Analizzare le app individuate da Microsoft Defender per endpoint

Nota

  • Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

L'integrazione Microsoft Defender for Cloud Apps con Microsoft Defender per endpoint offre una soluzione di controllo e visibilità Shadow IT senza problemi. L'integrazione consente agli amministratori di app di Defender per il cloud di analizzare i dispositivi individuati, gli eventi di rete e l'utilizzo delle app.

Analizzare i dispositivi individuati nelle app Defender per il cloud

Dopo aver integrato Defender per Endpoint con Defender for Cloud Apps, è possibile analizzare i dati dei dispositivi individuati nel dashboard di Cloud Discovery.

  1. In app Defender per il cloud selezionare Cloud Discovery e quindi dashboard di Cloud Discovery.

  2. Nella barra di spostamento superiore, sotto Report continui, selezionare Utenti dell'endopoint di Windows 10. Defender for Endpoint report

  3. Nella parte superiore verrà visualizzato il numero di dispositivi individuati aggiunti dopo l'integrazione.

  4. Fare clic sulla scheda Dispositivi.

  5. È possibile eseguire il drill-down in ogni dispositivo elencato e usare le schede per visualizzare i dati di indagine. Trovare correlazioni tra dispositivi, utenti, indirizzi IP e app coinvolti in eventi imprevisti:

    • Overview
      • Livello di rischio del dispositivo: mostra in che modo il profilo del dispositivo è relativo ad altri dispositivi dell'organizzazione, come indicato dalla gravità (alto, medio, basso, informativo). Defender per il cloud Le app usano i profili di dispositivo di Defender per endpoint per ogni dispositivo in base all'analisi avanzata. L'attività anomala alla baseline di un dispositivo viene valutata e determina il livello di rischio del dispositivo. Usare il livello di rischio del dispositivo per determinare i dispositivi da analizzare per primi.
      • Transazioni: informazioni sul numero di transazioni eseguite nel dispositivo nel periodo di tempo selezionato.
      • Traffico totale: informazioni sulla quantità totale di traffico (in MB) nel periodo di tempo selezionato.
      • Caricamenti: informazioni sulla quantità totale di traffico (in MB) caricata dal dispositivo nel periodo di tempo selezionato.
      • Download: informazioni sulla quantità totale di traffico (in MB) scaricata dal dispositivo nel periodo di tempo selezionato.
    • App individuate
      Elenca tutte le app individuate a cui è stato eseguito l'accesso dal dispositivo.
    • Cronologia utente
      Elenca tutti gli utenti che hanno eseguito l'accesso al dispositivo.
    • Cronologia degli indirizzi IP
      Elenca tutti gli indirizzi IP assegnati al dispositivo. Devices overview

Come per qualsiasi altra origine di Cloud Discovery, è possibile esportare i dati dal report Utenti dell'endpoint di Windows 10 per altre analisi.

Nota

  • Defender per endpoint inoltra i dati a Defender per il cloud Apps in blocchi di ~4 MB (circa 4000 transazioni di endpoint)
  • Se il limite di 4 MB non viene raggiunto entro 1 ora, Defender per endpoint segnala tutte le transazioni eseguite nell'ultima ora.
  • Se il dispositivo endpoint si trova dietro un proxy di inoltro, i dati del traffico non saranno visibili a Defender per endpoint e quindi non verranno inclusi nei report di Cloud Discovery. È consigliabile instradare i log del proxy di inoltro a Defender per il cloud Apps usando il caricamento automatico dei log per ottenere la visibilità completa. Per un modo alternativo per visualizzare questo traffico ed esaminare gli URL accessibili dai dispositivi, vedere Monitoraggio della connessione di rete dietro proxy di inoltro.

Analizzare gli eventi di rete dei dispositivi in Microsoft 365 Defender

Nota

Gli eventi di rete devono essere usati per analizzare le app individuate e non per eseguire il debug dei dati mancanti.

Usare la procedura seguente per ottenere una visibilità più granulare sull'attività di rete del dispositivo in Microsoft Defender per endpoint:

  1. In Defender per il cloud App, in Individuazione e quindi selezionare Dispositivi.
  2. Selezionare il computer da analizzare e quindi in alto a destra selezionare Visualizza in Microsoft Defender per endpoint.
  3. In Microsoft 365 Defender, in Dispositivi> {dispositivo selezionato}, selezionare Sequenza temporale.
  4. In Filtri selezionare Eventi di rete.
  5. Esaminare gli eventi di rete del dispositivo in base alle esigenze.

Screenshot showing device timeline in Microsoft 365 Defender

Analizzare l'utilizzo delle app in Microsoft 365 Defender con ricerca avanzata

Usare la procedura seguente per ottenere una visibilità più granulare sugli eventi di rete correlati all'app in Defender per endpoint:

  1. In app Defender per il cloud selezionare App individuate in Individuazione.

  2. Selezionare l'app da analizzare per aprire il pannello.

  3. Selezionare l'elenco Dominio dell'app e quindi copiare l'elenco dei domini.

  4. In Microsoft 365 Defender, in Dispositivi selezionare Ricerca avanzata.

  5. Incollare la query seguente e sostituire <DOMAIN_LIST> con l'elenco di domini copiati in precedenza.

    DeviceNetworkEvents
    | where RemoteUrl in ("<DOMAIN_LIST>")
    | order by Timestamp desc
    
  6. Eseguire la query ed esaminare gli eventi di rete per questa app.

Screenshot showing Microsoft 365 Defender advanced hunting

Analizzare le app non approvate in Microsoft 365 Defender

Ogni tentativo di accesso a un'app non approvata attiva un avviso in Microsoft 365 Defender con dettagli dettagliati sull'intera sessione. In questo modo è possibile eseguire indagini più approfondite sui tentativi di accesso alle app non approvate, oltre a fornire informazioni aggiuntive rilevanti per l'uso nell'analisi dei dispositivi endpoint.

In alcuni casi, l'accesso a un'app non approvata non viene bloccato perché il dispositivo endpoint non è configurato correttamente o se i criteri di imposizione non sono ancora stati propagati all'endpoint. In questo caso, gli amministratori di Defender per endpoint riceveranno un avviso in Microsoft 365 Defender che l'app non approvata non sia stata bloccata.

Screenshot showing Defender for Endpoint unsanctioned app alert

Nota

  • La propagazione dei domini app ai dispositivi endpoint richiede fino a due ore dopo aver contrassegnato un'app come Non approvata .
  • Per impostazione predefinita, le app e i domini contrassegnati come Non approvati nelle app di Defender per il cloud verranno bloccati per tutti i dispositivi endpoint dell'organizzazione.
  • Attualmente, gli URL completi non sono supportati per le app non approvate. Pertanto, quando si annulla l'approvazione delle app configurate con URL completi, non vengono propagate a Defender per endpoint e non verranno bloccate. Ad esempio, google.com/drive non è supportato, mentre drive.google.com è supportato.
  • Le notifiche nel browser possono variare tra browser diversi.

Passaggi successivi

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.