Integrare Microsoft Defender per endpoint con app Microsoft Defender per il cloud

Importante

Questo documento è incentrato sulle funzionalità di individuazione IT shadow dai log di Defender per endpoint. Per altre informazioni sulle funzionalità di governance IT shadow tramite Defender per endpoint, vedere Gestire le app individuate usando Microsoft Defender per endpoint.

Microsoft Defender per il cloud Apps si integra con Microsoft Defender per endpoint in modo nativo. L'integrazione semplifica l'implementazione di Cloud Discovery e consente l'analisi basata su dispositivo. Microsoft Defender per endpoint è una piattaforma di sicurezza per la protezione intelligente, il rilevamento, l'indagine e la risposta. Defender per endpoint offre protezione degli endpoint contro minacce informatiche, identifica attacchi e violazioni avanzate, consente di automatizzare la gestione di eventi di sicurezza e ottimizza il comportamento di sicurezza.

Defender per il cloud App usa le informazioni sul traffico raccolte da Defender per endpoint sulle app cloud e i servizi a cui si accede dai dispositivi gestiti dall'IT specificati nei prerequisiti seguenti.

L'integrazione non richiede alcuna distribuzione aggiuntiva e può essere abilitata direttamente dalle impostazioni in Defender per endpoint e Microsoft Defender XDR. Non è necessario eseguire il routing o il mirroring del traffico dagli endpoint o eseguire procedure di integrazione complesse. I log dagli endpoint inviati alle app di Defender per il cloud forniscono informazioni sull'utente e sul dispositivo per le attività di traffico. L'associazione del contesto di dispositivo con il nome utente fornisce un quadro completo nella rete, consentendo di determinare l'utente che ha eseguito l'attività da quale dispositivo.

Inoltre, quando si identifica un utente rischioso, è possibile controllare tutti i dispositivi a cui l'utente ha eseguito l'accesso per rilevare potenziali rischi. Se si identifica un dispositivo rischioso, controllare tutti gli utenti che l'hanno usato per rilevare altri potenziali rischi.

Dopo aver raccolto le informazioni sul traffico, è possibile approfondire l'uso delle app cloud nell'organizzazione. Defender per il cloud App sfrutta le funzionalità di Defender per Endpoint Network Protection per bloccare l'accesso dei dispositivi endpoint alle app cloud. Per altre informazioni sulla governance delle app individuate, vedere Gestire le app individuate usando Microsoft Defender per endpoint.

Prerequisiti

• licenza di app Microsoft Defender per il cloud

• Uno dei seguenti:

  • Microsoft Defender per endpoint con piano 2
  • Microsoft Defender for Business con una licenza premium o autonoma

  Per altre informazioni, vedere Confrontare i piani di sicurezza degli endpoint Microsoft.

• Windows 10 versione 1709 (Build del sistema operativo 16299.1085 con KB4493441), Windows 10 versione 1803 (build del sistema operativo 17134.704 con KB4493464), Windows 10 versione 1809 (build del sistema operativo 17763.379 con KB4489899) o versioni successive di Windows 10 e Windows 11

• Abilitare Antivirus Microsoft Defender:

  • Protezione in tempo reale abilitata
  • Protezione fornita dal cloud abilitata
  • Protezione di rete abilitata e configurata per la modalità di blocco

Nota

Antivirus Microsoft Defender è altamente consigliato per l'individuazione, ma non obbligatorio. Alcuni dati di individuazione sono ancora disponibili quando Antivirus Defender è disabilitato.

Funzionamento

In modo autonomo, Defender per il cloud App raccoglie i log dagli endpoint usando i log caricati o configurando il caricamento automatico dei log. L'integrazione nativa consente di sfruttare i vantaggi dell'agente di Defender per endpoint quando viene eseguito in Windows e monitora le transazioni di rete. Usare queste informazioni per l'individuazione shadow IT nei dispositivi Windows nella rete.

Guardare i video che illustrano i vantaggi dell'uso di Defender per endpoint con app Defender per il cloud.

Come integrare Microsoft Defender per endpoint con app di Defender per il cloud

Per abilitare l'integrazione di Defender per endpoint con Defender per il cloud Apps:

1. Nel riquadro di spostamento di Microsoft Defender XDR selezionare Impostazioni.

2. Seleziona Endpoint.

3. In Generale selezionare Funzionalità avanzate.

4. Attivare l'opzione App di Microsoft Defender per il cloud.

5. Seleziona Applica.

   Nota

   Sono necessarie fino a due ore dopo aver abilitato l'integrazione per la visualizzazione dei dati in Defender per il cloud App.

   

Per configurare la gravità per gli avvisi inviati a Microsoft Defender per endpoint:

1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In Cloud Discovery selezionare Microsoft Defender per endpoint.

2. In Avvisi selezionare il livello di gravità globale per gli avvisi.

3. Seleziona Salva.

   

Passaggi successivi

Analizzare le app individuate da Microsoft Defender per endpoint

Gestire le app individuate da Microsoft Defender per endpoint

Video correlati

Individuare e bloccare Shadow IT con Defender per endpoint

Individuazione shadow IT oltre la rete aziendale

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.