Investigar aplicativos descobertos pelo Microsoft Defender para Ponto de Extremidade

A integração do Microsoft Defender para Aplicativos de Nuvem com o Microsoft Defender para Ponto de Extremidade fornece uma solução perfeita de visibilidade e controle de Shadow IT. Nossa integração permite que os administradores do Defender para Aplicativos de Nuvem investiguem os dispositivos descobertos, os eventos de rede e o uso do aplicativo.

Investigar dispositivos descobertos no Defender para Aplicativos de Nuvem

Após integrar o Defender para Ponto de Extremidade com o Defender para Aplicativos de Nuvem, você pode investigar os dados do dispositivo descoberto no painel do Cloud Discovery.

  1. No portal do Microsoft Defender, em Aplicativos de Nuvem, selecione Cloud Discovery. Em seguida, selecione a guia Painel.

  2. No canto superior direito, selecione Usuários do ponto de extremidade do Win10. Esse fluxo contém dados de todos os sistemas operacionais mencionados nos pré-requisitos do Defender para Aplicativos de Nuvem. Por exemplo:

    Defender for Endpoint report.

    Na parte superior, você verá o número de dispositivos descobertos adicionados após a integração.

  3. Clique na guia Dispositivos .

  4. Faça drill down em cada dispositivo listado e use as guias para exibir os dados de investigação. Encontre correlações entre os dispositivos, os usuários, os endereços IP e os aplicativos envolvidos em incidentes:

    • Visão geral
      • Nível de risco do dispositivo: mostra o quão arriscado é o perfil do dispositivo em relação a outros dispositivos na organização, conforme indicado pela gravidade (alta, média, baixa, informativa). O Defender para Aplicativos de Nuvem usa perfis de dispositivo do Defender para Ponto de Extremidade para cada dispositivo com base em análises avançadas. A atividade anômala para uma linha de base de um dispositivo é avaliada e determina o nível de risco do dispositivo. Use o nível de risco do dispositivo para determinar quais dispositivos devem ser investigados primeiro.
      • Transações: fornece informações sobre o número de transações que ocorreram no dispositivo durante o período selecionado.
      • Tráfego total: fornece informações sobre o volume total de tráfego (em MB) durante o período selecionado.
      • Uploads: fornece informações sobre o volume total de tráfego (em MB) carregado pelo dispositivo durante o período selecionado.
      • Downloads: fornece informações sobre o volume total de tráfego (em MB) baixado pelo dispositivo durante o período selecionado.
    • Aplicativos descobertos
      Lista todos os aplicativos descobertos que foram acessados pelo dispositivo.
    • Histórico de usuários
      Lista todos os usuários que se conectaram ao dispositivo.
    • Histórico de endereços IP
      Lista todos os endereços IP que foram atribuídos ao dispositivo. Devices overview.

Assim como acontece com qualquer outra fonte do Cloud Discovery, é possível exportar os dados do relatório de usuários de ponto de extremidade do Win10 para uma investigação adicional.

Observação

  • O Defender para Ponto de Extremidade encaminha dados ao Defender para Aplicativos de Nuvem em blocos de aproximadamente 4 MB (cerca de 4000 transações de ponto de extremidade)
  • Se o limite de 4 MB não for atingido dentro de uma hora, o Defender para Ponto de Extremidade relatará todas as transações realizadas na última hora.

Descubra aplicativos por meio do Defender para Ponto de Extremidade quando o ponto de extremidade estiver atrás de um proxy de rede

O Defender for Cloud Apps pode descobrir eventos de rede do Shadow IT detectados em dispositivos do Defender for Endpoint que estejam funcionando no mesmo ambiente que um proxy de rede. Por exemplo, se o seu dispositivo de ponto de extremidade do Windows 10 estiver no mesmo ambiente que o ZScalar, o Defender para Aplicativos de Nuvem poderá descobrir aplicativos na shadow IT por meio do fluxo de Usuários do Ponto de Extremidade do Win10.

Investigar eventos de rede do dispositivo no Microsoft Defender XDR

Observação

Os eventos de rede devem ser usados para investigar aplicativos descobertos e não para depurar dados ausentes.

Use as etapas a seguir para obter visibilidade mais granular sobre a atividade de rede do dispositivo no Microsoft Defender para Ponto de Extremidade.

  1. No portal do Microsoft Defender, em Aplicativos de Nuvem, selecione Cloud Discovery. Em seguida, selecione a guia Dispositivos.
  2. Selecione o computador que deseja investigar e, no canto superior esquerdo, escolha Exibir no Microsoft Defender para Ponto de Extremidade.
  3. No Microsoft Defender XDR, em Ativos ->Dispositivos> {dispositivo selecionado}, selecione Linha do tempo.
  4. Em Filtros, selecione Eventos de rede.
  5. Investigue os eventos de rede do dispositivo, conforme necessário.

Screenshot showing device timeline in Microsoft Defender XDR.

Investigar o uso de aplicativos no Microsoft Defender XDR com a busca avançada de ameaças

Use as etapas a seguir para obter visibilidade mais granular sobre eventos de rede relacionados a aplicativos no Defender para Ponto de Extremidade.

  1. No portal do Microsoft Defender, em Aplicativos de Nuvem, selecione Cloud Discovery. Em seguida, selecione a guia Aplicativos descobertos.

  2. Selecione o aplicativo que deseja investigar para abrir a gaveta.

  3. Selecione a lista Domínio do aplicativo e copie a lista de domínios.

  4. No Microsoft Defender XDR, em Busca, selecione Busca avançada de ameaças.

  5. Cole a consulta a seguir e substitua <DOMAIN_LIST> pela lista de domínios copiados anteriormente.

    DeviceNetworkEvents
    | where RemoteUrl has_any ("<DOMAIN_LIST>")
    | order by Timestamp desc
    
  6. Execute a consulta e investigue os eventos de rede do aplicativo.

    Screenshot showing Microsoft Defender XDR Advanced hunting.

Investigar aplicativos não sancionados no Microsoft Defender XDR

Cada tentativa de acessar um aplicativo não sancionado aciona um alerta no Microsoft Defender XDR com detalhes minuciosos sobre toda a sessão. Isso permite realizar investigações mais aprofundadas sobre tentativas de acessar aplicativos não sancionados, além de fornecer informações adicionais relevantes para usar na investigação de dispositivos de ponto de extremidade.

Às vezes, o acesso a um aplicativo não sancionado não é bloqueado, seja porque o dispositivo de ponto de extremidade não está configurado corretamente ou porque a política de imposição ainda não se propagou para o ponto de extremidade. Neste caso, os administradores do Defender para Ponto de Extremidade receberão um alerta no Microsoft Defender XDR de que o aplicativo não sancionado não foi bloqueado.

Screenshot showing Defender for Endpoint unsanctioned app alert.

Observação

  • Leva até duas horas depois de marcar um aplicativo como Não Sancionado para que os domínios de aplicativo se propaguem para dispositivos de ponto de extremidade.
  • Por padrão, aplicativos e domínios marcados como Não Sancionados no Defender para Aplicativos de Nuvem serão bloqueados para todos os dispositivos de ponto de extremidade na organização.
  • Atualmente, não há suporte para URLs completos em aplicativos não sancionados. Portanto, ao cancelar a sanção de aplicativos configurados com URLs completos, eles não serão propagados para o Defender para Ponto de Extremidade e não serão bloqueados. Por exemplo, google.com/drive não tem suporte, mas drive.google.com tem.
  • As notificações no navegador podem variar entre diferentes navegadores.

Próximas etapas

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.