Usando o Microsoft defender para identidade com Microsoft Cloud App Security

Este artigo foi criado para ajudá-lo a entender como a funcionalidade do Microsoft defender for Identity é representada no portal de Microsoft Cloud App Security.

Aproveitando as detecções locais existentes e a análise de comportamento anormal, o acesso ao defender para identidade usando o portal de Microsoft Cloud App Security fornece a capacidade de detectar e alertar sobre dados confidenciais vazamento em toda a empresa. Esta oferta híbrida analisa a atividade e os alertas com base na análise de comportamento de usuário e entidade (UEBA) para determinar comportamentos arriscados e fornece uma pontuação de prioridade de investigação para simplificar a resposta a incidentes para identidades comprometidas.

Neste artigo, você aprenderá sobre:

  • Visão geral do serviço
  • Novas maneiras de acessar Defender para Identidade
  • Pré-requisitos de licenciamento
  • Onde encontrar Defender para Identidade atividades rastreadas no Cloud app Security

Visão geral do serviço

Com a integração com Defender para Identidade o, o portal de Cloud app Security fornece alertas e informações de:

  • O Microsoft Cloud App Security, que identifica ataques em uma sessão de nuvem, abrangendo produtos da Microsoft e aplicativos de terceiros
  • Microsoft Defender para Identidade, que usa aprendizado de máquina e análise comportamental para identificar ataques em sua rede local
  • O Azure Active Directory Identity Protection, que detecta e impede proativamente os riscos de usuário e de entrada para identidades na nuvem

Pré-requisitos

Para fazer uma investigação completa sobre os recursos no ambiente híbrido, é necessário:

  • Uma licença válida do Microsoft Cloud App Security
  • Uma licença válida para Microsoft Defender para Identidade conectado à sua instância do Active Directory

Observação

  • Se você não tiver uma assinatura para Cloud App Security, ainda poderá usar o portal de Cloud App Security para investigar Defender para Identidade alertas e aprofundar-se sobre os usuários e suas atividades gerenciadas no local, mas você não receberá informações relacionadas de seus aplicativos de nuvem.
  • Defender para Identidade os administradores podem exigir novas permissões para acessar Cloud App Security. Para saber como atribuir permissões ao Cloud App Security, confira Gerenciar o acesso de administrador.

Consulte Defender para Identidade integração para saber como habilitar rapidamente o Defender para Identidade em Cloud app Security.

Defender para identidade no Cloud App Security

Confira o Início rápido do Cloud App Security para se familiarizar com os fundamentos básicos de como usar o portal do Cloud App Security.

Alertas

Defender para Identidade os alertas são exibidos na fila alertas de Cloud app Security. As opções de filtragem de alerta adicionais estão disponíveis somente ao exibir alertas usando o Cloud App Security. Defender para Identidade os alertas são filtrados usando o filtro de aplicativo para Active Directory.

Gerenciamento de alertas

Ao usar o Defender para Identidade com o Cloud app Security, o fechamento de alertas em um serviço não os fechará automaticamente no outro serviço. Mais especificamente, o fechamento de alertas no Cloud App Security não os fechará no defender para identidade, mas o fechamento de alertas no defender para identidade sincronizará o fechamento no Cloud App Security. Decida onde gerenciar e corrigir os alertas para evitar a duplicação de esforços.

Notificação de SIEM

Se seus serviços ( Defender para Identidade e Cloud app Security) estiverem atualmente configurados para enviar notificações de alerta para um Siem, depois de habilitar a Defender para Identidade integração no Cloud app Security, você começará a receber notificações do Siem duplicadas para o mesmo alerta. Um alerta será emitido de cada serviço e eles terão IDs de alerta diferentes. Para evitar a duplicação e a confusão, decida onde você pretende executar o gerenciamento de alertas e, em seguida, interrompa o envio de notificações de SIEM de outro serviço.

Atividades

Defender para Identidade os alertas são exibidos no log de atividades do Cloud app Security. As opções de filtragem de atividades e os recursos adicionais estão disponíveis somente ao exibir alertas usando o Cloud App Security. Consulte Defender para Identidade atividades usando Microsoft Cloud app Security para saber como filtrar e criar novas políticas de atividade.

Páginas do usuário

As páginas de usuário contêm a Pontuação de prioridade de investigação de cada usuário e um log de atividades de todas as ações.

Para acessar uma página de usuário de um usuário do sistema:

  1. Abra Alertas no menu principal.
  2. Selecione e filtre a fila de alertas para um usuário específico usando o campo Nome de Usuário.

ou

  1. No menu Investigar, selecione Log de atividades.

  2. Filtre a fila do log de atividades por usuário.

    Log de atividades.

Participe da comunidade

Tem mais perguntas ou quer discutir sobre o Defender para Identidade e a segurança relacionada com outras pessoas? Participe da Comunidade Defender para Identidade hoje mesmo!