将 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud Apps 集成

Microsoft Defender for Endpoint 是一个提供智能保护、检测、调查和响应的安全平台。 Defender for Endpoint 可保护终结点免受网络威胁、检测高级攻击和数据泄露，并自动执行安全事件以及改善安全状况。

本文介绍了 Microsoft Defender for Cloud Apps 和 Microsoft Defender for Endpoint 之间的开箱即用集成，该集成可简化云发现并启用基于设备的调查。

重要

本文重点介绍 Defender for Endpoint 日志中的影子 IT 发现功能。有关通过 Defender for Endpoint 实现影子 IT 治理功能的更多信息，请参阅使用 Microsoft Defender for Endpoint 治理发现的应用。

先决条件

Microsoft Defender for Cloud Apps 许可证
下列类型作之一：
- Microsoft Defender for Endpoint 计划 2
- 具有高级或独立许可证的 Microsoft Defender 商业版
有关更多信息，请参阅比较 Microsoft 端点安全计划。
使用以下操作系统之一的应用：
- Windows 10 版本 1709（包含 KB4493441 的 OS 内部版本 16299.1085）
- Windows 10 版本 1803（包含 KB4493464 的 OS 内部版本 17134.704）
- Windows 10 版本 1809（包含 KB4489899 的 OS 内部版本 17763.379），或更高版本的 Windows 10 和 Windows 11
- macOS，在具有 Defender for Endpoint 版本 20.123072.25.0 或更高版本的设备上
要支持 macOS 应用的集成，必须在 Microsoft Defender for Endpoint 中打开网络保护功能。由于网络保护只审核 TCP 连接关闭事件，因此 macOS 不支持 UDP 协议。有关详细信息，请参阅开启网络保护
（推荐）启用 Microsoft Defender 防病毒：
- 实时保护已启用
- 云端保护已启用
- 网络保护已启用并配置为阻止模式

注意

虽然强烈建议使用 Microsoft Defender Antivirus 进行病毒检测，但这并非强制性的。禁用 Defender 防病毒后，仍可使用某些发现数据。

Defender for Cloud Apps 本身使用上传的日志或通过配置自动日志上传从端点收集日志。开箱即用的集成允许利用 Defender for Endpoint 的代理在 Windows 上运行并监控网络事务时创建的日志。使用此信息在网络上的 Windows 设备上进行影子 IT 发现。

集成不需要额外的部署步骤，也不需要从终结点路由或镜像流量，工作方式如下：

从终结点发送到 Defender for Cloud Apps 的日志为流量活动提供用户和设备信息。将设备上下文与用户名配对，可全面了解网络，使你能够确定哪个用户在哪个设备上进行了哪些活动。
识别出风险用户后，检查该用户访问过的设备，以发现潜在风险。如果发现有风险的设备，检查所有使用过该设备的用户以检测进一步的潜在风险。
一旦收集到流量信息，就可以深入研究云应用程序在组织中的使用情况。 Defender for Cloud Apps 利用 Defender for Endpoint 网络保护功能来阻止端点设备访问云应用。有关治理发现的应用的更多信息，请参阅使用 Microsoft Defender for Endpoint 治理发现的应用。

与 macOS 设备集成的客户可能会发现 CPU 消耗量激增。

提示

观看视频，了解将 Defender for Endpoint 与 Defender for Cloud Apps 结合使用的优势。