Управление обнаруженными приложениями с помощью Microsoft Defender для конечной точки

  • Статья

Интеграция приложений Microsoft Defender для облака с Microsoft Defender для конечной точки обеспечивает простое решение для отслеживания и управления теневым ИТ-решением. Наша интеграция позволяет администраторам приложений Defender для облака блокировать доступ конечных пользователей к облачным приложениям, интегрируя элементы управления Defender для облака приложениями с защитой сети Microsoft Defender для конечной точки. Кроме того, администраторы могут использовать более мягкий подход пользователей предупреждений при доступе к рискованным облачным приложениям.

Defender для облака Приложения используют встроенные Неуправляемый тег приложения, чтобы пометить облачные приложения как запрещенные для использования, доступные на страницах каталога облачных приложений и Cloud Discovery. Включив интеграцию с Defender для конечной точки, вы можете легко заблокировать доступ к неуправляемым приложениям с одним щелчком мыши на портале Defender для облака Apps.

Приложения, помеченные как unsanctioned в Defender для облака Apps, автоматически синхронизируются с Defender для конечной точки. В частности, домены, используемые этими несанкционированными приложениями, распространяются на конечные точки устройств, которые будут заблокированы антивирусная программа в Microsoft Defender в рамках SLA защиты сети.

Примечание.

Задержка времени блокировки приложения через Defender для конечной точки составляет до трех часов с момента, когда приложение помечается как неуправляемое в Defender для облака Приложения до момента блокировки приложения на устройстве. Это связано с синхронизацией приложений Defender для облака приложений, санкционированных или несанкционированных приложений в Defender для конечной точки, и до двух часов для отправки политики на устройства, чтобы заблокировать приложение после создания индикатора в Defender для конечной точки.

Необходимые компоненты

Включение блокировки облачных приложений с помощью Defender для конечной точки

Чтобы включить управление доступом для облачных приложений, выполните следующие действия.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". В разделе Cloud Discovery выберите Microsoft Defender для конечной точки и выберите "Применить доступ к приложению".

    Screenshot showing how to enable blocking with Defender for Endpoint.

    Примечание.

    Для этого параметра может потребоваться до 30 минут.

  2. В Microsoft Defender XDR перейдите в раздел Параметры> Endpoints>Advanced features, а затем выберите настраиваемые сетевые индикаторы. Сведения о индикаторах сети см. в разделе "Создание индикаторов для IP-адресов и URL-адресов/доменов".

    Это позволяет использовать антивирусная программа в Microsoft Defender возможности защиты сети для блокировки доступа к предварительно определенному набору URL-адресов с помощью Defender для облака Apps, вручную назначая теги приложений определенным приложениям или автоматически используя политику обнаружения приложений.

    Screenshot showing how to enable custom network indicators in Defender for Endpoint.

Блокировать приложения для определенных групп устройств

Чтобы заблокировать использование для определенных групп устройств, сделайте следующее:

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". Затем в разделе Cloud Discovery выберите теги приложений и перейдите на вкладку "Области профилей ".

  2. Выберите " Добавить профиль". Профиль задает сущности, область для блокировки и разблокировки приложений.

  3. Укажите описательное имя профиля и описание.

  4. Выберите, должен ли профиль быть профилем "Включить " или "Исключить ".

    • Включить: только включенный набор сущностей будет влиять на принудительное применение доступа. Например, профиль myContoso имеет значение Include для групп устройств A и B. Блокировка приложения Y с профилем myContoso блокирует доступ к приложениям только для групп A и B.

    • Исключить: исключенный набор сущностей не будет влиять на принудительное применение доступа. Например, профиль myContoso содержит исключение для групп устройств A и B. Блокировка приложения Y с профилем myContoso блокирует доступ к приложениям для всей организации, за исключением групп A и B.

  5. Выберите соответствующие группы устройств для профиля. Перечисленные группы устройств извлекаются из Microsoft Defender для конечной точки. Дополнительные сведения см. в разделе "Создание группы устройств".

  6. Выберите Сохранить.

    Scoped profiles.

Чтобы заблокировать приложение, сделайте следующее:

  1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите в Cloud Discovery и перейдите на вкладку "Обнаруженные приложения ".

  2. Выберите приложение, которое должно быть заблокировано.

  3. Пометьте приложение как unsanctioned.

    Unsanction an app.

  4. Чтобы заблокировать все устройства в организации, нажмите кнопку "Сохранить". Чтобы заблокировать определенные группы устройств в организациях, выберите "Выбрать профиль", чтобы включить или исключить группы из блокировки. Затем выберите профиль, для которого приложение будет заблокировано, и нажмите кнопку "Сохранить".

    Choose a profile to unsanction an app with.

Примечание.

  • Возможность принудительного применения основана на пользовательских индикаторах URL-адресов Defender для конечной точки.
  • Все организационные области, которые были установлены вручную на индикаторах, созданных Defender для облака Приложениями до выпуска этой функции, будут переопределены Defender для облака Приложениями. Необходимо задать необходимую области из интерфейса Defender для облака Apps с помощью интерфейса область профилей.
  • Чтобы удалить выбранный профиль области из несанкционированного приложения, удалите неуправляемый тег, а затем снова пометьте приложение необходимым область профилем.
  • Для распространения и обновления доменов приложений на устройствах конечных точек может потребоваться до двух часов, когда они помечены соответствующим тегом или областью действия.
  • Если приложение помечено как отслеживаемое, параметр применения область d профиля отображается только в том случае, если встроенный источник данных Конечных точек Win10 постоянно получал данные за последние 30 дней.

Обучение пользователей при доступе к рискованным приложениям

Администратор имеют возможность предупреждать пользователей о доступе к рискованным приложениям. Вместо того чтобы блокировать пользователей, они запрашиваются с сообщением, предоставляющим настраиваемую ссылку перенаправления на страницу компании, в которой перечислены приложения, утвержденные для использования. Запрос предоставляет пользователям возможность обойти предупреждение и продолжить работу с приложением. Администратор также могут отслеживать количество пользователей, которые обходят предупреждение.

Defender для облака Приложения используют встроенный Отслеживаемый тег приложения, чтобы пометить облачные приложения как рискованные для использования. Тег доступен как на страницах Cloud Discovery, так и на страницах каталога облачных приложений. Включив интеграцию с Defender для конечной точки, вы можете легко предупреждать пользователей о доступе к отслеживаемым приложениям с одним щелчком мыши на портале Defender для облака Apps.

Приложения, помеченные как отслеживаемые , автоматически синхронизируются с пользовательскими индикаторами URL-адресов Defender для конечной точки, как правило, в течение нескольких минут. В частности, домены, используемые отслеживаемыми приложениями, распространяются на конечные точки для предоставления предупреждения, антивирусная программа в Microsoft Defender в рамках SLA защиты сети.

Настройка пользовательского URL-адреса перенаправления для предупреждения

Используйте следующие действия, чтобы настроить пользовательский URL-адрес, указывающий на веб-страницу компании, где можно обучать сотрудников о том, почему они были предупреждены и предоставить список альтернативных утвержденных приложений, которые соответствуют принятию рисков вашей организации или уже управляются организацией.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". В разделе Cloud Discovery выберите Microsoft Defender для конечной точки.

  2. В поле "URL-адрес уведомления" введите URL-адрес.

    Screenshot showing how to configure notification URL.

Настройка длительности обхода пользователей

Так как пользователи могут обойти предупреждение, можно выполнить следующие действия, чтобы настроить длительность обхода. По истечении длительности пользователи получают предупреждение при следующем доступе к отслеживаемого приложения.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". В разделе Cloud Discovery выберите Microsoft Defender для конечной точки.

  2. В поле "Обход" введите длительность (часы) обхода пользователя.

    Screenshot showing how to configure bypass duration.

Мониторинг примененных элементов управления приложениями

После применения элементов управления можно отслеживать шаблоны использования приложений с помощью примененных элементов управления (доступ, блокировка, обход) с помощью следующих шагов.

  1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите в Cloud Discovery и перейдите на вкладку "Обнаруженные приложения ". Используйте фильтры для поиска соответствующего отслеживаемого приложения.
  2. Выберите имя приложения, чтобы просмотреть примененные элементы управления приложениями на странице обзора приложения.

Следующие шаги

Исследование приложений, обнаруженных Microsoft Defender для конечной точки

Управление облачными приложениями с помощью политик

Обнаружение и блокировка теневых ИТ с помощью Defender для конечной точки

Теневое обнаружение ИТ за пределами корпоративной сети

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.