将 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud Apps 集成

  • 项目

重要

本文档重点介绍 Defender for Endpoint 日志中的影子 IT 发现功能。 有关通过 Defender for Endpoint 实现影子 IT 治理功能的更多信息,请参阅使用 Microsoft Defender for Endpoint 治理发现的应用

Microsoft Defender for Cloud Apps 与 Microsoft Defender for Endpoint 本机集成。 集成简化了 Cloud Discovery 的推出,支持基于设备的调查。 Microsoft Defender for Endpoint 是一个提供智能保护、检测、调查和响应的安全平台。 Defender for Endpoint 可保护终结点免受网络威胁、检测高级攻击和数据泄露,并自动执行安全事件以及改善安全状况。

Defender for Cloud Apps 使用 Defender for Endpoint 收集的流量信息,了解从以下先决条件中指定的 IT 受管理设备访问的云应用和服务。

该集成不需要任何其他部署,可以直接从 Defender for Endpoint 和 Microsoft Defender XDR 中的设置启用。 无需对来自终结点的流量进行路由或镜像,或执行复杂的集成步骤。 从端点发送到 Defender for Cloud Apps 的日志为流量活动提供用户和设备信息。 将设备上下文与用户名配对,可全面了解网络,使你能够确定哪个用户在哪个设备上进行了哪些活动。

此外,在发现有风险的用户时,可以检查该用户访问过的所有设备以检测潜在风险。 如果发现有风险的设备,检查所有使用过该设备的用户以检测进一步的潜在风险。

收集流量信息后,你可以深入了解组织中的云应用使用情况。 Defender for Cloud Apps 利用 Defender for Endpoint 网络保护功能来阻止端点设备访问云应用。 有关治理发现的应用的更多信息,请参阅使用 Microsoft Defender for Endpoint 治理发现的应用

先决条件

  • Microsoft Defender for Cloud Apps 许可证

  • 下列类型作之一:

    • Microsoft Defender for Endpoint 计划 2
    • 具有高级或独立许可证的 Microsoft Defender 商业版

    有关更多信息,请参阅比较 Microsoft 端点安全计划

  • Windows 10 版本 1709(具有 KB4493441 的 OS 版本 16299.1085)、Windows 10 版本 1803(具有 KB4493464 的 OS 版本 17134.704)、Windows 10 版本 1809(具有 KB4489899 的 OS 版本 17763.379)或更高版本的 Windows 10 和 Windows 11

  • 启用 Microsoft Defender 防病毒:

注意

强烈建议将 Microsoft Defender 防病毒软件用于发现,但不强制;禁用 Defender 防病毒软件后,某些发现数据仍然可用。

工作原理

Defender for Cloud Apps 本身使用上传的日志或通过配置自动日志上传从端点收集日志。 通过本机集成,可以利用 Defender for Endpoint 代理在 Windows 上运行和监视网络事务时创建的日志。 使用此信息在网络上的 Windows 设备上进行影子 IT 发现。

观看视频,了解将 Defender for Endpoint 与 Defender for Cloud Apps 结合使用的优势。

如何将 Microsoft Defender for Endpoint 与 Defender for Cloud Apps 集成

要启用 Defender for Endpoint 与 Defender for Cloud Apps 集成:

  1. Microsoft Defender XDR 中,从导航窗格中选择“设置”

  2. 选择终结点

  3. 在“常规”下,选择“高级功能”

  4. Microsoft Defender for Cloud Apps 切换到“开启”

  5. 选择“应用”。

    注意

    启用集成后,数据最多需要两个小时才能显示在 Defender for Cloud Apps 中。

    Defender for Endpoint settings.

要配置发送到 Microsoft Defender for Endpoint 的警报的严重性:

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“Cloud Discovery”下,选择“Microsoft Defender for Endpoint”

  2. 在“警报”下,选择警报的全局严重性级别。

  3. 选择“保存”。

    Defender for Endpoint alert settings.

后续步骤

调查 Microsoft Defender for Endpoint 发现的应用

管理 Microsoft Defender for Endpoint 发现的应用

使用 Defender for Endpoint 发现和阻止影子 IT

公司网络之外的影子 IT 发现

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证