通过

将 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud Apps 集成

  • 项目

Microsoft Defender for Endpoint 是一个提供智能保护、检测、调查和响应的安全平台。 Defender for Endpoint 可保护终结点免受网络威胁、检测高级攻击和数据泄露,并自动执行安全事件以及改善安全状况。

本文介绍了 Microsoft Defender for Cloud Apps 和 Microsoft Defender for Endpoint 之间的开箱即用集成,该集成可简化云发现并启用基于设备的调查。

重要

本文重点介绍 Defender for Endpoint 日志中的影子 IT 发现功能。 有关通过 Defender for Endpoint 实现影子 IT 治理功能的更多信息,请参阅使用 Microsoft Defender for Endpoint 治理发现的应用

先决条件

  • Microsoft Defender for Cloud Apps 许可证

  • 下列类型作之一:

    • Microsoft Defender for Endpoint 计划 2
    • 具有高级或独立许可证的 Microsoft Defender 商业版

    有关更多信息,请参阅比较 Microsoft 端点安全计划

  • 使用以下操作系统之一的应用:

    • Windows 10 版本 1709(包含 KB4493441 的 OS 内部版本 16299.1085)
    • Windows 10 版本 1803(包含 KB4493464 的 OS 内部版本 17134.704)
    • Windows 10 版本 1809(包含 KB4489899 的 OS 内部版本 17763.379),或更高版本的 Windows 10 和 Windows 11
    • macOS,在具有 Defender for Endpoint 版本 20.123072.25.0 或更高版本的设备上

  • 要支持 macOS 应用的集成,必须在 Microsoft Defender for Endpoint 中打开网络保护功能。 由于网络保护只审核 TCP 连接关闭事件,因此 macOS 不支持 UDP 协议。 有关详细信息,请参阅开启网络保护

  • (推荐)启用 Microsoft Defender 防病毒:

注意

虽然强烈建议使用 Microsoft Defender Antivirus 进行病毒检测,但这并非强制性的。 禁用 Defender 防病毒后,仍可使用某些发现数据。

工作原理

Defender for Cloud Apps 本身使用上传的日志或通过配置自动日志上传从端点收集日志。 开箱即用的集成允许利用 Defender for Endpoint 的代理在 Windows 上运行并监控网络事务时创建的日志。 使用此信息在网络上的 Windows 设备上进行影子 IT 发现。

集成不需要额外的部署步骤,也不需要从终结点路由或镜像流量,工作方式如下:

  • 从终结点发送到 Defender for Cloud Apps 的日志为流量活动提供用户和设备信息。 将设备上下文与用户名配对,可全面了解网络,使你能够确定哪个用户在哪个设备上进行了哪些活动。
  • 识别出风险用户后,检查该用户访问过的设备,以发现潜在风险。 如果发现有风险的设备,检查所有使用过该设备的用户以检测进一步的潜在风险。
  • 一旦收集到流量信息,就可以深入研究云应用程序在组织中的使用情况。 Defender for Cloud Apps 利用 Defender for Endpoint 网络保护功能来阻止端点设备访问云应用。 有关治理发现的应用的更多信息,请参阅使用 Microsoft Defender for Endpoint 治理发现的应用

与 macOS 设备集成的客户可能会发现 CPU 消耗量激增。

提示

观看视频,了解将 Defender for Endpoint 与 Defender for Cloud Apps 结合使用的优势。

将 Microsoft Defender for Endpoint 与 Defender for Cloud Apps 集成

要启用 Defender for Endpoint 与 Defender for Cloud Apps 集成:

  1. Microsoft Defender 门户中,从导航窗格中选择设置>端点>常规>高级功能
  2. Microsoft Defender for Cloud Apps 切换到“开启”
  3. 选择“应用”。

注意

启用集成后,数据最多需要两个小时才能显示在 Defender for Cloud Apps 中。

Defender for Endpoint 设置的屏幕截图。

要配置发送到 Microsoft Defender for Endpoint 的警报的严重性:

  1. 在 Microsoft Defender 门户中,选择设置>云应用>云发现> Microsoft Defender for Endpoint

  2. 在“警报”下,选择警报的全局严重性级别。

  3. 选择“保存”。

    Defender for Endpoint 通知设置的屏幕截图。

后续步骤

调查 Microsoft Defender for Endpoint 发现的应用

管理 Microsoft Defender for Endpoint 发现的应用

使用 Defender for Endpoint 发现和阻止影子 IT

公司网络之外的影子 IT 发现

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证