Investigar apps descobertas pelo Microsoft Defender para Endpoint

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

A integração da Microsoft Cloud App Security com o Microsoft Defender for Endpoint fornece uma solução de visibilidade e controlo de TI shadow sem emenda. A nossa integração permite que os administradores Cloud App Security investiguem dispositivos descobertos, eventos de rede e utilização de aplicações.

Investigar dispositivos descobertos em Cloud App Security

Depois de integrar o Defender for Endpoint com Cloud App Security, pode investigar dados descobertos do dispositivo no painel Cloud Discovery.

  1. Em Cloud App Security, selecione Cloud Discovery e, em seguida, cloud discovery dashboard.

  2. Na barra de navegação superior, em relatórios Contínuos, selecione utilizadores do ponto final Win10. Relatório do Defender para Endpoint

  3. Em todo o topo, você verá o número de dispositivos descobertos adicionados após a integração.

  4. Selecione o separador Dispositivos.

  5. Pode perfurar cada dispositivo listado e usar os separadores para ver os dados da investigação. Encontrar correlações entre os dispositivos, os utilizadores, endereços IP e aplicações que estiveram envolvidas em incidentes:

    • Descrição geral
      • Nível de risco do dispositivo : Mostra o quão arriscado é o perfil do dispositivo em relação a outros dispositivos da sua organização, conforme indicado pela gravidade (alta, média, baixa, informativa). Cloud App Security utiliza perfis de dispositivos do Defender para Endpoint para cada dispositivo com base em análises avançadas. A atividade anómala da linha de base de um dispositivo é avaliada e determina o nível de risco do dispositivo. Utilize o nível de risco do dispositivo para determinar quais os dispositivos a investigar primeiro.
      • Transações: Informações sobre o número de transações efetuadas no dispositivo durante o período de tempo selecionado.
      • Tráfego total: Informação sobre a quantidade total de tráfego (em MB) durante o período de tempo selecionado.
      • Uploads: Informações sobre a quantidade total de tráfego (em MB) carregada pelo dispositivo durante o período de tempo selecionado.
      • Downloads: Informações sobre a quantidade total de tráfego (em MB) descarregadas pelo dispositivo durante o período de tempo selecionado.
    • Discovered apps (Aplicações detetadas)
      Lista todas as aplicações descobertas que foram acedidas pelo dispositivo.
    • Histórico do utilizador
      Lista todos os utilizadores que se inscreveram no dispositivo.
    • Histórico de endereços IP
      Lista todos os endereços IP que foram atribuídos ao dispositivo. Visão geral dos dispositivos

Como qualquer outra fonte de Cloud Discovery, pode exportar os dados do relatório dos utilizadores do ponto final win10 para uma investigação mais aprofundada.

Nota

  • O Defender for Endpoint remete dados para Cloud App Security em pedaços de ~4 MB (~4000 transações de ponto final)
  • Se o limite de 4 MB não for atingido dentro de uma hora, o Defender for Endpoint informa todas as transações realizadas durante a última hora.
  • Se o dispositivo de ponto final estiver por detrás de um proxy avançado, os dados de tráfego não serão visíveis para o Defender para Endpoints e, portanto, não serão incluídos nos relatórios cloud Discovery. Recomendamos que os registos do proxy do avançado Cloud App Security utilizando o upload de registo automatizado para obter uma visibilidade completa. Para uma forma alternativa de visualizar este tráfego e investigar URLs acedidos por dispositivos por trás do representante avançado, consulte a ligação da rede de monitorização por trás do representante de frente.

Investigar eventos de rede de dispositivos em Microsoft 365 Defender

Nota

Os eventos de rede devem ser usados para investigar aplicações descobertas e não usados para depurar dados em falta.

Utilize os seguintes passos para ganhar mais visibilidade granular na atividade de rede do dispositivo no Microsoft Defender para Endpoint:

  1. Em Cloud App Security, sob o Discovery e, em seguida, selecione Dispositivos.
  2. Selecione a máquina que pretende investigar e, em seguida, no selecionador de cima-direita Ver no Microsoft Defender para Endpoint.
  3. Em Microsoft 365 Defender, em Dispositivos > {dispositivo selecionado}, selecione Timeline.
  4. Em Filtros, selecione eventos de Rede.
  5. Investigue os eventos de rede do dispositivo conforme necessário.

Screenshot mostrando a linha do tempo do dispositivo em Microsoft 365 Defender

<a name="investigate-app-usage-in-microsoft-365-defender-with-advanced-hunting">Investigue o uso de apps em Microsoft 365 Defender com caça avançada

Utilize os seguintes passos para obter mais visibilidade granular em eventos de rede relacionados com aplicações no Defender para Endpoint:

  1. Em Cloud App Security, no âmbito do Discovery selecione apps Descobertas.

  2. Selecione a aplicação que pretende investigar para abrir a gaveta.

  3. Selecione a lista de domínios da aplicação e, em seguida, copie a lista de domínios.

  4. Em Microsoft 365 Defender, em Dispositivos, selecione Caça Avançada.

  5. Cole a seguinte consulta e <DOMAIN_LIST> substitua-a pela lista de domínios que copiou anteriormente.

    DeviceNetworkEvents
    | where RemoteUrl in (&quot;<DOMAIN_LIST>")
    | order by Timestamp desc
    
  6. Executar a consulta e investigar eventos de rede para esta aplicação.

Screenshot mostrando Microsoft 365 Defender caça avançada

Investigar aplicações não divulgadas em Microsoft 365 Defender

Cada tentativa de acesso a uma aplicação não higidessida desencadeia um alerta em Microsoft 365 Defender com detalhes aprofundados sobre toda a sessão. Isto permite-lhe realizar investigações mais profundas sobre tentativas de acesso a apps não especificadas, bem como fornecer informações relevantes adicionais para uso na investigação de dispositivos de ponto final.

Por vezes, o acesso a uma aplicação não higidessida não é bloqueado, seja porque o dispositivo de ponto final não está configurado corretamente ou se a política de execução ainda não se propagou ao ponto final. Neste caso, os administradores do Defender para Endpoint receberão um alerta em Microsoft 365 Defender de que a aplicação não proibida não foi bloqueada.

Screenshot mostrando o Alerta de aplicação não solicitada do Defender para Endpoint

Nota

  • Demora até duas horas depois de marcar uma aplicação como Não-Sanctioned para os domínios de aplicações para propagar para dispositivos de ponto final.
  • Por padrão, aplicações e domínios marcados como Não-Sanctioned em Cloud App Security, serão bloqueados para todos os dispositivos de ponto final na organização.
  • Atualmente, os URLs completos não são suportados para aplicações não higirizadas. Portanto, quando aplicações não-higivizadas configuradas com URLs completos, não são propagadas ao Defender para Endpoint e não serão bloqueadas. Por exemplo, google.com/drive não é apoiado, enquanto drive.google.com é apoiado.
  • As notificações no navegador podem variar entre diferentes navegadores.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.