Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для конечной точки — это платформа безопасности для интеллектуальной защиты, обнаружения, исследования и реагирования. Defender для конечной точки защищает конечные точки от киберугроз, обнаруживает расширенные атаки и нарушения безопасности, автоматизирует инциденты безопасности и улучшает состояние безопасности.
Интеграция между Microsoft Defender for Cloud Apps и Microsoft Defender для конечной точки упрощает обнаружение облака и позволяет проводить исследование на основе устройств.
Важно!
В этой статье рассматриваются возможности обнаружения теневого ИТ на основе журналов Defender для конечных точек. Дополнительные сведения о возможностях управления теневыми ИТ-ресурсами с помощью Defender для конечной точки см. в статье Управление обнаруженными приложениями с помощью Microsoft Defender для конечной точки.
Предварительные условия
Лицензия Microsoft Defender for Cloud Apps
Устройства должны быть подключены к Microsoft Defender для конечной точки
Один из следующих продуктов:
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender для бизнеса (автономная или в составе Microsoft 365 бизнес премиум)
Дополнительные сведения см. в статье Сравнение планов безопасности конечных точек Майкрософт.
Приложения, использующие одну из следующих операционных систем:
- Windows 10 версии 1709 (сборка ОС 16299.1085 с обновлением KB4493441)
- Windows 10 версии 1803 (сборка ОС 17134.704 с обновлением KB4493464)
- Windows 10 версии 1809 (сборка ОС 17763.379 с KB4489899) или более поздние версии Windows 10 и Windows 11
- macOS, на устройствах с Defender для конечных точек версии 20.123072.25.0 или выше
Для поддержки интеграции приложений macOS необходимо включить возможности защиты сети в Microsoft Defender для конечной точки. Так как защита сети проверяет только события закрытия TCP-подключения, протоколы UDP не охватываются для поддержки macOS. Дополнительные сведения см. в статье Включение защиты сети.
(Рекомендуется) Включите антивирусную программу Microsoft Defender:
Примечание.
Хотя для обнаружения настоятельно рекомендуется использовать антивирусную программу Microsoft Defender, она не является обязательной. Некоторые данные обнаружения по-прежнему доступны при отключении антивирусная программа Defender.
Принципы действия
Самостоятельно Defender for Cloud Apps собирает журналы из конечных точек с помощью отправляемых журналов или путем настройки автоматической отправки журналов. Готовая интеграция позволяет использовать журналы, которые создает агент Defender for Endpoint при работе в Windows и мониторинге сетевого трафика. Используйте эти журналы сетевых транзакций Defender for Endpoint для обнаружения теневых ИТ-ресурсов на устройствах Windows в вашей сети.
Интеграция не требует дополнительных шагов развертывания, маршрутизации или зеркального отображения трафика от конечных точек и работает следующим образом:
- Журналы с ваших конечных точек, отправляемые в Defender for Cloud Apps, предоставляют сведения о пользователе и устройстве для сетевой активности. Связывание контекста устройства с именем пользователя обеспечивает полную картину в сети, что позволяет определить, какой пользователь выполнял действия с какого устройства.
- Если вы выявили рискованного пользователя, проверьте устройства, к которым этот пользователь получал доступ, чтобы выявить потенциальные риски. Если вы выявили рискованное устройство, проверьте всех пользователей, которые его использовали, чтобы выявить дополнительные потенциальные риски.
- После сбора сведений о трафике вы можете подробно изучить использование облачных приложений в вашей организации. Defender for Cloud Apps использует возможности Защиты сети Defender для конечной точки, чтобы заблокировать доступ устройств конечной точки к облачным приложениям. Дополнительные сведения об управлении обнаруженными приложениями см. в разделе Управление обнаруженными приложениями с помощью Microsoft Defender для конечной точки.
Клиенты, интегрирующиеся с устройствами macOS, могут наблюдать всплеск потребления ЦП.
Совет
Просмотрите эти видеоролики о преимуществах использования Defender для конечных точек с Defender for Cloud Apps: Обнаружение и блокировка теневых ИТ-ресурсов с помощью Defender для конечных точек и Обнаружение теневых ИТ-ресурсов за пределами корпоративной сети.
Интегрируйте Microsoft Defender для конечных точек с Defender for Cloud Apps
Используйте портал Microsoft Defender, центральный портал управления для служб Microsoft Defender, чтобы настроить интеграцию.
Чтобы включить интеграцию Defender for Endpoint с Defender for Cloud Apps:
- На портале Microsoft Defender в области навигации выберите Параметры>Конечные точки>Общие>Дополнительные функции.
- Переключите Microsoft Defender for Cloud Apps в значение Вкл.
- Выберите Сохранить параметры.
Примечание.
После включения интеграции может пройти до двух часов, прежде чем данные появятся в Defender for Cloud Apps.
Чтобы настроить уровень серьезности для оповещений, отправляемых в Microsoft Defender для конечной точки, выполните следующие действия.
На портале Microsoft Defender выберите Параметры>Облачные приложения>Обнаружение облака>Microsoft Defender для конечных точек.
В разделе Оповещения выберите глобальный уровень серьезности для оповещений.
Выберите Сохранить.
Дальнейшие действия
После включения интеграции используйте следующие статьи для изучения обнаруженных приложений и управления ими:
Связанные видео
В следующих видео представлены дополнительные сведения и примеры по использованию Defender for Endpoint вместе с Defender for Cloud Apps.
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.