Интеграция Microsoft Defender для конечной точки с приложениями Microsoft Defender для облака

Microsoft Defender для конечной точки — это платформа безопасности для интеллектуальной защиты, обнаружения, исследования и реагирования. Defender для конечной точки защищает конечные точки от кибер-угроз, обнаруживает расширенные атаки и нарушения данных, автоматизирует инциденты безопасности и повышает уровень безопасности.

В этой статье описывается интеграция между Microsoft Defender для облака Приложениями и Microsoft Defender для конечной точки, которая упрощает обнаружение облака и позволяет проводить исследование на основе устройств.

Внимание

В этой статье рассматриваются возможности теневого обнаружения ИТ из журналов Defender для конечных точек. Дополнительные сведения о теневых возможностях управления ИТ через Defender для конечной точки см. в статье "Управление обнаруженными приложениями с помощью Microsoft Defender для конечной точки".

Необходимые компоненты

• лицензия Microsoft Defender для облака Apps

• Один из следующих:

  • Microsoft Defender для конечной точки с планом 2
  • Microsoft Defender для бизнеса с лицензией premium или автономной лицензией

  Дополнительные сведения см. в разделе "Сравнение планов безопасности конечных точек Майкрософт".

• Приложения, использующие одну из следующих операционных систем:

  • Windows 10 версии 1709 (сборка ОС 16299.1085 с KB4493441)
  • Windows 10 версии 1803 (сборка ОС 17134.704 с KB4493464)
  • Windows 10 версии 1809 (сборка ОС 17763.379 с KB4489899) или более поздней версии Windows 10 и Windows 11
  • macOS на устройствах с Defender для конечной точки версии 20.123072.25.0 или более поздней

• Чтобы поддерживать интеграцию для приложений macOS, необходимо включить возможности защиты сети в Microsoft Defender для конечной точки. Так как защита сети проверяет только события закрытия TCP-подключения, протоколы UDP не рассматриваются для поддержки macOS. Дополнительные сведения см. в разделе "Включение защиты сети"

• (Рекомендуется) Включите антивирусная программа в Microsoft Defender:

  • Включена защита в режиме реального времени
  • Включена защита, предоставляемая облаком
  • Включена и настроена защита сети в режиме блокировки

Примечание.

Хотя антивирусная программа в Microsoft Defender настоятельно рекомендуется для обнаружения, это не обязательно. Некоторые данные обнаружения по-прежнему доступны при отключении антивирусной программы Defender.

Принцип работы

Defender для облака Apps собирает журналы из конечных точек с помощью журналов, которые вы отправляете или настраиваете автоматическую отправку журналов. Интеграция вне коробки позволяет воспользоваться преимуществами агента Defender журналов для конечной точки, который создается при запуске в Windows и отслеживает сетевые транзакции. Используйте эти сведения для обнаружения теневых ИТ-ресурсов на устройствах Windows в сети.

Интеграция не требует дополнительных шагов развертывания или маршрутизации или зеркального трафика из конечных точек и работает следующим образом:

• Журналы из конечных точек, отправляемых в Defender для облака Apps, предоставляют сведения о пользователях и устройствах для действий трафика. Контекст сопряжения устройства с именем пользователя предоставляет полную картину в сети, что позволяет определить, какой пользователь сделал какое действие с какого устройства.
• При обнаружении рискованного пользователя проверьте устройства, к которым пользователь обращается, чтобы обнаружить потенциальные риски. Если вы определяете рискованное устройство, проверьте всех пользователей, которые использовали его для обнаружения дополнительных потенциальных рисков.
• После сбора сведений о трафике вы можете подробно изучить использование облачного приложения в вашей организации. Defender для облака Приложения используют возможности Defender для конечной точки Network Protection для блокировки доступа к облачным приложениям на устройстве конечной точки. Дополнительные сведения об управлении обнаруженными приложениями см. в разделе "Управление обнаруженными приложениями" с помощью Microsoft Defender для конечной точки.

Клиенты, интегрирующиеся с устройствами macOS, могут наблюдать всплеск потребления ЦП.

Совет

Просмотрите наши видеоролики с преимуществами использования Defender для конечной точки с Defender для облака приложениями.

Интеграция Microsoft Defender для конечной точки с приложениями Defender для облака

Чтобы включить интеграцию Defender для конечной точки с приложениями Defender для облака:

1. На портале Microsoft Defender в области навигации выберите "Параметры>конечных>точек" "Общие>расширенные возможности".
2. Переключение Microsoft Defender для облака приложений на включено.
3. Выберите Применить.

Примечание.

После включения интеграции данных в приложениях Defender для облака занимает до двух часов.

Чтобы настроить серьезность оповещений, отправленных в Microsoft Defender для конечной точки, выполните следующие действия.

1. На портале Microsoft Defender выберите параметры>Cloud Apps>Cloud Discovery> Microsoft Defender для конечной точки.

2. В разделе "Оповещения" выберите глобальный уровень серьезности для оповещений.

3. Выберите Сохранить.

   

Следующие шаги

Исследование приложений, обнаруженных Microsoft Defender для конечной точки

Управление приложениями, обнаруженными Microsoft Defender для конечной точки

Связанные видео

Обнаружение и блокировка теневых ИТ с помощью Defender для конечной точки

Теневое обнаружение ИТ за пределами корпоративной сети

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.