Share via

Investigar aplicações detetadas pelo Microsoft Defender para Endpoint

  • Artigo

A integração do Microsoft Defender for Cloud Apps com o Microsoft Defender for Endpoint fornece uma solução perfeita de visibilidade e controle do Shadow IT. Nossa integração permite que os administradores do Defender for Cloud Apps investiguem dispositivos descobertos, eventos de rede e uso de aplicativos.

Investigue dispositivos descobertos no Defender for Cloud Apps

Depois de integrar as Aplicações do Defender para Endpoint no Defender para a Cloud, poderá investigar os dados detetados no dashboard do Cloud Discovery.

  1. No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Descoberta na Nuvem. Em seguida, selecione a guia Painel .

  2. No canto superior direito, selecione Usuários de ponto de extremidade Win10. Esse fluxo contém dados de todos os sistemas operacionais mencionados nos pré-requisitos do Defender for Cloud Apps. Por exemplo:

    Defender for Endpoint report.

    Na parte superior, você verá o número de dispositivos descobertos adicionados após a integração.

  3. Selecione o separador Dispositivos.

  4. Analise detalhadamente cada dispositivo listado e use as guias para exibir os dados da investigação. Encontre correlações entre os dispositivos, os utilizadores, os endereços IP e as aplicações envolvidas em incidentes:

    • Descrição geral
      • Nível de risco do dispositivo: mostra o quão arriscado é o perfil do dispositivo em relação a outros dispositivos na sua organização, conforme indicado pela gravidade (alta, média, baixa, informativa). O Defender for Cloud Apps usa perfis de dispositivo do Defender for Endpoint para cada dispositivo com base em análises avançadas. A atividade que é anômala para a linha de base de um dispositivo é avaliada e determina o nível de risco do dispositivo. Use o nível de risco do dispositivo para determinar quais dispositivos investigar primeiro.
      • Transações: informações sobre o número de transações que ocorreram no dispositivo durante o período de tempo selecionado.
      • Tráfego total: informações sobre a quantidade total de tráfego (em MB) durante o período de tempo selecionado.
      • Uploads: Informações sobre a quantidade total de tráfego (em MB) carregado pelo dispositivo durante o período de tempo selecionado.
      • Downloads: Informações sobre a quantidade total de tráfego (em MB) baixado pelo dispositivo durante o período de tempo selecionado.
    • Aplicações descobertas
      Lista todos os aplicativos descobertos que foram acessados pelo dispositivo.
    • Histórico do usuário
      Lista todos os usuários que entraram no dispositivo.
    • Histórico de endereços IP
      Lista todos os endereços IP que foram atribuídos ao dispositivo. Devices overview.

Como com qualquer outra fonte do Cloud Discovery, você pode exportar os dados do relatório de usuários do ponto de extremidade Win10 para investigação adicional.

Nota

  • O Defender for Endpoint encaminha dados para o Defender for Cloud Apps em blocos de ~4 MB (~4000 transações de endpoint)
  • Se o limite de 4 MB não for atingido em 1 hora, o Defender for Endpoint informará todas as transações realizadas na última hora.

Descubra aplicativos via Defender for Endpoint quando o endpoint estiver atrás de um proxy de rede

O Defender for Cloud Apps pode descobrir eventos de rede Shadow IT detetados a partir de dispositivos Defender for Endpoint que estão a trabalhar no mesmo ambiente que um proxy de rede. Por exemplo, se o seu dispositivo de ponto de extremidade do Windows 10 estiver no mesmo ambiente que o ZScalar, o Defender for Cloud Apps poderá descobrir aplicativos Shadow IT por meio do fluxo Win10 Endpoint Users .

Investigar eventos de rede de dispositivo no Microsoft Defender XDR

Nota

Os eventos de rede devem ser usados para investigar aplicativos descobertos e não usados para depurar dados ausentes.

Use as seguintes etapas para obter visibilidade mais granular sobre a atividade de rede do dispositivo no Microsoft Defender for Endpoint:

  1. No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Descoberta na Nuvem. Em seguida, selecione a guia Dispositivos .
  2. Selecione a máquina que você deseja investigar e, em seguida, no canto superior esquerdo, selecione Exibir no Microsoft Defender para ponto de extremidade.
  3. No Microsoft Defender XDR, em Ativos ->Dispositivos> {dispositivo selecionado}, selecione Linha do tempo.
  4. Em Filtros, selecione Eventos de rede.
  5. Investigue os eventos de rede do dispositivo conforme necessário.

Screenshot showing device timeline in Microsoft Defender XDR.

Investigue o uso do aplicativo no Microsoft Defender XDR com caça avançada

Use as etapas a seguir para obter visibilidade mais granular em eventos de rede relacionados ao aplicativo no Defender for Endpoint:

  1. No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Descoberta na Nuvem. Em seguida, selecione a guia Aplicativos descobertos .

  2. Selecione o aplicativo que você deseja investigar para abrir sua gaveta.

  3. Selecione a lista de domínios do aplicativo e copie a lista de domínios.

  4. No Microsoft Defender XDR, em Caça, selecione Caça avançada.

  5. Cole a consulta a seguir e substitua <DOMAIN_LIST> pela lista de domínios copiados anteriormente.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Execute a consulta e investigue eventos de rede para este aplicativo.

    Screenshot showing Microsoft Defender XDR Advanced hunting.

Investigar aplicativos não autorizados no Microsoft Defender XDR

Cada tentativa de acessar um aplicativo não autorizado dispara um alerta no Microsoft Defender XDR com detalhes detalhados sobre toda a sessão. Isso permite que você realize investigações mais profundas sobre tentativas de acessar aplicativos não autorizados, além de fornecer informações adicionais relevantes para uso na investigação de dispositivos de ponto final.

Às vezes, o acesso a um aplicativo não autorizado não é bloqueado, seja porque o dispositivo de ponto de extremidade não está configurado corretamente ou se a política de imposição ainda não se propagou para o ponto de extremidade. Nesse caso, os administradores do Defender for Endpoint receberão um alerta no Microsoft Defender XDR informando que o aplicativo não autorizado não foi bloqueado.

Screenshot showing Defender for Endpoint unsanctioned app alert.

Nota

  • Demora até duas horas depois de marcar uma aplicação como Não sancionada para que os domínios da aplicação se propaguem para dispositivos de ponto final.
  • Por padrão, os aplicativos e domínios marcados como Não sancionados no Defender for Cloud Apps serão bloqueados para todos os dispositivos de ponto de extremidade na organização.
  • Atualmente, URLs completos não são suportados para aplicativos não autorizados. Portanto, ao cancelar a sanção de aplicativos configurados com URLs completos, eles não são propagados para o Defender for Endpoint e não serão bloqueados. Por exemplo, não é suportado, google.com/drive enquanto drive.google.com é suportado.
  • As notificações no navegador podem variar entre diferentes navegadores.

Próximos passos

Governar aplicativos descobertos pelo Microsoft Defender for Endpoint

Controlar as aplicações na cloud com políticas

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.