Интегрируйте Microsoft Defender для конечной точки с Microsoft Defender для облачных приложений

Microsoft Defender для конечной точки — это платформа безопасности для интеллектуальной защиты, обнаружения, исследования и реагирования. Defender для конечной точки защищает конечные точки от киберугроз, обнаруживает расширенные атаки и нарушения безопасности, автоматизирует инциденты безопасности и улучшает состояние безопасности.

Интеграция между Microsoft Defender for Cloud Apps и Microsoft Defender для конечной точки упрощает обнаружение облака и позволяет проводить исследование на основе устройств.

Важно!

В этой статье рассматриваются возможности обнаружения теневого ИТ на основе журналов Defender для конечных точек. Дополнительные сведения о возможностях управления теневыми ИТ-ресурсами с помощью Defender для конечной точки см. в статье Управление обнаруженными приложениями с помощью Microsoft Defender для конечной точки.

Предварительные условия

Примечание.

Хотя для обнаружения настоятельно рекомендуется использовать антивирусную программу Microsoft Defender, она не является обязательной. Некоторые данные обнаружения по-прежнему доступны при отключении антивирусная программа Defender.

Принципы действия

Самостоятельно Defender for Cloud Apps собирает журналы из конечных точек с помощью отправляемых журналов или путем настройки автоматической отправки журналов. Готовая интеграция позволяет использовать журналы, которые создает агент Defender for Endpoint при работе в Windows и мониторинге сетевого трафика. Используйте эти журналы сетевых транзакций Defender for Endpoint для обнаружения теневых ИТ-ресурсов на устройствах Windows в вашей сети.

Интеграция не требует дополнительных шагов развертывания, маршрутизации или зеркального отображения трафика от конечных точек и работает следующим образом:

  • Журналы с ваших конечных точек, отправляемые в Defender for Cloud Apps, предоставляют сведения о пользователе и устройстве для сетевой активности. Связывание контекста устройства с именем пользователя обеспечивает полную картину в сети, что позволяет определить, какой пользователь выполнял действия с какого устройства.
  • Если вы выявили рискованного пользователя, проверьте устройства, к которым этот пользователь получал доступ, чтобы выявить потенциальные риски. Если вы выявили рискованное устройство, проверьте всех пользователей, которые его использовали, чтобы выявить дополнительные потенциальные риски.
  • После сбора сведений о трафике вы можете подробно изучить использование облачных приложений в вашей организации. Defender for Cloud Apps использует возможности Защиты сети Defender для конечной точки, чтобы заблокировать доступ устройств конечной точки к облачным приложениям. Дополнительные сведения об управлении обнаруженными приложениями см. в разделе Управление обнаруженными приложениями с помощью Microsoft Defender для конечной точки.

Клиенты, интегрирующиеся с устройствами macOS, могут наблюдать всплеск потребления ЦП.

Совет

Просмотрите эти видеоролики о преимуществах использования Defender для конечных точек с Defender for Cloud Apps: Обнаружение и блокировка теневых ИТ-ресурсов с помощью Defender для конечных точек и Обнаружение теневых ИТ-ресурсов за пределами корпоративной сети.

Интегрируйте Microsoft Defender для конечных точек с Defender for Cloud Apps

Используйте портал Microsoft Defender, центральный портал управления для служб Microsoft Defender, чтобы настроить интеграцию.

Чтобы включить интеграцию Defender for Endpoint с Defender for Cloud Apps:

  1. На портале Microsoft Defender в области навигации выберите Параметры>Конечные точки>Общие>Дополнительные функции.
  2. Переключите Microsoft Defender for Cloud Apps в значение Вкл.
  3. Выберите Сохранить параметры.

Примечание.

После включения интеграции может пройти до двух часов, прежде чем данные появятся в Defender for Cloud Apps.

Снимок экрана страницы параметров расширенных функций Defender for Endpoint с включенным переключателем Microsoft Defender for Cloud Apps.

Чтобы настроить уровень серьезности для оповещений, отправляемых в Microsoft Defender для конечной точки, выполните следующие действия.

  1. На портале Microsoft Defender выберите Параметры>Облачные приложения>Обнаружение облака>Microsoft Defender для конечных точек.

  2. В разделе Оповещения выберите глобальный уровень серьезности для оповещений.

  3. Выберите Сохранить.

    Снимок экрана, на котором показаны параметры оповещений Microsoft Defender для конечной точки.

Дальнейшие действия

После включения интеграции используйте следующие статьи для изучения обнаруженных приложений и управления ими:

В следующих видео представлены дополнительные сведения и примеры по использованию Defender for Endpoint вместе с Defender for Cloud Apps.

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.