Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender for Cloud Apps интегрируется с Microsoft Defender для конечной точки, обеспечивая единое решение для обнаружения и контроля теневых ИТ-ресурсов. Наша интеграция позволяет администраторам Defender for Cloud Apps исследовать обнаруженные устройства, сетевые события и использование приложений. Перед началом работы убедитесь, что выполнены предварительные требования, включая настройку Defender для интеграции конечных точек.
Предварительные условия
Перед выполнением процедур, описанных в этой статье, убедитесь, что вы завершили интеграцию Defender для конечной точки и Defender for Cloud Apps.
Исследование обнаруженных устройств в Defender for Cloud Apps
После интеграции Defender для конечной точки с Defender for Cloud Apps изучите обнаруженные данные устройства на панели мониторинга облачного обнаружения.
На портале Microsoft Defender в разделе Облачные приложения выберитеПанель мониторинга>.
В верхней части страницы выберите конечные точки, управляемые Defender. Поток конечных точек, управляемых Defender, содержит данные из любых операционных систем, упомянутых в Defender for Cloud Apps предварительных требованиях интеграции.
В верхней части панели мониторинга Cloud Discovery вы увидите количество обнаруженных устройств, добавленных после интеграции.
Перейдите на вкладку Устройства .
Откройте подробные сведения о каждом устройстве в списке и используйте вкладки для просмотра данных расследования. Найдите корреляции между устройствами, пользователями, IP-адресами и приложениями, которые были вовлечены в инциденты:
Общие сведения:
- Уровень риска устройства. Показывает, насколько рискованным является профиль устройства по сравнению с другими устройствами в вашей организации, о чем свидетельствует серьезность (высокий, средний, низкий, информационный). Defender for Cloud Apps использует для каждого устройства профили устройств из Defender for Endpoint, созданные на основе методов расширенной аналитики. Действия, аномальные для базовых показателей устройства, оценивают и определяют уровень риска устройства. Используйте уровень риска устройства, чтобы определить, какие устройства следует исследовать в первую очередь.
- Транзакции. Сведения о количестве транзакций, произошедших на устройстве за выбранный период времени.
- Общий трафик. Сведения об общем объеме трафика (в МБ) за выбранный период времени.
- Отправка. Сведения об общем объеме трафика (в МБ), отправленном устройством за выбранный период времени.
- Загрузки: сведения об общем объеме трафика (в МБ), загруженном устройством за выбранный период времени.
Обнаруженные приложения: Список всех обнаруженных приложений, к которым обращалось устройство.
Журнал пользователей: Списки всех пользователей, выполнивших вход на устройство.
История IP-адресов: Список всех IP-адресов, которые были назначены устройству.
Как и в случае с любым другим источником обнаружения облачных ресурсов, вы можете экспортировать данные из отчета о конечных точках, управляемых Defender для дальнейшего анализа.
Примечание.
- Defender for Endpoint пересылает данные в Defender for Cloud Apps частями размером примерно 4 МБ (примерно 4000 транзакций конечных точек)
- Если ограничение в 4 МБ не достигнуто в течение 1 часа, Defender для конечной точки сообщает обо всех транзакциях, выполненных за последний час.
Обнаружение приложений с помощью Microsoft Defender для конечной точки, если конечная точка находится за сетевым прокси-сервером
Defender for Cloud Apps может обнаруживать сетевые события, связанные с теневой ИТ-инфраструктурой, выявленные на устройствах с Defender for Endpoint, которые работают в той же среде, что и сетевой прокси-сервер. Например, если ваше конечное устройство Windows 10 находится в той же среде, что и Zscaler, Defender for Cloud Apps может обнаруживать приложения теневого ИТ через поток Win10 Endpoint Users.
Анализ сетевых событий устройств в Microsoft Defender XDR
Примечание.
Сетевые события следует использовать для исследования обнаруженных приложений и не использовать для отладки отсутствующих данных.
Чтобы получить более детальную видимость сетевой активности устройства в Microsoft Defender для конечной точки, выполните следующие действия.
- На портале Microsoft Defender в разделе Облачные приложения выберите Cloud Discovery. Затем перейдите на вкладку Устройства .
- Выберите компьютер, который вы хотите изучить, а затем выберите в левом верхнем углу Просмотреть в Microsoft Defender для конечной точки.
- В Microsoft Defender XDR, в разделе Активы ->Устройства> {выбранное устройство} выберите Хронология.
- В разделе Фильтры выберите Сетевые события.
- При необходимости изучите сетевые события устройства.
Изучите использование приложений в Microsoft Defender XDR с помощью расширенного поиска угроз
Расширенная охота — это средство поиска угроз на основе запросов в Microsoft Defender XDR, которое позволяет изучить необработанные данные телеметрии. Выполните следующие действия, чтобы получить более детальную видимость сетевых событий, связанных с приложением, в Defender для конечной точки:
На портале Microsoft Defender в разделе Облачные приложения выберите Cloud Discovery. Затем перейдите на вкладку Обнаруженные приложения .
Выберите приложение, которое вы хотите проверить, чтобы открыть его панель.
Выберите список доменов приложения и скопируйте список доменов.
В Microsoft Defender XDR в разделе Охота выберите Расширенная охота.
Вставьте следующий запрос и замените
<DOMAIN_LIST>списком доменов, скопированных ранее.DeviceNetworkEvents | where RemoteUrl has_any ("<DOMAIN_LIST>") | order by Timestamp descЗапустите запрос и изучите сетевые события для этого приложения.
Исследование несанкционированных приложений в Microsoft Defender XDR
При каждой попытке получить доступ к несанкционированным приложениям запускается оповещение в Microsoft Defender XDR с подробными сведениями обо всем сеансе. Сведения об оповещении позволяют выполнять более глубокие исследования попыток доступа к несанкционным приложениям, а также предоставлять дополнительную информацию для использования в исследовании устройств конечной точки.
Иногда доступ к несанкционированным приложениям не блокируется либо из-за неправильной настройки устройства конечной точки, либо из-за того, что политика принудительного применения еще не распространилась на конечную точку. Если доступ к несанкционированному приложению не блокируется из-за неправильной настройки устройства или задержек применения политики, администраторы Defender for Endpoint получают оповещение в Microsoft Defender XDR о том, что несанкционированное приложение не было заблокировано.
Примечание.
- После того как вы пометите приложение как Unsanctioned, может пройти до двух часов, прежде чем домены приложения распространятся на конечные устройства.
- По умолчанию приложения и домены, помеченные как Unsanctioned в Defender for Cloud Apps, будут заблокированы для всех конечных точек в организации.
- В настоящее время полные URL-адреса не поддерживаются для несанкционированных приложений. Таким образом, если пометить приложения, настроенные с полными URL-адресами, как несанкционированные, они не будут переданы в Microsoft Defender для конечной точки и не будут заблокированы. Например,
google.com/driveне поддерживается, аdrive.google.comподдерживается. - Уведомления в браузере могут отличаться в разных браузерах.
Дальнейшие действия
Связанные видео
В следующих видео приведены дополнительные фоновые и пошаговые руководства по обнаружению и расследованию теневых ИТ-специалистов.
Обнаруживайте и блокируйте теневые ИТ-ресурсы с помощью Defender для конечных точек
Обнаружение теневых ИТ-ресурсов за пределами корпоративной сети
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.