybierz listę Domena aplikacji, a następnie skopiuj listę domen.

  4. W usłudze Microsoft Defender XDR w obszarze Wyszukiwanie zagrożeń wybierz pozycję Zaawansowane wyszukiwanie zagrożeń.

  5. Wklej następujące zapytanie i zastąp ciąg <DOMAIN_LIST> listą skopiowanych wcześniej domen.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Uruchom zapytanie i zbadaj zdarzenia sieciowe dla tej aplikacji.

    Screenshot showing Microsoft Defender XDR Advanced hunting.

Badanie niezaakceptowanych aplikacji w usłudze Microsoft Defender XDR

Każda próba uzyskania dostępu do niezaakceptowanej aplikacji wyzwala alert w usłudze Microsoft Defender XDR ze szczegółowymi informacjami na temat całej sesji. Dzięki temu można dokładniej zbadać próby uzyskania dostępu do niezaakceptowanych aplikacji, a także zapewnić dodatkowe istotne informacje do użycia w badaniu urządzenia punktu końcowego.

Czasami dostęp do niezaakceptowanej aplikacji nie jest blokowany, ponieważ urządzenie punktu końcowego nie jest poprawnie skonfigurowane lub jeśli zasady wymuszania nie zostały jeszcze propagowane do punktu końcowego. W tym przypadku administratorzy usługi Defender for Endpoint otrzymają alert w usłudze Microsoft Defender XDR, że niezaakceptowana aplikacja nie została zablokowana.

Screenshot showing Defender for Endpoint unsanctioned app alert.

Uwaga

  • Po oznaczeniu aplikacji jako niezaakceptowanej propagacja domen aplikacji na urządzeniach punktu końcowego trwa do dwóch godzin.
  • Domyślnie aplikacje i domeny oznaczone jako Niezaakceptowane w aplikacjach Defender dla Chmury będą blokowane dla wszystkich urządzeń punktów końcowych w organizacji.
  • Obecnie pełne adresy URL nie są obsługiwane w przypadku niezatwierdzonych aplikacji. W związku z tym w przypadku niezatwierdzonych aplikacji skonfigurowanych z pełnymi adresami URL nie są propagowane do usługi Defender for Endpoint i nie będą blokowane. Na przykład google.com/drive nie jest obsługiwana, chociaż drive.google.com jest obsługiwana.
  • Powiadomienia w przeglądarce mogą się różnić w różnych przeglądarkach.

Następne kroki

Zarządzanie aplikacjami odnalezionymi przez Ochrona punktu końcowego w usłudze Microsoft Defender

Kontrola aplikacji w chmurze za pomocą zasad

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.