Управление обнаруженными приложениями в Microsoft Defender для конечной точки

Интеграция Defender for Cloud Apps с Microsoft Defender для конечной точки обеспечивает единое решение для видимости и контроля теневого ИТ. Наша интеграция позволяет администраторам Defender for Cloud Apps блокировать конечным пользователям доступ к облачным приложениям благодаря встроенной интеграции средств управления app governance в Defender for Cloud Apps с функцией сетевой защиты Microsoft Defender для конечных точек. Кроме того, администраторы могут применять более мягкий подход, предупреждая пользователей при доступе к рискованным облачным приложениям.

Defender for Cloud Apps использует встроенный тег приложения Unsanctioned, чтобы пометить облачные приложения как запрещенные для использования, доступные на страницах каталога Cloud Discovery и Cloud App. Дополнительные сведения см. в разделе "Санкция" или "отмена" приложения. Включив интеграцию с Defender для конечной точки, вы можете легко заблокировать доступ к несанкционированным приложениям одним щелчком мыши в Defender for Cloud Apps.

Приложения, помеченные как Несанкционированные в Defender for Cloud Apps автоматически синхронизируются с Defender для конечной точки. В частности, домены, используемые этими несанкционированными приложениями, передаются на конечные устройства, чтобы Microsoft Defender Antivirus блокировал их в рамках SLA функции защиты сети.

Примечание.

Задержка времени блокировки приложения через Defender для конечной точки составляет до трех часов с момента пометки приложения как несанкционированного в Defender for Cloud Apps до момента блокировки приложения на устройстве. Эта задержка обусловлена тем, что синхронизация данных о санкционированных и несанкционированных приложениях из Defender for Cloud Apps в Defender for Endpoint может занимать до одного часа, а применение политики на устройствах для блокировки приложения после создания индикатора в Defender for Endpoint — до двух часов.

Предварительные условия

Включение блокировки облачных приложений с помощью Defender для конечной точки

Чтобы включить управление доступом для облачных приложений, выполните следующие действия.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Cloud Discovery выберите Microsoft Defender для конечной точки, а затем — Применить доступ к приложению.

    Снимок экрана: включение блокировки с помощью Defender для конечной точки.

    Примечание.

    Действие этого параметра может занять до 30 минут.

  2. В Microsoft Defender XDR перейдите в Параметры>Конечные точки>Дополнительные возможности, а затем выберите Настраиваемые сетевые индикаторы. Сведения о индикаторах сети см. в статье Создание индикаторов для IP-адресов и URL-адресов и доменов.

    Включение пользовательских сетевых индикаторов позволяет использовать Microsoft Defender возможности защиты от антивирусной сети для блокировки доступа к предопределенным наборам URL-адресов с помощью Defender for Cloud Apps, вручную санкционируя или отменяя действия приложений с помощью тегов приложений или автоматически создавая политику обнаружения приложений.

    Снимок экрана: включение пользовательских сетевых индикаторов в Defender для конечной точки.

Информируйте пользователей при доступе к заблокированным приложениям & настраивайте страницу блокировки

Теперь администраторы могут настраивать и внедрять URL-адрес поддержки или справки для страниц блокировки. С помощью этой конфигурации администраторы могут обучать пользователей при доступе к заблокированным приложениям. Пользователям отображается настраиваемая ссылка для перенаправления на страницу компании со списком приложений, заблокированных для использования, а также с необходимыми действиями, которые нужно выполнить, чтобы получить исключение на страницах блокировки. Конечные пользователи будут перенаправлены на этот URL-адрес, настроенный администратором при нажатии кнопки "Посетить страницу поддержки" на странице блокировки.

Defender for Cloud Apps использует встроенный тег несанкционированного приложения, чтобы пометить облачные приложения как заблокированные для использования. Тег доступен на страницах Cloud Discovery и Cloud App Catalog . Включив интеграцию с Defender для конечной точки, вы можете легко обучать пользователей приложениям, заблокированным для использования, и действиям по защите исключения одним щелчком мыши в Defender for Cloud Apps.

Приложения, помеченные как Unsanctioned , автоматически синхронизируются с пользовательскими индикаторами URL-адресов Defender для конечной точки, как правило, в течение нескольких минут. В частности, домены, используемые заблокированными приложениями, передаются на конечные устройства, чтобы Microsoft Defender Antivirus мог отображать уведомление в пределах SLA функции "Защита сети".

Настройка настраиваемого URL-адреса перенаправления для страницы блока

Выполните следующие действия, чтобы настроить пользовательский URL-адрес справки и поддержки, указывающий на веб-страницу компании или ссылку sharepoint, где вы можете рассказать сотрудникам о том, почему им заблокирован доступ к приложению, а также предоставить список шагов по защите исключения или предоставить общий доступ к корпоративной политике доступа в соответствии с принятием риска в вашей организации.

  1. На портале Microsoft Defender выберите Параметры>Облачные приложения>Обнаружение облачных приложений>Microsoft Defender для конечной точки.

  2. В раскрывающемся списке Оповещения выберите Информационный.

  3. В разделе Предупреждения пользователей>URL-адрес уведомления для заблокированных приложений введите свой URL-адрес. Например, вы можете:

    Снимок экрана: настройка добавления пользовательского URL-адреса для заблокированных приложений.

Отключение информационных оповещений о несанкционированном доступе к приложениям (предварительная версия)

По умолчанию при доступе пользователей к несанкционированным приложениям Defender for Cloud Apps создает информационное оповещение. Чтобы уменьшить шум оповещений и улучшить фокус SOC в Microsoft Defender XDR, эти оповещения можно отключить с помощью переключателя Создать оповещение для заблокированного доступа к приложению.

Если переключатель выключен, выполните следующие действия.

  • Defender for Cloud Apps прекращает создавать оповещения о несанкционированном или заблокированном доступе к приложениям.
  • Существующие оповещения не удаляются задним числом.
  • Другие оповещения Cloud Discovery или Defender остаются неизменными.
  • Принудительное применение блокировки продолжает работать должным образом.

Чтобы отключить информационные оповещения, выполните приведенные далее действия.

  1. На портале Microsoft Defender выберите Настройка & параметры конфигурации>Облачные>приложения>Cloud Discovery>Microsoft Defender для конечной точки.
  2. Найдите переключатель Создать оповещение о заблокированном доступе приложения.
  3. Отключите переключатель, чтобы отключить информационные оповещения для заблокированного доступа к приложениям.

Блокировка приложений для определенных групп устройств

Чтобы заблокировать использование определенных групп устройств, сделайте следующее:

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. Затем в разделе Обнаружение облачных приложений выберите Теги приложений и перейдите на вкладку Профили с заданной областью.

  2. Выберите Добавить профиль. Профиль определяет сущности, к которым применяется блокировка и разблокировка приложений.

  3. Укажите описательное имя и описание профиля.

  4. Выберите, должен ли профиль быть профилем включения или исключения .

    • Включить: только включённый набор сущностей будет подпадать под принудительное применение правил доступа. Например, профиль myContoso имеет значение Include для групп устройств A и B. Блокировка приложения Y с профилем myContoso заблокирует доступ к приложениям только для групп A и B.

    • Исключение: К исключённому набору сущностей не будут применяться правила доступа. Например, профиль myContoso содержит исключение для групп устройств A и B. Блокировка приложения Y с профилем myContoso заблокирует доступ к приложениям для всей организации, за исключением групп A и B.

  5. Выберите соответствующие группы устройств для профиля. Перечисленные группы устройств получены из Microsoft Defender для конечной точки. Дополнительные сведения см. в разделе Создание группы устройств.

  6. Выберите Сохранить.

    Снимок экрана: вкладка

Чтобы заблокировать приложение, сделайте следующее:

  1. На портале Microsoft Defender в разделе Облачные приложения перейдите на вкладку Cloud Discovery и перейдите на вкладку Обнаруженные приложения.

  2. Выберите приложение, которое должно быть заблокировано.

  3. Пометьте приложение как Unsanctioned.

    Снимок экрана страницы Defender for Cloud Apps для пометки обнаруженного приложения как несанкционированного.

  4. Чтобы заблокировать все устройства в организации, в диалоговом окне Тег как несанкционированное выберитеСохранить. Чтобы заблокировать определенные группы устройств в организациях, выберите Выбрать профиль, чтобы включить или исключить группы из блокировки. Затем выберите профиль, для которого приложение будет заблокировано, и нажмите кнопку Сохранить.

    Снимок экрана: диалоговое окно выбора профиля, используемое для выбора профиля с заданной областью действия при пометке приложения как несанкционированного.

    Диалоговое окно Пометить как несанкционированное? отображается, только если в вашем арендаторе включена блокировка облачных приложений в Defender for Endpoint, а также если у вас есть права администратора для внесения изменений.

Примечание.

  • Возможность применения основана на пользовательских индикаторах URL в Defender for Endpoint.
  • Любая область действия на уровне организации, заданная вручную для индикаторов, созданных в Defender for Cloud Apps до выхода этой функции, будет переопределена Defender for Cloud Apps. Необходимую область действия следует настроить в интерфейсе Defender for Cloud Apps с помощью функции профилей с областью действия.
  • Чтобы удалить выбранный профиль области действия из неутверждённого приложения, удалите тег неутверждённого, а затем заново пометьте приложение тегом с необходимым профилем области действия.
  • После назначения доменам приложений соответствующего тега и/или области действия их распространение и обновление на конечных устройствах может занять до двух часов.
  • Если приложение помечено как Отслеживаемое, параметр применения профиля с заданной областью отображается только в том случае, если встроенный источник данных Win10 Endpoint Users последовательно получал данные в течение последних 30 дней.
  • Группы устройств в Microsoft Defender для бизнеса (MDB) управляются по-разному. Из-за этого группы устройств не будут отображаться в группах устройств MDA для клиентов с лицензией MDB.

Предупреждать пользователей при доступе к рискованным приложениям

Администраторы могут предупреждать пользователей, когда они получают доступ к приложениям, рискованным. Вместо блокировки пользователей им показывается сообщение, содержащее настраиваемую ссылку для перенаправления на страницу компании со списком приложений, разрешённых к использованию. Запрос предупреждения предоставляет пользователям возможность обойти предупреждение и продолжить работу с приложением. Администраторы также могут отслеживать количество пользователей, которые обходят предупреждающее сообщение.

Defender for Cloud Apps использует встроенный тег отслеживаемого приложения, чтобы пометить облачные приложения как рискованные для использования. Тег доступен на страницах Cloud Discovery и Cloud App Catalog . Включив интеграцию с Defender для конечной точки, вы можете легко предупреждать пользователей о доступе к отслеживаемым приложениям одним щелчком мыши в Defender for Cloud Apps.

Приложения, помеченные как Отслеживаемые , автоматически синхронизируются с пользовательскими индикаторами URL-адресов Defender для конечной точки, как правило, в течение нескольких минут. В частности, домены, используемые контролируемыми приложениями, передаются на конечные устройства, чтобы Microsoft Defender Antivirus мог выводить предупреждение в рамках SLA функции Network Protection.

Настройка настраиваемого URL-адреса перенаправления для предупреждаемого сообщения

Выполните следующие действия, чтобы настроить пользовательский URL-адрес, указывающий на веб-страницу компании, где вы можете рассказать сотрудникам о том, почему они были предупреждены, и предоставить список альтернативных утвержденных приложений, которые соответствуют принятию рисков вашей организацией или уже управляются организацией.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Cloud Discovery выберите Microsoft Defender для конечной точки.

  2. В поле URL-адрес уведомления введите СВОЙ URL-адрес.

    Снимок экрана: настройка URL-адреса уведомления.

Настройка длительности обхода пользователей

Так как пользователи могут обойти предупреждающее сообщение, можно выполнить следующие действия, чтобы настроить, сколько времени обход остается в силе. По истечении длительности пользователи получают предупреждение при следующем доступе к отслеживаемом приложению.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Cloud Discovery выберите Microsoft Defender для конечной точки.

  2. В поле Длительность обхода введите длительность (часы) обхода пользователя.

    Снимок экрана: настройка длительности обхода.

Мониторинг примененных элементов управления приложениями

После применения элементов управления доступом, блокировки или обхода можно отслеживать шаблоны использования приложений для этих элементов управления, выполнив следующие действия.

  1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите на вкладку Cloud Discovery и перейдите на вкладку "Обнаруженные приложения". Используйте обнаруженные фильтры запросов приложений для поиска соответствующего отслеживаемого приложения.
  2. Выберите имя приложения, чтобы просмотреть примененные элементы управления приложения на странице обзора приложения.

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.