Integracja usługi Microsoft Defender dla punktów końcowych z usługą Microsoft Cloud App SecurityMicrosoft Defender for Endpoint integration with Microsoft Cloud App Security

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Ważne

Nazwy produktów ochrony przed zagrożeniami firmy Microsoft są zmieniane.Threat protection product names from Microsoft are changing. Więcej informacji na temat tego i innych aktualizacji można znaleźć tutaj.Read more about this and other updates here. Będziemy aktualizować nazwy w produktach i w dokumentach w najbliższej przyszłości.We'll be updating names in products and in the docs in the near future.

Microsoft Cloud App Security integruje się z usługą Microsoft Defender dla punktu końcowego w sposób natywny.Microsoft Cloud App Security integrates with Microsoft Defender for Endpoint natively. Integracja upraszcza wdrażanie Cloud Discovery, rozszerza możliwości Cloud Discovery poza sieć firmową i umożliwia badanie oparte na urządzeniach.The integration simplifies roll out of Cloud Discovery, extends Cloud Discovery capabilities beyond your corporate network, and enables device-based investigation. Microsoft Defender for Endpoint to platforma zabezpieczeń umożliwiająca inteligentną ochronę, wykrywanie, badanie i reagowanie.Microsoft Defender for Endpoint is a security platform for intelligent protection, detection, investigation, and response. Usługa Defender dla punktów końcowych chroni punkty końcowe przed zagrożeniami cybernetycznymi, wykrywa zaawansowane ataki i naruszenia danych, automatyzuje zdarzenia związane z bezpieczeństwem i ulepsza zabezpieczenia stan.Defender for Endpoint protects endpoints from cyber threats, detects advanced attacks and data breaches, automates security incidents, and improves security posture.

Cloud App Security używa informacji o ruchu zebranych przez usługę Defender for Endpoint dla punktów końcowych aplikacji i usług w chmurze, do których uzyskuje dostęp z urządzeń z systemem Windows 10 zarządzanych przez nią.Cloud App Security uses the traffic information collected by Defender for Endpoint about the cloud apps and services being accessed from IT-managed Windows 10 devices. Natywna Integracja umożliwia uruchamianie Cloud Discovery na dowolnym urządzeniu w sieci firmowej przy użyciu publicznych połączeń Wi-Fi, roamingu i dostępu zdalnego.The native integration enables you to run Cloud Discovery on any device in the corporate network, using public Wi-Fi, while roaming, and over remote access. Umożliwia również badanie oparte na urządzeniach.It also enables device-based investigation.

Integracja nie wymaga dodatkowego wdrożenia i nie działa.The integration doesn't require any additional deployment and works out of the box. Nie jest konieczne kierowanie ani duplikowanie ruchu z punktów końcowych ani wykonywanie złożonych kroków integracji.You don't need to route or mirror traffic from your endpoints or do complex integration steps. Dzienniki z punktów końcowych wysyłanych do Cloud App Security zapewniają informacje o użytkowniku dotyczące działań związanych z ruchem.Logs from your endpoints sent to Cloud App Security provide user information for traffic activities. Usługa Defender for Endpoint — działanie sieciowe zawiera kontekst urządzenia.Defender for Endpoint network activity provides device context. Parowanie kontekstu urządzenia przy użyciu nazwy użytkownika zapewnia pełny obraz w sieci, co pozwala określić, który użytkownik przeszedł z tego urządzenia.Pairing device context with the username provides a full picture across your network enabling you to determine which user did which activity from which device.

Ponadto po zidentyfikowaniu ryzykownego użytkownika można sprawdzić wszystkie urządzenia, do których użytkownik uzyskał dostęp, aby wykryć potencjalne zagrożenia.Additionally, when you identify a risky user, you can check all the devices the user accessed to detect potential risks. Jeśli określisz ryzykowne urządzenie, zaznacz wszystkich użytkowników, którzy go używali w celu wykrycia dalszych potencjalnych zagrożeń.If you identify a risky device, check all the users who used it to detect further potential risks.

Po zebraniu informacji o ruchu możesz uzyskać wgląd w szczegółowe z użyciem aplikacji w chmurze w organizacji.Once traffic information is collected, you are ready to deep dive into cloud app use in your organization. Cloud App Security korzysta z funkcji usługi Defender dla ochrony sieci punktów końcowych, aby blokować dostęp urządzenia do aplikacji w chmurze.Cloud App Security takes advantage of Defender for Endpoint Network Protection capabilities to block endpoint device access to cloud apps. Aplikacje można blokować, tagowanić je jako niezaakceptowane oficjalnie w portalu.You can block apps by tagging them as Unsanctioned in the portal. Na podstawie kompleksowej oceny użycia i ryzyka dla każdej niezaakceptowanej oficjalnie domeny aplikacji są używane do tworzenia wskaźników domeny w usłudze Defender dla portalu punktu końcowego.Based on the comprehensive usage and risk assessment of each unsanctioned app, the app's domains are used to create domain indicators in the Defender for Endpoint portal. Program antywirusowy Microsoft Defender uruchomiony na urządzeniach końcowych używa wskaźników domeny, aby zablokować dostęp do tych aplikacji.Microsoft Defender Antivirus, running on endpoint devices, uses the domain indicators to block access to these apps.

Uwaga

Chcesz użyć usługi Microsoft Defender dla punktu końcowego?Want to experience Microsoft Defender for Endpoint? Zarejestruj się, aby skorzystać z bezpłatnej wersji próbnej.Sign up for a free trial.

Wymagania wstępnePrerequisites

Jak to działaHow it works

Na własne Cloud App Security zbiera dzienniki z punktów końcowych przy użyciu przekazanych dzienników lub przez skonfigurowanie automatycznego przekazywania dzienników.On its own, Cloud App Security collects logs from your endpoints using either logs you upload or by configuring automatic log upload. Integracja natywna umożliwia korzystanie z dzienników usługi Defender for Endpoints, które są tworzone podczas działania w systemie Windows i monitoruje transakcje sieciowe.Native integration enables you to take advantage of the logs Defender for Endpoint's agent creates when it runs on Windows and monitors network transactions. Te informacje dotyczą funkcji odnajdowania w tle dla urządzeń z systemem Windows w sieci.Use this information for Shadow IT discovery across the Windows devices on your network.

Aby umożliwić wykonywanie Cloud Discovery między innymi platformami, najlepiej używać modułu zbierającego dziennikiCloud App Security i usługi Defender for Endpoint Integration do monitorowania urządzeń z systemem Windows 10.To enable you to perform Cloud Discovery across other platforms, it's best to use both the Cloud App Security log collector, along with Defender for Endpoint integration to monitor your Windows 10 devices.

Obejrzyj nasze filmy wideo przedstawiające zalety korzystania z usługi Defender dla punktów końcowych z Cloud App Security.Watch our videos showing the benefits of using Defender for Endpoint with Cloud App Security.

Jak zintegrować usługę Microsoft Defender dla punktów końcowych z usługą Cloud App SecurityHow to integrate Microsoft Defender for Endpoint with Cloud App Security

Aby włączyć integrację usługi Defender dla programu Endpoint Protection z Cloud App Security:To enable Defender for Endpoint integration with Cloud App Security:

  1. W programie Microsoft Defender Security Center w okienku nawigacji wybierz pozycję Ustawienia.In Microsoft Defender Security Center, from the navigation pane, select Settings.
  2. W obszarze Ogólne wybierz pozycję funkcje zaawansowane.Under General, select Advanced features.
  3. Przełącz Microsoft Cloud App Security na wartość .Toggle the Microsoft Cloud App Security to On.
  4. Kliknij pozycję Zastosuj.Click Apply.

Uwaga

Po włączeniu integracji danych w Cloud App Security można uzyskać maksymalnie dwie godziny.It takes up to two hours after you enable the integration for the data to show up in Cloud App Security.

Ustawienia usługi Defender dla punktu końcowego

Aby skonfigurować ważność alertów wysyłanych do usługi Microsoft Defender dla punktu końcowego:To configure the severity for alerts sent to Microsoft Defender for Endpoint:

  1. W Cloud App Security kliknij ikonę Ustawienia , a następnie wybierz pozycję Microsoft Defender dla punktu końcowego.In Cloud App Security, click the Settings icon, and then select Microsoft Defender for Endpoint.
  2. W obszarze alerty wybierz globalny poziom ważności dla alertów.Under Alerts, select the global severity level for alerts.
  3. Kliknij pozycję Zapisz.Click Save.

Ustawienia alertu usługi Defender for Endpoint

Badanie urządzeń w Cloud App SecurityInvestigate devices in Cloud App Security

Po zintegrowaniu usługi Defender dla punktów końcowych z Cloud App Security można zbadać odnalezione dane urządzenia na pulpicie nawigacyjnym Cloud Discovery.After you integrate Defender for Endpoint with Cloud App Security, you can investigate discovered device data in the Cloud Discovery dashboard.

  1. W Cloud App Security kliknij pozycję Cloud Discovery , a następnie Cloud Discovery pulpit nawigacyjny.In Cloud App Security, click Cloud Discovery and then Cloud Discovery dashboard.

  2. Na górnym pasku nawigacyjnym w obszarze raporty ciągłe wybierz opcję Użytkownicy punktu końcowego Win10.In the top navigation bar, under Continuous reports, select Win10 endpoint users. Raport usługi Defender for EndpointDefender for Endpoint report

  3. W górnej części zobaczysz liczbę odnalezionych urządzeń dodanych po integracji.Across the top, you'll see the number of discovered devices added after the integration.

  4. Kliknij kartę urządzenia .Click the Devices tab.

  5. Możesz przejść do szczegółów poszczególnych urządzeń, które są wymienione, i użyć kart, aby wyświetlić dane badania.You can drill down into each device that's listed, and use the tabs to view the investigation data. Znajdź korelacje między urządzeniami, użytkownikami, adresami IP i aplikacjami, które zostały uwzględnione w zdarzeniach:Find correlations between the devices, the users, IP addresses, and apps that were involved in incidents:

    • OmówienieOverview
      • Poziom ryzyka urządzenia: pokazuje, jak ryzykowny profil urządzenia jest względny dla innych urządzeń w organizacji, zgodnie z opisem ważności (wysoki, średni, niski, informacyjny).Device risk level: Shows how risky the device's profile is relative to other devices in your organization, as indicated by the severity (high, medium, low, informational). Cloud App Security używa profilów urządzeń z usługi Defender dla punktów końcowych dla każdego urządzenia w oparciu o zaawansowaną analizę.Cloud App Security uses device profiles from Defender for Endpoint for each device based on advanced analytics. Działanie, które jest nietypowe dla linii bazowej urządzenia, jest oceniane i określa poziom ryzyka urządzenia.Activity that is anomalous to a device's baseline is evaluated and determines the device's risk level. Użyj poziomu ryzyka urządzenia, aby określić, które urządzenia należy zbadać jako pierwsze.Use the device risk level to determine which devices to investigate first.
      • Transakcje: informacje o liczbie transakcji wykonanych na urządzeniu w wybranym okresie.Transactions: Information about the number of transactions that took place on the device over the selected period of time.
      • Łączny ruch: informacje o łącznym rozmiarze ruchu (w MB) w wybranym okresie.Total traffic: Information about the total amount of traffic (in MB) over the selected period of time.
      • Przekazywanie: informacje o łącznym rozmiarze ruchu (w MB) przekazanym przez urządzenie w wybranym okresie.Uploads: Information about the total amount of traffic (in MB) uploaded by the device over the selected period of time.
      • Pobieranie: informacje o łącznym rozmiarze ruchu (w MB) pobranym przez urządzenie w wybranym okresie.Downloads: Information about the total amount of traffic (in MB) downloaded by the device over the selected period of time.
    • Odnalezione aplikacjeDiscovered apps
      Wyświetla listę wszystkich odnalezionych aplikacji, do których dostęp jest uzyskiwany przez urządzenie.Lists all the discovered apps that were accessed by the device.
    • Historia użytkownikaUser history
      Wyświetla listę wszystkich użytkowników zalogowanych na urządzeniu.Lists all the users who signed in to the device.
    • Historia adresów IPIP address history
      Wyświetla listę wszystkich adresów IP przypisanych do urządzenia.Lists all the IP addresses that were assigned to the device. Przegląd urządzeńDevices overview

Podobnie jak w przypadku dowolnego innego źródła Cloud Discovery można eksportować dane z raportu użytkowników punktu końcowego Win10 w celu dalszej analizy.As with any other Cloud Discovery source, you can export the data from the Win10 endpoint users report for further investigation.

Uwaga

  • Usługa Defender for Endpoint przekazuje dane do Cloud App Security w fragmentach ~ 4 MB (~ 4000 transakcji punktów końcowych)Defender for Endpoint forwards data to Cloud App Security in chunks of ~4 MB (~4000 endpoint transactions)
  • Jeśli limit 4 MB nie zostanie osiągnięty w ciągu 1 godziny, usługa Defender dla punktu końcowego zgłosi wszystkie transakcje wykonane w ciągu ostatniej godziny.If the 4 MB limit isn't reached within 1 hour, Defender for Endpoint reports all the transactions performed over the last hour.
  • Jeśli urządzenie punktu końcowego znajduje się za serwerem proxy przesyłania dalej, dane o ruchu nie będą widoczne dla usługi Defender dla punktów końcowych i dlatego nie zostaną uwzględnione w raportach Cloud Discovery.If the endpoint device is behind a forward proxy, traffic data will not be visible to Defender for Endpoints and hence will not be included in Cloud Discovery reports. Zalecamy kierowanie dzienników serwera proxy przesyłania dalej, aby Cloud App Security przy użyciu automatycznego przekazywania dzienników w celu uzyskania pełnej widoczności.We recommend to routing the forward proxy's logs to Cloud App Security using the Automated log upload in order to get complete visibility. Aby zapoznać się z alternatywnym sposobem wyświetlania tego ruchu i badania dostępu do adresów URL przez urządzenia za serwerem proxy przesyłania dalej, zobacz monitorowanie połączenia sieciowego za pomocą serwera proxy przesyłania dalej.For an alternative way to view this traffic and investigate accessed URLs by devices behind the forward proxy, see Monitoring network connection behind forward proxy.

Badanie zdarzeń sieciowych urządzenia w usłudze Defender dla punktu końcowegoInvestigate device network events in Defender for Endpoint

Wykonaj następujące kroki, aby uzyskać bardziej szczegółowy wgląd w aktywność sieciową urządzenia w usłudze Microsoft Defender dla punktu końcowego:Use the following steps to gain more granular visibility on device's network activity in Microsoft Defender for Endpoint:

  1. W Cloud App Security, w obszarze odnajdywanie , a następnie wybierz pozycję urządzenia.In Cloud App Security, under Discovery and then select Devices.
  2. Wybierz maszynę, którą chcesz zbadać, a następnie w prawym górnym rogu w usłudze Microsoft Defender dla punktu końcowego.Select the machine you want to investigate and then in the top-right click View in Microsoft Defender for Endpoint.
  3. W usłudze Microsoft Defender Security Center w obszarze urządzenia > {wybrane urządzenie} wybierz pozycję oś czasu.In Microsoft Defender Security Center, under Devices > {selected device}, select Timeline.
  4. W obszarze filtry wybierz pozycję zdarzenia sieciowe.Under Filters, select Network events.
  5. Sprawdź zdarzenia sieciowe urządzenia zgodnie z potrzebami.Investigate the device's network events as required.

Zrzut ekranu przedstawiający oś czasu urządzenia w usłudze Microsoft Defender Security Center

Zbadaj użycie aplikacji w usłudze Defender for Endpoint przy użyciu zaawansowanego polowaniaInvestigate app usage in Defender for Endpoint with advanced hunting

Wykonaj następujące kroki, aby uzyskać bardziej szczegółowy wgląd w zdarzenia sieciowe związane z aplikacją w usłudze Defender dla punktu końcowego:Use the following steps to gain more granular visibility on app-related network events in Defender for Endpoint:

  1. W Cloud App Security, w obszarze odnajdywanie , a następnie wybierz pozycję odnalezione.In Cloud App Security, under Discovery and then select Discovered.

  2. Kliknij aplikację, którą chcesz zbadać, aby otworzyć szufladę.Click on the app you want to investigate to open its drawer.

  3. Kliknij listę domen aplikacji, a następnie skopiuj listę domen.Click on the app's Domain list and then copy the list of domains.

  4. W usłudze Microsoft Defender Security Center w obszarze urządzenia wybierz pozycję Zaawansowany łowiectwo.In Microsoft Defender Security Center, under Devices, select Advanced hunting.

  5. Wklej następujące zapytanie i Zastąp <DOMAIN_LIST> je listą wcześniej skopiowanych domen.Paste the following query and replace <DOMAIN_LIST> with the list of domains you copied earlier.

    DeviceNetworkEvents
    | where RemoteUrl in ("<DOMAIN_LIST>")
    | order by Timestamp desc
    
  6. Uruchom zapytanie i zbadaj zdarzenia sieciowe dla tej aplikacji.Run the query and investigate network events for this app.

Zrzut ekranu przedstawiający program Microsoft Defender Security Centere zaawansowanej łowiectwa

Blokuj dostęp do nieoficjalnie zaakceptowanych aplikacji w chmurzeBlock access to unsanctioned cloud apps

Cloud App Security używa wbudowanego niezatwierdzonego znacznika aplikacji do oznaczania aplikacji w chmurze jako zabronionych do użycia, które są dostępne zarówno na stronach Cloud Discovery, jak i w katalogu aplikacji w chmurze.Cloud App Security uses the built-in Unsanctioned app tag to mark cloud apps as prohibited for use, available in both the Cloud Discovery and Cloud app catalog pages. Dzięki włączeniu integracji z usługą Defender for Endpoint można bezproblemowo blokować dostęp do aplikacji niezaakceptowanych oficjalnie za pomocą jednego kliknięcia w portalu Cloud App Security.By enabling the integration with Defender for Endpoint, you can seamlessly block access to unsanctioned apps with a single click in the Cloud App Security portal.

Jak działa blokowanieHow blocking works

Aplikacje oznaczone jako niezaakceptowane oficjalnie w Cloud App Security są automatycznie synchronizowane z usługą Defender for Endpoint, zazwyczaj w ciągu kilku minut.Apps marked as Unsanctioned in Cloud App Security are automatically synced to Defender for Endpoint, usually within a few minutes. Dokładniej mówiąc, domeny używane przez aplikacje niezaakceptowane oficjalnie są propagowane do urządzeń końcowych, które mają być blokowane przez program antywirusowy Microsoft Defender w ramach umowy SLA dotyczącej ochrony sieci.More specifically, the domains used by these unsanctioned apps are propagated to endpoint devices to be blocked by Microsoft Defender Antivirus within the Network Protection SLA.

Jak włączyć blokowanie aplikacji w chmurze za pomocą usługi Defender dla punktu końcowegoHow to enable cloud app blocking with Defender for Endpoint

Aby włączyć kontrolę dostępu dla aplikacji w chmurze, wykonaj następujące czynności:Use the following steps to enable access control for cloud apps:

  1. W Cloud App Security w obszarze Ustawienia koło zębate wybierz pozycję Ustawienia, w obszarze Cloud Discovery wybierz pozycję Microsoft Defender dla punktu końcowego, a następnie wybierz pozycję Blokuj aplikacje niezaakceptowane oficjalnie.In Cloud App Security, under the settings cog, select Settings, under Cloud Discovery select Microsoft Defender for Endpoint, and then select Block unsanctioned apps.

    Zrzut ekranu przedstawiający sposób włączania blokowania przy użyciu usługi Defender dla punktu końcowego

  2. W programie Microsoft Defender Security Center przejdź do pozycji Ustawienia > Zaawansowane funkcje, a następnie wybierz pozycję niestandardowe wskaźniki sieci.In Microsoft Defender Security Center, go to Settings > Advanced features, and then select Custom network indicators. Aby uzyskać informacje na temat wskaźników sieci, zobacz Tworzenie wskaźników dla adresów IP i adresów URL/domen.For information about network indicators, see Create indicators for IPs and URLs/domains.

    Dzięki temu można korzystać z funkcji ochrony sieci programu Microsoft Defender antywirusowego, aby blokować dostęp do wstępnie zdefiniowanego zestawu adresów URL przy użyciu Cloud App Security, ręcznie przypisując Tagi aplikacji do określonych aplikacji lub automatycznie używając zasad odnajdywania aplikacji.This allows you to leverage Microsoft Defender Antivirus network protection capabilities to block access to a predefined set of URLs using Cloud App Security, either by manually assigning app tags to specific apps or automatically using an app discovery policy.

    Zrzut ekranu przedstawiający sposób włączania niestandardowych wskaźników sieci w usłudze Defender dla punktu końcowego

Zbadaj niezaakceptowane oficjalnie aplikacje w usłudze Microsoft Defender Security CenterInvestigate unsanctioned apps in Microsoft Defender Security Center

Każda próba uzyskania dostępu do aplikacji niezaakceptowanej oficjalnie wyzwala alert w usłudze Microsoft Defender Security Center ze szczegółowymi szczegółami dotyczącymi całej sesji.Every attempt to access an unsanctioned app triggers an alert in Microsoft Defender Security Center with in-depth details about the entire session. Dzięki temu można uzyskać dokładniejsze badania w celu uzyskania dostępu do niezatwierdzonych aplikacji, a także podać dodatkowe istotne informacje do użycia w badaniu urządzenia punktu końcowego.This enables you to perform deeper investigations into attempts to access unsanctioned apps, as well as providing additional relevant information for use in endpoint device investigation.

Czasami dostęp do aplikacji niezaakceptowanej oficjalnie nie jest blokowany, ponieważ urządzenie punktu końcowego nie zostało poprawnie skonfigurowane lub zasady wymuszania nie zostały jeszcze rozpropagowane do punktu końcowego.Sometimes, access to an unsanctioned app is not blocked, either because the endpoint device is not configured correctly or if the enforcement policy has not yet propagated to the endpoint. W tym wystąpieniu Administratorzy usługi Defender dla punktów końcowych będą otrzymywać alerty w usłudze Microsoft Defender Security Center, że niezaakceptowana aplikacja nie została zablokowana.In this instance, Defender for Endpoint administrators will receive an alert in Microsoft Defender Security Center that the unsanctioned app was not blocked.

Zrzut ekranu przedstawiający alert dotyczący niezaakceptowanego zaakceptowania aplikacji Defender for Endpoint

Uwaga

  • Po oznaczeniu aplikacji jako niezatwierdzonej w przypadku domen aplikacji, które mają być propagowane do urządzeń końcowych, trwają do dwóch godzin.It takes up to two hours after you tag an app as Unsanctioned for app domains to propagate to endpoint devices.
  • Domyślnie aplikacje i domeny oznaczone jako niezaakceptowane oficjalnie w Cloud App Security będą blokowane dla wszystkich urządzeń z punktami końcowymi w organizacji.By default, apps and domains marked as Unsanctioned in Cloud App Security, will be blocked for all endpoint devices in the organization.
  • Obecnie pełne adresy URL nie są obsługiwane w przypadku aplikacji niezaakceptowanych oficjalnie.Currently, full URLs are not supported for unsanctioned apps. W związku z tym, gdy aplikacje, które są skonfigurowane z pełnymi adresami URL, nie są propagowane do usługi Defender dla punktu końcowego i nie będą blokowane.Therefore, when unsanctioning apps configured with full URLs, they are not propagated to Defender for Endpoint and will not be blocked. Na przykład, google.com/drive nie jest obsługiwane, podczas gdy drive.google.com jest obsługiwany.For example, google.com/drive is not supported, while drive.google.com is supported.
  • Powiadomienia w przeglądarce mogą się różnić w różnych przeglądarkach.In-browser notifications may vary between different browsers.

Następne krokiNext steps

W przypadku wystąpienia jakichkolwiek problemów jesteśmy tutaj, aby pomóc.If you run into any problems, we're here to help. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, Otwórz bilet pomocy technicznej.To get assistance or support for your product issue, please open a support ticket.