Интегрируйте Defender for Cloud Apps со Zscaler

Если вы работаете как с Microsoft Defender for Cloud Apps, так и с Zscaler, интегрируйте их, чтобы улучшить возможности облачного обнаружения. Zscaler как автономный облачный прокси-сервер отслеживает трафик вашей организации и позволяет задавать политики для блокировки транзакций. Вместе Defender for Cloud Apps и Zscaler предоставляют следующие возможности:

  • Беспрепятственное обнаружение облачных приложений: Используйте Zscaler для проксирования трафика и его отправки в Defender for Cloud Apps. Интеграция этих двух служб означает, что вам не нужно устанавливать сборщики журналов в конечных точках сети, чтобы включить обнаружение в облаке.
  • Автоматическая блокировка. После настройки интеграции возможности блоков Zscaler автоматически применяются к любым приложениям, которые вы задали как несанкционированные в Defender for Cloud Apps.
  • Расширенные данные Zscaler: дополните портал Zscaler функцией оценки рисков для ведущих облачных приложений в Defender for Cloud Apps, которую можно просматривать непосредственно в портале Zscaler.

Предварительные условия

  • Действительная лицензия на Microsoft Defender for Cloud Apps или действительная лицензия на Microsoft Entra ID P1
  • Действительная лицензия для Zscaler Cloud 5.6
  • Активная подписка Zscaler NSS

Развертывание интеграции Zscaler

  1. На портале Zscalar настройте интеграцию Zscaler для Defender for Cloud Apps. Дополнительные сведения см. в документации по Zscaler.

  2. В Microsoft Defender XDR выполните интеграцию, выполнив следующие действия.

    1. Выберите Параметры>Облачные приложения>Обнаружение облачных приложений>Автоматическая отправка журналов>+Добавить источник данных.

    2. На странице Добавление источника данных введите следующие параметры:

      • Имя = NSS
      • Источник = Zscaler QRadar LEEF
      • Тип приемника = Syslog — UDP

      Например:

      Снимок экрана: добавление источника данных Zscaler.

      Примечание.

      Убедитесь, что имя источника данных — NSS. Дополнительные сведения о настройке каналов NSS см. в разделе Добавление каналов NSS в Defender for Cloud Apps.

    3. Чтобы просмотреть образец журнала обнаружения, выберите Просмотреть образец ожидаемого файла журнала>Скачать образец журнала. Убедитесь, что скачанный пример журнала соответствует вашим файлам журнала.

После завершения шагов интеграции любое приложение, которое вы пометили как несанкционированное в Defender for Cloud Apps, Zscaler опрашивает каждые два часа, после чего блокирует его в соответствии с вашей конфигурацией Zscaler. Дополнительные сведения см. в разделе Санкционирование и отмена регистрации приложения.

Продолжайте изучение облачных приложений, обнаруженных в вашей сети. Дополнительные сведения и действия по изучению см. в статье Работа с облачным обнаружением.

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.