Microsoft Defender für die Endpunkt Integration mit Microsoft Cloud App SecurityMicrosoft Defender for Endpoint integration with Microsoft Cloud App Security

Gilt für: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich.Threat protection product names from Microsoft are changing. Weitere Informationen zu diesem und anderen Updates finden Sie hier.Read more about this and other updates here. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.We'll be updating names in products and in the docs in the near future.

Microsoft Cloud App Security ist System intern in Microsoft Defender für Endpoint integriert.Microsoft Cloud App Security integrates with Microsoft Defender for Endpoint natively. Die Integration vereinfacht das Rollout von Cloud Discovery, erweitert Cloud Discovery Funktionen über das Unternehmensnetzwerk hinaus und ermöglicht eine Geräte basierte Untersuchung.The integration simplifies roll out of Cloud Discovery, extends Cloud Discovery capabilities beyond your corporate network, and enables device-based investigation. Microsoft Defender for Endpoint ist eine Sicherheitsplattform für intelligenten Schutz, Erkennung, Untersuchung und Reaktion.Microsoft Defender for Endpoint is a security platform for intelligent protection, detection, investigation, and response. Defender for Endpoint schützt Endpunkte vor Cyberbedrohungen, erkennt erweiterte Angriffe und Datenverletzungen, automatisiert Sicherheitsvorfälle und erhöht den Sicherheitsstatus.Defender for Endpoint protects endpoints from cyber threats, detects advanced attacks and data breaches, automates security incidents, and improves security posture.

Cloud App Security verwendet die von Defender für den Endpunkt gesammelten Datenverkehrs Informationen über die Cloud-apps und-Dienste, auf die von mit der IT verwalteten Windows 10-Geräten zugegriffen wird.Cloud App Security uses the traffic information collected by Defender for Endpoint about the cloud apps and services being accessed from IT-managed Windows 10 devices. Mit der Native Integration können Sie Cloud Discovery auf jedem Gerät im Unternehmensnetzwerk, mithilfe von öffentlichem WLAN, beim Roaming und über den Remote Zugriff ausführen.The native integration enables you to run Cloud Discovery on any device in the corporate network, using public Wi-Fi, while roaming, and over remote access. Außerdem wird eine Geräte basierte Untersuchung ermöglicht.It also enables device-based investigation.

Diese Integration erfordert keine zusätzliche Bereitstellung und ist sofort einsatzbereit.The integration doesn't require any additional deployment and works out of the box. Sie müssen den Datenverkehr nicht von Ihren Endpunkten aus umleiten oder spiegeln und auch keine komplexen Integrationsschritte ausführen.You don't need to route or mirror traffic from your endpoints or do complex integration steps. Protokolle von ihren Endpunkten, die an Cloud App Security gesendet werden, geben Benutzerinformationen für Datenverkehrs Aktivitäten an.Logs from your endpoints sent to Cloud App Security provide user information for traffic activities. Defender for Endpoint Network Activity stellt den Gerätekontext bereit.Defender for Endpoint network activity provides device context. Die Kopplung des Geräte Kontexts mit dem Benutzernamen bietet einen vollständigen Überblick über Ihr Netzwerk, sodass Sie feststellen können, welcher Benutzer welche Aktivität von welchem Gerät hat.Pairing device context with the username provides a full picture across your network enabling you to determine which user did which activity from which device.

Wenn Sie einen riskanten Benutzer identifizieren, können Sie außerdem alle Geräte überprüfen, auf die der Benutzer zugegriffen hat, um potenzielle Risiken zu erkennen.Additionally, when you identify a risky user, you can check all the devices the user accessed to detect potential risks. Wenn Sie ein riskantes Gerät identifizieren, überprüfen Sie alle Benutzer, die Sie verwendet haben, um weitere potenzielle Risiken zu erkennen.If you identify a risky device, check all the users who used it to detect further potential risks.

Sobald Datenverkehrs Informationen gesammelt werden, können Sie sich ausführlich mit der Verwendung von Cloud-apps in Ihrer Organisation beschäftigen.Once traffic information is collected, you are ready to deep dive into cloud app use in your organization. Cloud App Security nutzt Defender for Endpoint Network Protection-Funktionen, um den Endpunkt Gerätezugriff auf Cloud-apps zu blockieren.Cloud App Security takes advantage of Defender for Endpoint Network Protection capabilities to block endpoint device access to cloud apps. Sie können apps blockieren, indem Sie Sie im Portal als nicht sanktioniert markieren.You can block apps by tagging them as Unsanctioned in the portal. Basierend auf der umfassenden Nutzungs-und Risikobewertung für jede nicht sanktionierte App werden die Domänen der APP zum Erstellen von Domänen Indikatoren im Defender for Endpoint-Portal verwendet.Based on the comprehensive usage and risk assessment of each unsanctioned app, the app's domains are used to create domain indicators in the Defender for Endpoint portal. Microsoft Defender Antivirus, das auf Endpunkt Geräten ausgeführt wird, verwendet die Domänen Indikatoren, um den Zugriff auf diese apps zu blockieren.Microsoft Defender Antivirus, running on endpoint devices, uses the domain indicators to block access to these apps.

Hinweis

Möchten Sie Microsoft Defender für Endpoint erleben?Want to experience Microsoft Defender for Endpoint? Registrieren Sie sich für eine kostenlose Testversion.Sign up for a free trial.

VoraussetzungenPrerequisites

FunktionsweiseHow it works

Cloud App Security sammelt eigenständig Protokolle von Ihren Endpunkten mithilfe von Protokollen, die Sie hochladen oder durch die Konfiguration des automatischen Protokolluploads.On its own, Cloud App Security collects logs from your endpoints using either logs you upload or by configuring automatic log upload. Mithilfe der nativen Integration können Sie die Protokolle von Defender für Endpunkte von Endpunkten, die bei der Ausführung unter Windows ausgeführt werden, und die Überwachung von Netzwerk Transaktionen nutzen.Native integration enables you to take advantage of the logs Defender for Endpoint's agent creates when it runs on Windows and monitors network transactions. Verwenden Sie diese Informationen für die Schatten-IT-Ermittlung auf allen Windows-Geräten in Ihrem Netzwerk.Use this information for Shadow IT discovery across the Windows devices on your network.

Damit Sie Cloud Discovery auf anderen Plattformen ausführen können, empfiehlt es sich, sowohl den Cloud App Security Log Collectorals auch Defender for Endpoint Integration zu verwenden, um Ihre Windows 10-Geräte zu überwachen.To enable you to perform Cloud Discovery across other platforms, it's best to use both the Cloud App Security log collector, along with Defender for Endpoint integration to monitor your Windows 10 devices.

Sehen Sie sich unsere Videos mit den Vorteilen der Verwendung von Defender für den Endpunkt mit Cloud App Security an.Watch our videos showing the benefits of using Defender for Endpoint with Cloud App Security.

Integrieren von Microsoft Defender for Endpoint in Cloud App SecurityHow to integrate Microsoft Defender for Endpoint with Cloud App Security

So aktivieren Sie Defender für die Endpunkt Integration mit Cloud App Security:To enable Defender for Endpoint integration with Cloud App Security:

  1. Wählen Sie in Microsoft Defender Security Center im Navigationsbereich die Option Einstellungen aus.In Microsoft Defender Security Center, from the navigation pane, select Settings.
  2. Wählen Sie unter Allgemein die Option Erweiterte Features aus.Under General, select Advanced features.
  3. Wechseln Sie den Umschalter Microsoft Cloud App Security auf Ein.Toggle the Microsoft Cloud App Security to On.
  4. Klicken Sie auf Anwenden.Click Apply.

Hinweis

Nachdem Sie die Integration für die Daten aktiviert haben, dauert es bis zu zwei Stunden, bis diese in Cloud App Security angezeigt werden.It takes up to two hours after you enable the integration for the data to show up in Cloud App Security.

Defender für Endpunkt Einstellungen

So konfigurieren Sie den Schweregrad für Warnungen, die an Microsoft Defender for Endpoint gesendet werden:To configure the severity for alerts sent to Microsoft Defender for Endpoint:

  1. Klicken Sie in Cloud App Security auf das Symbol Einstellungen , und wählen Sie dann Microsoft Defender for Endpoint aus.In Cloud App Security, click the Settings icon, and then select Microsoft Defender for Endpoint.
  2. Wählen Sie unter Warnungen den globalen Schweregrad für Warnungen aus.Under Alerts, select the global severity level for alerts.
  3. Klicken Sie auf Speichern.Click Save.

Defender for Endpoint-Warnungs Einstellungen

Untersuchen von Geräten in Cloud App SecurityInvestigate devices in Cloud App Security

Nachdem Sie Defender für den Endpunkt in Cloud App Security integriert haben, können Sie die ermittelten Gerätedaten im Cloud Discovery Dashboard untersuchen.After you integrate Defender for Endpoint with Cloud App Security, you can investigate discovered device data in the Cloud Discovery dashboard.

  1. Klicken Sie in Cloud App Security auf Cloud Discovery und dann auf Cloud Discovery Dashboard.In Cloud App Security, click Cloud Discovery and then Cloud Discovery dashboard.

  2. Wählen Sie in der oberen Navigationsleiste unter Fortlaufende Berichte die Option Win10-Endpunktbenutzer aus.In the top navigation bar, under Continuous reports, select Win10 endpoint users. Defender for Endpoint-BerichtDefender for Endpoint report

  3. Im oberen Bereich sehen Sie die Anzahl der ermittelten Geräte, die nach der Integration hinzugefügt wurden.Across the top, you'll see the number of discovered devices added after the integration.

  4. Klicken Sie auf die Registerkarte Geräte.Click the Devices tab.

  5. Sie können einen Drilldown zu den einzelnen aufgelisteten Geräten ausführen und die Registerkarten zum Anzeigen der Untersuchungsdaten verwenden.You can drill down into each device that's listed, and use the tabs to view the investigation data. Suchen von Korrelationen zwischen den Geräten, den Benutzern, IP-Adressen und apps, die an Vorfällen beteiligt waren:Find correlations between the devices, the users, IP addresses, and apps that were involved in incidents:

    • ÜbersichtOverview
      • Geräte Risikostufe: zeigt, wie riskant das Geräte Profil in Bezug auf andere Geräte in Ihrer Organisation ist, wie durch den Schweregrad (hoch, Mittel, niedrig, Information) angegeben.Device risk level: Shows how risky the device's profile is relative to other devices in your organization, as indicated by the severity (high, medium, low, informational). Cloud App Security verwendet Geräteprofile von Defender for Endpoint für jedes Gerät basierend auf Advanced Analytics.Cloud App Security uses device profiles from Defender for Endpoint for each device based on advanced analytics. Die Aktivität, die für die Baseline eines Geräts anormale ist, wird ausgewertet und bestimmt die Risikostufe des Geräts.Activity that is anomalous to a device's baseline is evaluated and determines the device's risk level. Verwenden Sie die Geräte Risikostufe, um zu bestimmen, welche Geräte zuerst untersucht werden sollen.Use the device risk level to determine which devices to investigate first.
      • Transaktionen: Informationen zur Anzahl der Transaktionen, die über den ausgewählten Zeitraum auf dem Gerät stattfinden.Transactions: Information about the number of transactions that took place on the device over the selected period of time.
      • Gesamter Datenverkehr: Informationen über die Gesamtmenge des Datenverkehrs (in MB) für den ausgewählten Zeitraum.Total traffic: Information about the total amount of traffic (in MB) over the selected period of time.
      • Uploads: Informationen zur Gesamtmenge an Datenverkehr (in MB), die über den ausgewählten Zeitraum vom Gerät hochgeladen wurde.Uploads: Information about the total amount of traffic (in MB) uploaded by the device over the selected period of time.
      • Downloads: Informationen zur Gesamtmenge an Datenverkehr (in MB), die vom Gerät für den ausgewählten Zeitraum heruntergeladen wurde.Downloads: Information about the total amount of traffic (in MB) downloaded by the device over the selected period of time.
    • Ermittelte AppsDiscovered apps
      Listet alle ermittelten apps auf, auf die das Gerät zugegriffen hat.Lists all the discovered apps that were accessed by the device.
    • BenutzerverlaufUser history
      Listet alle Benutzer auf, die sich am Gerät angemeldet haben.Lists all the users who signed in to the device.
    • IP-AdressverlaufIP address history
      Listet alle IP-Adressen auf, die dem Gerät zugewiesen wurden.Lists all the IP addresses that were assigned to the device. Geräte ÜbersichtDevices overview

Wie bei jeder anderen Cloud Discovery-Quelle können Sie die Daten aus dem Bericht der Win10-Endpunktbenutzer zur weiteren Untersuchung exportieren.As with any other Cloud Discovery source, you can export the data from the Win10 endpoint users report for further investigation.

Hinweis

  • Defender for Endpoint leitet Daten in Blöcken von ca. 4 MB an Cloud App Security weiter (~ 4000 Endpunkt Transaktionen).Defender for Endpoint forwards data to Cloud App Security in chunks of ~4 MB (~4000 endpoint transactions)
  • Wenn der Grenzwert von 4 MB nicht innerhalb von 1 Stunde erreicht wird, meldet Defender for Endpoint alle Transaktionen, die in der letzten Stunde ausgeführt wurden.If the 4 MB limit isn't reached within 1 hour, Defender for Endpoint reports all the transactions performed over the last hour.
  • Wenn sich das Endpunkt Gerät hinter einem Forward-Proxy befindet, sind die Datenverkehrs Daten für Defender für Endpunkte nicht sichtbar und nicht in Cloud Discovery Berichten enthalten.If the endpoint device is behind a forward proxy, traffic data will not be visible to Defender for Endpoints and hence will not be included in Cloud Discovery reports. Es wird empfohlen, die Protokolle des forwardproxys mithilfe des automatisierten Protokoll Uploads an Cloud App Security weiterzuleiten, um eine umfassende Sichtbarkeit zu erhalten.We recommend to routing the forward proxy's logs to Cloud App Security using the Automated log upload in order to get complete visibility. Eine alternative Möglichkeit zum Anzeigen dieses Datenverkehrs und zum Untersuchen von Zugriffs-URLs durch Geräte hinter dem Forwardproxy finden Sie unter über Wachen der Netzwerkverbindung hinter dem vorwärts Proxy.For an alternative way to view this traffic and investigate accessed URLs by devices behind the forward proxy, see Monitoring network connection behind forward proxy.

Untersuchen von Geräte Netzwerk Ereignissen in Defender for EndpointInvestigate device network events in Defender for Endpoint

Führen Sie die folgenden Schritte aus, um eine präzisere Sichtbarkeit der Netzwerkaktivität des Geräts in Microsoft Defender for Endpoint zu erhalten:Use the following steps to gain more granular visibility on device's network activity in Microsoft Defender for Endpoint:

  1. Wählen Sie in Cloud App Security unter Ermittlung die Option Geräte aus.In Cloud App Security, under Discovery and then select Devices.
  2. Wählen Sie den Computer aus, den Sie untersuchen möchten, und klicken Sie dann oben rechts in Microsoft Defender für Endpoint auf Ansicht.Select the machine you want to investigate and then in the top-right click View in Microsoft Defender for Endpoint.
  3. Wählen Sie in Microsoft Defender Security Center unter Geräte > {Ausgewähltes Gerät} die Option Zeitachse aus.In Microsoft Defender Security Center, under Devices > {selected device}, select Timeline.
  4. Wählen Sie unter Filter die Option Netzwerkereignisse aus.Under Filters, select Network events.
  5. Untersuchen Sie die Netzwerkereignisse des Geräts nach Bedarf.Investigate the device's network events as required.

Screenshot der Geräte Zeitachse in Microsoft Defender Security Center

Untersuchen der APP-Verwendung in Defender für den Endpunkt mit erweiterter JagdInvestigate app usage in Defender for Endpoint with advanced hunting

Führen Sie die folgenden Schritte aus, um eine präzisere Sichtbarkeit von App-bezogenen Netzwerk Ereignissen in Defender for Endpoint zu erhalten:Use the following steps to gain more granular visibility on app-related network events in Defender for Endpoint:

  1. Wählen Sie in Cloud App Security unter Ermittlung die Option ermittelt aus.In Cloud App Security, under Discovery and then select Discovered.

  2. Klicken Sie auf die APP, die Sie untersuchen möchten, um Sie zu öffnen.Click on the app you want to investigate to open its drawer.

  3. Klicken Sie auf die Domänen Liste der APP, und kopieren Sie dann die Liste der Domänen.Click on the app's Domain list and then copy the list of domains.

  4. Wählen Sie in Microsoft Defender Security Center unter Geräte die Option Erweiterte Jagd aus.In Microsoft Defender Security Center, under Devices, select Advanced hunting.

  5. Fügen Sie die folgende Abfrage ein, und ersetzen <DOMAIN_LIST> Sie durch die Liste der zuvor kopierten Domänen.Paste the following query and replace <DOMAIN_LIST> with the list of domains you copied earlier.

    DeviceNetworkEvents
    | where RemoteUrl in ("<DOMAIN_LIST>")
    | order by Timestamp desc
    
  6. Führen Sie die Abfrage aus, und untersuchen Sie Netzwerkereignisse für diese APP.Run the query and investigate network events for this app.

Screenshot mit Microsoft Defender Security Center erweiterte Jagd

Blockieren des Zugriffs auf nicht sanktionierte Cloud-appsBlock access to unsanctioned cloud apps

Cloud App Security verwendet das integrierte, nicht sanktionierte App-Tag, um Cloud-Apps als unzulässig zu markieren, die auf den Cloud Discovery-und Cloud-App-Katalogseiten verfügbar ist.Cloud App Security uses the built-in Unsanctioned app tag to mark cloud apps as prohibited for use, available in both the Cloud Discovery and Cloud app catalog pages. Durch Aktivieren der Integration in Defender for Endpoint können Sie den Zugriff auf nicht sanktionierte apps nahtlos blockieren, indem Sie im Cloud App Security-Portal nur einen Mausklick durch klicken.By enabling the integration with Defender for Endpoint, you can seamlessly block access to unsanctioned apps with a single click in the Cloud App Security portal.

Funktionsweise der BlockierungHow blocking works

Apps, die in Cloud App Security als nicht sanktioniert gekennzeichnet wurden, werden in der Regel innerhalb weniger Minuten mit Defender für den Endpunkt synchronisiert.Apps marked as Unsanctioned in Cloud App Security are automatically synced to Defender for Endpoint, usually within a few minutes. Genauer gesagt werden die Domänen, die von diesen nicht sanktionierten Apps verwendet werden, an Endpunkt Geräte weitergegeben, damit Sie von Microsoft Defender Antivirus innerhalb der SLA für den Netzwerk Schutz blockiert werden.More specifically, the domains used by these unsanctioned apps are propagated to endpoint devices to be blocked by Microsoft Defender Antivirus within the Network Protection SLA.

Aktivieren der Blockierung von Cloud-apps mit Defender for EndpointHow to enable cloud app blocking with Defender for Endpoint

Verwenden Sie die folgenden Schritte, um die Zugriffs Steuerung für Cloud-apps zu aktivieren:Use the following steps to enable access control for cloud apps:

  1. Wählen Sie in Cloud App Security unter dem einstellungenzahnrad Einstellungen aus, und wählen Sie unter Cloud Discovery Microsoft Defender für Endpunkt auswählen und dann nicht genehmigte apps blockieren aus.In Cloud App Security, under the settings cog, select Settings, under Cloud Discovery select Microsoft Defender for Endpoint, and then select Block unsanctioned apps.

    Screenshot: Aktivieren der Blockierung mit Defender for Endpoint

  2. Wechseln Sie in Microsoft Defender Security Center zu Einstellungen > Erweiterte Features, und wählen Sie dann benutzerdefinierte Netzwerk Indikatoren aus.In Microsoft Defender Security Center, go to Settings > Advanced features, and then select Custom network indicators. Weitere Informationen zu Netzwerk Indikatoren finden Sie unter Erstellen von Indikatoren für IP-Adressen und URLs/Domänen.For information about network indicators, see Create indicators for IPs and URLs/domains.

    Auf diese Weise können Sie die Netzwerk Schutzfunktionen von Microsoft Defender Antivirus nutzen, um den Zugriff auf eine vordefinierte Gruppe von URLs mithilfe von Cloud App Security zu blockieren, indem Sie App-Tags entweder manuell bestimmten apps zuweisen oder eine APP-Ermittlungs Richtlinieautomatisch verwenden.This allows you to leverage Microsoft Defender Antivirus network protection capabilities to block access to a predefined set of URLs using Cloud App Security, either by manually assigning app tags to specific apps or automatically using an app discovery policy.

    Screenshot, der zeigt, wie benutzerdefinierte Netzwerk Indikatoren in Defender für Endpoint aktiviert werden

Untersuchen von nicht sanktionierten apps in Microsoft Defender Security CenterInvestigate unsanctioned apps in Microsoft Defender Security Center

Jeder Versuch, auf eine nicht sanktionierte App zuzugreifen, löst eine Warnung in Microsoft Defender Security Center mit ausführlichen Details zur gesamten Sitzung aus.Every attempt to access an unsanctioned app triggers an alert in Microsoft Defender Security Center with in-depth details about the entire session. Dies ermöglicht es Ihnen, die Versuche, auf nicht sanktionierte apps zuzugreifen, ausführlicher zu untersuchen und zusätzliche relevante Informationen zur Verwendung bei der Untersuchung von Endpunkt Geräten bereitzustellen.This enables you to perform deeper investigations into attempts to access unsanctioned apps, as well as providing additional relevant information for use in endpoint device investigation.

Manchmal wird der Zugriff auf eine nicht sanktionierte APP nicht blockiert, weil das Endpunkt Gerät nicht ordnungsgemäß konfiguriert ist oder wenn die Erzwingungs Richtlinie noch nicht an den Endpunkt weitergegeben wurde.Sometimes, access to an unsanctioned app is not blocked, either because the endpoint device is not configured correctly or if the enforcement policy has not yet propagated to the endpoint. In diesem Fall empfängt Defender für Endpunkt Administratoren eine Warnung in Microsoft Defender Security Center, dass die nicht sanktionierte APP nicht blockiert wurde.In this instance, Defender for Endpoint administrators will receive an alert in Microsoft Defender Security Center that the unsanctioned app was not blocked.

Screenshot mit der Warnung "Defender for Endpoint nicht sanktionierter app"

Hinweis

  • Es dauert bis zu zwei Stunden, bis Sie eine App als nicht sanktioniert markieren , damit App -Domänen an Endpunkt Geräte weitergegeben werden.It takes up to two hours after you tag an app as Unsanctioned for app domains to propagate to endpoint devices.
  • Standardmäßig werden apps und Domänen, die in Cloud App Security als nicht sanktioniert gekennzeichnet sind, für alle Endpunkt Geräte in der Organisation blockiert.By default, apps and domains marked as Unsanctioned in Cloud App Security, will be blocked for all endpoint devices in the organization.
  • Derzeit werden vollständige URLs für nicht sanktionierte apps nicht unterstützt.Currently, full URLs are not supported for unsanctioned apps. Wenn Sie apps, die mit vollständigen URLs konfiguriert sind, nicht sanktionieren, werden Sie daher nicht an Defender for Endpoint weitergegeben und werden nicht blockiert.Therefore, when unsanctioning apps configured with full URLs, they are not propagated to Defender for Endpoint and will not be blocked. Beispielsweise google.com/drive wird nicht unterstützt, während drive.google.com unterstützt wird.For example, google.com/drive is not supported, while drive.google.com is supported.
  • Browser übergreifende Benachrichtigungen können je nach Browser variieren.In-browser notifications may vary between different browsers.

Nächste SchritteNext steps

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter.If you run into any problems, we're here to help. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.To get assistance or support for your product issue, please open a support ticket.