Integração do Microsoft Defender para Identidade

Observação

  • Renomeamos Microsoft Cloud App Security. Agora se chama Microsoft Defender para Aplicativos de Nuvem. Nas próximas semanas, atualizaremos as capturas de tela e as instruções aqui e nas páginas relacionadas. Para obter mais informações sobre a alteração, consulte este comunicado. Para saber mais sobre a renomeação recente dos serviços de segurança da Microsoft, consulte o blog segurança do Microsoft Ignite.

  • Microsoft Defender para Aplicativos de Nuvem agora faz parte do Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem suas tarefas de segurança em um único local. Isso simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços de Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorar e gerenciar a segurança em suas identidades, dados, dispositivos, aplicativos e infraestrutura da Microsoft. Para obter mais informações sobre essas alterações, consulte Microsoft Defender para Aplicativos de Nuvem no Microsoft 365 Defender.

Microsoft Defender para Aplicativos de Nuvem integra-se a Microsoft Defender para Identidade para fornecer UEBA (análise comportamental de entidade de usuário) em um ambiente híbrido – tanto o aplicativo de nuvem quanto o local, para obter mais informações, consulte Tutorial: Investigar usuários arriscados. Para obter mais informações sobre o aprendizado de máquina e a análise comportamental fornecidas pelo Defender para Identidade, confira o que é o Defender para Identidade?

Observação

O Defender para Aplicativos de Nuvem não envia notificações por email para alertas do Defender para Identidade. No entanto, você pode configurar notificações por email para eles no portal do Defender para Identidade.

Pré-requisitos

Para fazer uma investigação completa em um ambiente híbrido, é necessário:

  • Uma licença válida para Microsoft Defender para Identidade conectado à instância do Active Directory
  • Você deve ser um administrador global do Azure Active Directory para habilitar a integração entre o Defender para Identidade e o Defender para Aplicativos de Nuvem

Observação

  • Se você não tiver uma assinatura para Microsoft Defender para Aplicativos de Nuvem, ainda poderá usar o Defender para Aplicativos de Nuvem para obter insights do Defender para Identidade.
  • Os administradores do Defender para Identidade podem exigir novas permissões para acessar o Defender para Aplicativos de Nuvem. Para saber como atribuir permissões ao Defender para Aplicativos de Nuvem, consulte Gerenciar acesso de administrador.

Habilitar o Defender para Identidade

Para habilitar a integração do Defender para Aplicativos de Nuvem com o Defender para Identidade:

  1. No Defender para Aplicativos de Nuvem, na engrenagem de configurações, selecione Configurações.

    Menu Configurações.

  2. Em Proteção contra Ameaças, selecione Microsoft Defender para Identidade.

    Habilitar Microsoft Defender para Identidade proteção.

  3. Selecione Habilitar Microsoft Defender para Identidade integração de dados e selecione Salvar.

Observação

Pode levar até 12 horas até que a integração entre em vigor.

Depois de habilitar a integração do Defender para Identidade, você poderá ver atividades locais para todos os usuários em sua organização. Você também obterá insights avançados sobre seus usuários que combinam alertas e atividades suspeitas em ambientes locais e na nuvem. Além disso, os alertas do Defender para Identidade serão exibidos na página de políticas do Defender para Aplicativos de Nuvem. Para obter uma lista de alertas do Defender para Identidade, consulte alertas de segurança. Para configurar esses alertas, consulte Configurar exclusões de detecção do Defender para Identidade.

Você também deve usar os links de configuração do Defender para Identidade para definir as configurações do Defender para Identidade relevantes para o Defender para Aplicativos de Nuvem. Use as seguintes informações para saber mais sobre essas configurações:

Desabilitar o Defender para Identidade

Para desabilitar a integração do Defender para Aplicativos de Nuvem com o Defender para Identidade:

  1. No Defender para Aplicativos de Nuvem, na engrenagem de configurações, selecione Configurações.

  2. Em Proteção contra Ameaças, selecione Microsoft Defender para Identidade.

  3. Desmarque Habilitar Microsoft Defender para Identidade integração de dados e selecione Salvar.

Observação

Quando a integração é desabilitada, os dados existentes do Defender para Identidade são mantidos de acordo com as políticas de retenção do Defender para Aplicativos de Nuvem, mas a seção avaliações de Postura de Segurança de Identidade é removida.

Problemas conhecidos

Atualizações de alerta do SIEM ausentes

Esse problema afeta alertas que são disparados mais de uma vez. A primeira instância do alerta é enviada para o SIEM, mas os gatilhos subsequentes do mesmo alerta não são enviados.

Resolução

Não há solução conhecida.

Próximas etapas

Em caso de problemas, estamos aqui para ajudar. Abra um tíquete de suporte para receber assistência ou suporte para o produto.