Интеграция Microsoft Defender для удостоверений

Область применения: Microsoft Cloud App Security

Важно!

Изменяются названия продуктов Майкрософт для защиты от угроз. Дополнительные сведения об этом и других обновлениях см. здесь. Мы будем обновлять имена в продуктах и документации в ближайшем будущем.

Microsoft Cloud App Security интегрируется с защитником Майкрософт для идентификации, чтобы предоставить возможность анализа поведения сущностей пользователя (УЕБА) в гибридной среде (как облачное приложение, так и локально). Дополнительные сведения см. в разделе учебник. исследование рискованных пользователей. Дополнительные сведения о машинном обучении и аналитике поведения, предоставляемой защитником для идентификации, см. в разделе что такое защитник для идентификации?

Примечание

Cloud App Security не отправляет уведомления по электронной почте для защитника для оповещений об удостоверениях. Однако вы можете настроить уведомления по электронной почте для них в защитнике на портале удостоверений.

Предварительные требования

Для всестороннего изучения поведения пользователей в гибридной среде вам понадобится следующее:

  • Действительная лицензия для защитника Майкрософт для удостоверения, подключенного к вашему экземпляру Active Directory
  • Чтобы включить интеграцию между защитником для идентификации и Cloud App Security, необходимо быть глобальным администратором Azure Active Directory.

Примечание

  • Если у вас нет подписки на Microsoft Cloud App Security, вы по-прежнему сможете использовать Cloud App Security для получения сведений об удостоверениях в защитнике.
  • Защитнику для администраторов удостоверений могут потребоваться новые разрешения для доступа к Cloud App Security. Дополнительные сведения о назначении разрешений Cloud App Security см. в разделе Управление доступом администратора.

Включение защитника для удостоверения

Чтобы включить интеграцию Cloud App Security с защитником для идентификации:

  1. В Cloud App Security в разделе Параметры шестеренки выберите Параметры.

    Меню параметров

  2. В разделе Защита от угроз выберите защитник Майкрософт для удостоверения.

    Включение Azure Advanced Threat protection

  3. Выберите включить защитник Майкрософт для интеграции данных удостоверений , а затем нажмите кнопку сохранить.

Примечание

Интеграция может занять до 12 часов, пока не вступит в силу.

После включения защитника для интеграции удостоверений вы сможете просматривать локальные действия для всех пользователей в Организации. Вы также получите расширенные аналитические сведения о пользователях, которые объединяют предупреждения и подозрительные действия в облачной и локальной средах. Кроме того, на странице политики Cloud App Security будут отображаться политики из защитника для идентификации. Список защитников для политик удостоверений см. в разделе оповещения системы безопасности. Сведения об изменении этих политик см. в разделе исключение сущностей из обнаружений.

Вы также должны использовать ссылки защитник для настройки удостоверений , чтобы настроить защитник для настройки параметров удостоверений, относящихся к Cloud App Security. Чтобы получить дополнительные сведения об этих параметрах, используйте следующие сведения:

Отключить защитник для удостоверения

Чтобы отключить интеграцию Cloud App Security с защитником для идентификации:

  1. В Cloud App Security в разделе Параметры шестеренки выберите Параметры.

  2. В разделе Защита от угроз выберите защитник Майкрософт для удостоверения.

  3. Снимите флажок включить защитник Майкрософт для интеграции данных удостоверений и нажмите кнопку сохранить.

Примечание

Если интеграция отключена, существующий защитник для данных удостоверений сохраняется в соответствии с Cloud App Security политиками хранения, но удаляется раздел оценки безопасности для идентификации.

Известные проблемы

Отсутствующие обновления предупреждений SIEM

Эта проблема затрагивает предупреждения, которые вызываются более одного раза. Первый экземпляр предупреждения отправляется в SIEM, но последующие триггеры этого же оповещения не отправляются.

Решение

Известного решения не существует.

Дальнейшие действия

Если у вас возникнут проблемы, мы поможем вам. Чтобы получить помощь или поддержку по своему продукту, отправьте запрос в службу поддержки.