Integração do Microsoft Defender para Identidade

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Microsoft Cloud App Security integra-se com o Microsoft Defender for Identity para fornecer análise comportamental da entidade utilizadora (UEBA) através de um ambiente híbrido - tanto na cloud app como no local, para mais informações, consulte Tutorial: Investigue utilizadores de risco. Para obter mais informações sobre a aprendizagem automática e análise comportamental fornecidas pelo Defender for Identity, consulte O que é Defender para a Identidade?

Nota

Cloud App Security não envia notificações por e-mail para alertas de Identidade do Defender. No entanto, pode configurar notificações por email no portal Defender para Identidade.

Pré-requisitos

Para uma investigação completa do utilizador através de um ambiente híbrido, você deve ter:

  • Uma licença válida para o Microsoft Defender for Identity ligado à sua instância ative Directory
  • Deve ser um administrador global Azure Ative Directory para permitir a integração entre Defender para a Identidade e Cloud App Security

Nota

  • Se não tiver uma subscrição para Microsoft Cloud App Security, ainda poderá utilizar Cloud App Security para obter insights do Defender para identidade.
  • Os administradores do Defender para a Identidade podem necessitar de novas permissões de acesso Cloud App Security. Para aprender a atribuir permissões a Cloud App Security, consulte o acesso de administração.

Ativar o Defender para a Identidade

Para permitir a integração Cloud App Security com o Defender para a Identidade:

  1. Em Cloud App Security, sob as definições, selecione Definições.

    Definições menu.

  2. Sob proteção contra ameaças , selecione Microsoft Defender for Identity.

    permitir a proteção de ameaças avançadas azure.

  3. Selecione Ativar o Microsoft Defender para integração de dados de identidade e, em seguida, clique em Guardar.

Nota

Pode levar até 12 horas até que a integração entre em vigor.

Depois de permitir a integração do Defender for Identity, poderá ver atividades no local para todos os utilizadores da sua organização. Também receberá informações avançadas sobre os seus utilizadores que combinam alertas e atividades suspeitas em todos os ambientes da sua nuvem e no local. Além disso, as políticas do Defender for Identity aparecerão na página Cloud App Security políticas. Para obter uma lista de políticas de Defesa para as políticas de identidade, consulte alertas de segurança. Para editar estas políticas, consulte excluir entidades de deteções.

Também deverá utilizar os links de configuração do Defender para configurar o Defender para configurações de identidade que sejam relevantes para Cloud App Security. Utilize as seguintes informações para saber mais sobre estas definições:

Defensor de Desativação para identidade

Para desativar a integração Cloud App Security com o Defender for Identity:

  1. Em Cloud App Security, sob as definições, selecione Definições.

  2. Sob proteção contra ameaças , selecione Microsoft Defender for Identity.

  3. Limpar Ativar o Microsoft Defender para integração de dados de identidade e, em seguida, clicar em Guardar.

Nota

Quando a integração é desativada, os dados existentes do Defender para a Identidade são mantidos de acordo com as políticas de retenção Cloud App Security, mas a secção de avaliações da Postura de Segurança de Identidade é removida.

Problemas conhecidos

Atualizações de alerta do SIEM em falta

Este problema afeta alertas que são desencadeados mais de uma vez. A primeira instância do alerta é enviada para o SIEM, mas os disparos subsequentes do mesmo alerta não são enviados.

Resolução

Nenhuma resolução conhecida.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.