Integração do Microsoft Defender para Identidade

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão mudando. Leia mais sobre essa e outras atualizações aqui. Em breve, atualizaremos os nomes nos produtos e nos documentos.

Microsoft Cloud App Security integra-se ao Microsoft Defender para Identidade para fornecer UEBA (análise comportamental de entidade de usuário) em um ambiente híbrido – aplicativo de nuvem e local, para obter mais informações, consulte Tutorial:Investigar usuários arriscados. Para obter mais informações sobre o aprendizado de máquina e a análise comportamental fornecidas pelo Defender para Identidade, confira O que é o Defender para Identidade?

Observação

Cloud App Security envia notificações por email para alertas do Defender para Identidade. No entanto, você pode configurar notificações por email para elas no portal do Defender para Identidade.

Pré-requisitos

Para fazer uma investigação completa em um ambiente híbrido, é necessário:

  • Uma licença válida para o Microsoft Defender para Identidade conectada à sua instância do Active Directory
  • Você deve ser um administrador Azure Active Directory global para habilitar a integração entre o Defender para Identidade e Cloud App Security

Observação

  • Se você não tiver uma assinatura para Microsoft Cloud App Security, ainda poderá usar o Cloud App Security obter insights do Defender para Identidade.
  • Os administradores do Defender para Identidade podem exigir novas permissões para acessar Cloud App Security. Para saber como atribuir permissões ao Cloud App Security, confira Gerenciar o acesso de administrador.

Habilitar o Defender para Identidade

Para habilitar Cloud App Security integração com o Defender para Identidade:

  1. No Cloud App Security, na engrenagem de configurações, selecione Configurações.

    Menu Configurações.

  2. Em Proteção contra Ameaças, selecione Microsoft Defender para Identidade.

    habilitar a proteção avançada contra ameaças do Azure.

  3. Selecione Habilitar a integração de dados do Microsoft Defender para Identidade e clique em Salvar.

Observação

Pode levar até 12 horas até que a integração entre em vigor.

Depois de habilenciar a integração do Defender para Identidade, você poderá ver as atividades locais para todos os usuários em sua organização. Você também obterá informações avançadas sobre seus usuários que combinam alertas e atividades suspeitas em seus ambientes locais e de nuvem. Além disso, as políticas do Defender para Identidade serão exibidas na página Cloud App Security políticas. Para ver uma lista das políticas do Defender para Identidade, consulte Alertas de segurança. Para editar essas políticas, consulte Excluindo entidades de detecções.

Você também deve usar os links de configuração do Defender para Identidade para definir as configurações do Defender para Identidade relevantes para Cloud App Security. Use as seguintes informações para saber mais sobre essas configurações:

Desabilitar o Defender para Identidade

Para desabilitar Cloud App Security integração com o Defender para Identidade:

  1. No Cloud App Security, na engrenagem de configurações, selecione Configurações.

  2. Em Proteção contra Ameaças, selecione Microsoft Defender para Identidade.

  3. Limpe Habilitar a integração de dados do Microsoft Defender para Identidade e clique em Salvar.

Observação

Quando a integração é desabilitada, os dados existentes do Defender para Identidade são mantidos de acordo com Cloud App Security de retenção, mas a seção avaliações de Postura de Segurança de Identidade é removida.

Problemas conhecidos

Atualizações de alerta siem ausentes

Esse problema afeta os alertas disparados mais de uma vez. A primeira instância do alerta é enviada para o SIEM, mas os gatilhos subsequentes do mesmo alerta não são enviados.

Resolução

Não há solução conhecida.

Próximas etapas

Em caso de problemas, estamos aqui para ajudar. Abra um tíquete de suporte para receber assistência ou suporte para o produto.