将 Defender for Cloud Apps 与 Zscaler 集成
如果同时使用 Microsoft Defender for Cloud Apps 和 Zscaler,则可以集成这两个产品来增强 Cloud Discovery 体验。 Zscaler 作为独立的云代理,可以监控组织的流量,允许设置阻止事务的策略。 Defender for Cloud Apps 和 Zscaler 共同提供以下功能:
- 无缝部署 Cloud Discovery:使用 Zscaler 代理流量并将其发送到 Defender for Cloud Apps。 集成这两项服务意味着无需在网络端点上安装日志收集器即可启用Cloud Discovery。
- 自动阻止:配置集成后,Zscaler 的阻止功能会自动应用于在 Defender for Cloud Apps 中设置为 未批准的 应用。
- Zscalar 数据增强: Cloud App Security 对领先云应用的风险评估(可在 Zscaler 门户中直接查看),增强了 Zscaler 门户的安全性。
先决条件
- Microsoft Defender for Cloud Apps 的有效许可证,或 Microsoft Entra ID P1 的有效许可证
- Zscaler Cloud 5.6 的有效许可证
- 有效的 Zscaler NSS 订阅
部署 Zscaler 集成
在 Zscalar 门户中,为 Defender for Cloud Apps 配置 Zscaler 集成。 有关更多信息,请参阅 Zscaler 文档。
在 Microsoft Defender XDR 中,通过以下步骤完成集成:
选择设置>云应用>Cloud Discovery>日志自动上传>+添加数据源。
在“添加数据源”页面上,输入以下设置:
- 名称 = NSS
- 源 = Zscaler QRadar LEEF
- 接收器类型 = Syslog - UDP
例如:
注意
确保数据源名为 NSS。 有关设置 NSS 源的更多信息,请参阅 添加 Defender for Cloud Apps NSS 源。
要查看 Discovery 示例日志,请选择查看预期日志文件示例>下载示例日志。 确保下载的示例日志与日志文件匹配。
完成集成步骤后,在 Defender for Cloud Apps 中设置为 未批准的应用由 Zscaler 每两小时 ping 一次,然后由 Zscaler 根据 Zscalar 配置进行阻止。 有关更多信息,请参阅批准/取消批准应用。
继续调查网络上发现的云应用。 要了解详细信息和调查步骤,请参阅使用 Cloud Discovery。
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。