Investigar aplicativos descobertos pelo Microsoft Defender para Ponto de Extremidade

Observação

  • Renomeamos Microsoft Cloud App Security. Agora se chama Microsoft Defender para Aplicativos de Nuvem. Nas próximas semanas, atualizaremos as capturas de tela e as instruções aqui e nas páginas relacionadas. Para obter mais informações sobre a alteração, consulte este comunicado. Para saber mais sobre a renomeação recente dos serviços de segurança da Microsoft, consulte o blog do Microsoft Ignite Security.

  • Microsoft Defender para Aplicativos de Nuvem agora faz parte do Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem suas tarefas de segurança em um local. Isso simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorar e gerenciar a segurança em suas identidades, dados, dispositivos, aplicativos e infraestrutura da Microsoft. Para obter mais informações sobre essas alterações, consulte Microsoft Defender para Aplicativos de Nuvem no Microsoft 365 Defender.

A integração Microsoft Defender para Aplicativos de Nuvem com Microsoft Defender para Ponto de Extremidade fornece uma solução de controle e visibilidade de TI de Sombra perfeita. Nossa integração permite que os administradores do Defender para Aplicativos de Nuvem investiguem dispositivos descobertos, eventos de rede e uso do aplicativo.

Investigar dispositivos descobertos no Defender para Aplicativos de Nuvem

Após integrar o Defender for Endpoint com o Defender for Cloud Apps, você pode investigar os dados do dispositivo descoberto no painel do Cloud Discovery.

  1. No Defender para Aplicativos de Nuvem, selecione o Cloud Discovery e, em seguida, o painel do Cloud Discovery.

  2. Na barra de navegação superior, em Relatórios contínuos, selecione Usuários de ponto de extremidade do Win10. Relatório do Defender para Ponto de Extremidade

  3. Na parte superior, você verá o número de dispositivos descobertos adicionados após a integração.

  4. Selecione a guia Dispositivos.

  5. Você pode fazer uma busca detalhada em cada dispositivo listado e usar as guias para exibir os dados de investigação. Encontre correlações entre os dispositivos, os usuários, os endereços IP e os aplicativos envolvidos em incidentes:

    • Visão geral
      • Nível de risco do dispositivo: mostra como o perfil do dispositivo é arriscado em relação a outros dispositivos em sua organização, conforme indicado pela gravidade (alta, média, baixa, informativa). O Defender para Aplicativos de Nuvem usa perfis de dispositivo do Defender para Ponto de Extremidade para cada dispositivo com base em análise avançada. A atividade que é anômala para a linha de base de um dispositivo é avaliada e determina o nível de risco do dispositivo. Use o nível de risco do dispositivo para determinar quais dispositivos investigar primeiro.
      • Transações: informações sobre o número de transações que ocorreram no dispositivo durante o período de tempo selecionado.
      • Tráfego total: informações sobre a quantidade total de tráfego (em MB) durante o período de tempo selecionado.
      • Uploads: informações sobre a quantidade total de tráfego (em MB) carregadas pelo dispositivo durante o período de tempo selecionado.
      • Downloads: informações sobre a quantidade total de tráfego (em MB) baixada pelo dispositivo durante o período de tempo selecionado.
    • Aplicativos Descobertos
      Lista todos os aplicativos descobertos que foram acessados pelo dispositivo.
    • Histórico de usuários
      Lista todos os usuários que entraram no dispositivo.
    • Histórico de endereços IP
      Lista todos os endereços IP que foram atribuídos ao dispositivo. Visão geral de dispositivos

Assim como acontece com qualquer outra fonte do Cloud Discovery, é possível exportar os dados do relatório de usuários de ponto de extremidade do Win10 para uma investigação adicional.

Observação

  • O Defender para Ponto de Extremidade encaminha dados para o Defender para Aplicativos de Nuvem em partes de ~4 MB (~4.000 transações de ponto de extremidade)
  • Se o limite de 4 MB não for atingido dentro de 1 hora, o Defender para Ponto de Extremidade relatará todas as transações executadas na última hora.
  • Se o dispositivo de ponto de extremidade estiver por trás de um proxy avançado, os dados de tráfego não estarão visíveis para o Defender para Ponto de Extremidade e, portanto, não serão incluídos nos relatórios do Cloud Discovery. Recomendamos rotear os logs do proxy de encaminhamento para o Defender para Aplicativos de Nuvem usando o upload de log automatizado para obter visibilidade completa. Para obter uma maneira alternativa de exibir esse tráfego e investigar URLs acessadas por dispositivos, consulte Monitoramento da conexão de rede por trás do proxy de encaminhamento.

Investigar eventos de rede do dispositivo em Microsoft 365 Defender

Observação

Eventos de rede devem ser usados para investigar aplicativos descobertos e não usados para depurar dados ausentes.

Use as seguintes etapas para obter visibilidade mais granular na atividade de rede do dispositivo em Microsoft Defender para Ponto de Extremidade:

  1. No Defender para Aplicativos de Nuvem, em Descoberta e, em seguida, selecione Dispositivos.
  2. Selecione o computador que você deseja investigar e, na parte superior direita, selecione Exibir no Microsoft Defender para Ponto de Extremidade.
  3. Em Microsoft 365 Defender, em Dispositivos> {dispositivo selecionado}, selecione Linha do Tempo.
  4. Em Filtros, selecione Eventos de rede.
  5. Investigue os eventos de rede do dispositivo conforme necessário.

Captura de tela mostrando a linha do tempo do dispositivo em Microsoft 365 Defender

Investigar o uso do aplicativo em Microsoft 365 Defender com busca avançada

Use as seguintes etapas para obter visibilidade mais granular em eventos de rede relacionados ao aplicativo no Defender para Ponto de Extremidade:

  1. No Defender para Aplicativos de Nuvem, em Descoberta , selecione Aplicativos descobertos.

  2. Selecione o aplicativo que você deseja investigar para abrir sua gaveta.

  3. Selecione a lista domínio do aplicativo e copie a lista de domínios.

  4. Em Microsoft 365 Defender, em Dispositivos, selecione Busca avançada.

  5. Cole a consulta a seguir e substitua <DOMAIN_LIST> pela lista de domínios copiados anteriormente.

    DeviceNetworkEvents
    | where RemoteUrl has_any ("<DOMAIN_LIST>")
    | order by Timestamp desc
    
  6. Execute a consulta e investigue eventos de rede para este aplicativo.

    Captura de tela mostrando Microsoft 365 Defender busca avançada

Investigar aplicativos não sancionados no Microsoft 365 Defender

Cada tentativa de acessar um aplicativo não sancionado dispara um alerta em Microsoft 365 Defender com detalhes detalhados sobre toda a sessão. Isso permite que você execute investigações mais profundas sobre tentativas de acesso a aplicativos não sancionados, além de fornecer informações relevantes adicionais para uso na investigação do dispositivo de ponto de extremidade.

Às vezes, o acesso a um aplicativo não sancionado não é bloqueado, seja porque o dispositivo de ponto de extremidade não está configurado corretamente ou se a política de imposição ainda não foi propagada para o ponto de extremidade. Neste caso, os administradores do Defender para Ponto de Extremidade receberão um alerta no Microsoft 365 Defender de que o aplicativo não sancionado não foi bloqueado.

Captura de tela mostrando o alerta de aplicativo não sancionado do Defender para Ponto de Extremidade

Observação

  • Leva até duas horas depois que você marca um aplicativo como Não sancionado para domínios de aplicativo se propagar em dispositivos de ponto de extremidade.
  • Por padrão, aplicativos e domínios marcados como não sancionados no Defender para Aplicativos de Nuvem serão bloqueados para todos os dispositivos de ponto de extremidade na organização.
  • Atualmente, não há suporte para URLs completas para aplicativos não sancionados. Portanto, ao desanexar aplicativos configurados com URLs completas, eles não são propagados para o Defender para Ponto de Extremidade e não serão bloqueados. Por exemplo, google.com/drive não há suporte, enquanto drive.google.com há suporte.
  • As notificações no navegador podem variar entre navegadores diferentes.

Próximas etapas

Em caso de problemas, estamos aqui para ajudar. Abra um tíquete de suporte para receber assistência ou suporte para o produto.