Microsoft Defender för slut punkts integrering med Microsoft Cloud App SecurityMicrosoft Defender for Endpoint integration with Microsoft Cloud App Security

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

Microsoft Cloud App Security integreras med Microsoft Defender för slut punkt internt.Microsoft Cloud App Security integrates with Microsoft Defender for Endpoint natively. Integrationen fören klar distributionen av Cloud Discovery, utökar Cloud Discovery funktioner utanför företagets nätverk och möjliggör enhets baserad undersökning.The integration simplifies roll out of Cloud Discovery, extends Cloud Discovery capabilities beyond your corporate network, and enables device-based investigation. Microsoft Defender för slut punkt är en säkerhets plattform för intelligent skydd, identifiering, undersökning och svar.Microsoft Defender for Endpoint is a security platform for intelligent protection, detection, investigation, and response. Defender för Endpoint skyddar slut punkter från cyberhot hot, identifierar avancerade attacker och data intrång, automatiserar säkerhets incidenter och förbättrar säkerheten position.Defender for Endpoint protects endpoints from cyber threats, detects advanced attacks and data breaches, automates security incidents, and improves security posture.

Cloud App Security använder den trafik information som samlas in av Defender för slut punkten om molnappar och tjänster som nås från IT-hanterade Windows 10-enheter.Cloud App Security uses the traffic information collected by Defender for Endpoint about the cloud apps and services being accessed from IT-managed Windows 10 devices. Med den inbyggda integrationen kan du köra Cloud Discovery på vilken enhet som helst i företags nätverket, med hjälp av offentliga Wi-Fi, vid nätverks växling och över fjärråtkomst.The native integration enables you to run Cloud Discovery on any device in the corporate network, using public Wi-Fi, while roaming, and over remote access. Den möjliggör också enhets-baserad undersökning.It also enables device-based investigation.

Integrationen kräver ingen ytterligare distribution och fungerar direkt.The integration doesn't require any additional deployment and works out of the box. Du behöver inte dirigera eller spegla trafik från dina slut punkter eller utföra komplexa integrerings steg.You don't need to route or mirror traffic from your endpoints or do complex integration steps. Loggar från dina slut punkter som skickas till Cloud App Security tillhandahålla användar information för trafik aktiviteter.Logs from your endpoints sent to Cloud App Security provide user information for traffic activities. Defender för slut punkts nätverks aktivitet innehåller enhets kontext.Defender for Endpoint network activity provides device context. Länkning av enhets kontext med användar namnet ger en hel bild över nätverket så att du kan avgöra vilken användare som har den aktivitet från vilken enheten.Pairing device context with the username provides a full picture across your network enabling you to determine which user did which activity from which device.

När du identifierar en riskfylld användare kan du dessutom kontrol lera alla enheter som användaren har åtkomst till för att identifiera potentiella risker.Additionally, when you identify a risky user, you can check all the devices the user accessed to detect potential risks. Om du identifierar en riskfylld enhet kontrollerar du alla användare som använde den för att identifiera ytterligare potentiella risker.If you identify a risky device, check all the users who used it to detect further potential risks.

När trafik informationen samlas in är du redo att ta en djupare inblick i att använda Cloud App i din organisation.Once traffic information is collected, you are ready to deep dive into cloud app use in your organization. Cloud App Security drar nytta av Defender för nätverks skydds funktioner för slut punkt för att blockera åtkomst till molnappar för slut punkts enheten.Cloud App Security takes advantage of Defender for Endpoint Network Protection capabilities to block endpoint device access to cloud apps. Du kan blockera appar genom att tagga dem som ej sanktionerade i portalen.You can block apps by tagging them as Unsanctioned in the portal. Baserat på den omfattande användningen och riskbedömningen av varje ej sanktionerad app används appens domäner för att skapa domän indikatorer i Defender för slut punkts portalen.Based on the comprehensive usage and risk assessment of each unsanctioned app, the app's domains are used to create domain indicators in the Defender for Endpoint portal. Microsoft Defender Antivirus, som körs på slut punkts enheter, använder domän indikatorer för att blockera åtkomsten till dessa appar.Microsoft Defender Antivirus, running on endpoint devices, uses the domain indicators to block access to these apps.

Anteckning

Vill du uppleva Microsoft Defender för slut punkten?Want to experience Microsoft Defender for Endpoint? Registrera dig för en kostnads fri utvärderings version.Sign up for a free trial.

FörutsättningarPrerequisites

Så här fungerar detHow it works

Cloud App Security samlar in loggar från dina slut punkter med antingen loggar som du överför eller konfigurerar automatisk logg uppladdning.On its own, Cloud App Security collects logs from your endpoints using either logs you upload or by configuring automatic log upload. Med inbyggd integrering kan du dra nytta av loggar Defender för slut punktens agent skapar när den körs på Windows och övervakar nätverks transaktioner.Native integration enables you to take advantage of the logs Defender for Endpoint's agent creates when it runs on Windows and monitors network transactions. Använd den här informationen för att skugga IT-identifiering på Windows-enheter i nätverket.Use this information for Shadow IT discovery across the Windows devices on your network.

För att du ska kunna utföra Cloud Discovery över andra plattformar, är det bäst att använda både Cloud App Security logg insamlaren, tillsammans med Defender för slut punkts integrering för att övervaka dina Windows 10-enheter.To enable you to perform Cloud Discovery across other platforms, it's best to use both the Cloud App Security log collector, along with Defender for Endpoint integration to monitor your Windows 10 devices.

Titta på våra videor som visar fördelarna med att använda Defender för slut punkt med Cloud App Security.Watch our videos showing the benefits of using Defender for Endpoint with Cloud App Security.

Så här integrerar du Microsoft Defender för slut punkt med Cloud App SecurityHow to integrate Microsoft Defender for Endpoint with Cloud App Security

Aktivera Defender för slut punkts integrering med Cloud App Security:To enable Defender for Endpoint integration with Cloud App Security:

  1. I navigerings fönstret i Microsoft Defender Security Center väljer du Inställningar.In Microsoft Defender Security Center, from the navigation pane, select Settings.
  2. Under Allmänt väljer du avancerade funktioner.Under General, select Advanced features.
  3. Växla Microsoft Cloud App Security till .Toggle the Microsoft Cloud App Security to On.
  4. Klicka på Använd.Click Apply.

Anteckning

Det tar upp till två timmar innan du har aktiverat integration för data som ska visas i Cloud App Security.It takes up to two hours after you enable the integration for the data to show up in Cloud App Security.

Defender för slut punkts inställningar

Konfigurera allvarlighets graden för aviseringar som skickas till Microsoft Defender för slut punkt:To configure the severity for alerts sent to Microsoft Defender for Endpoint:

  1. I Cloud App Security klickar du på ikonen Inställningar och väljer sedan Microsoft Defender för slut punkt.In Cloud App Security, click the Settings icon, and then select Microsoft Defender for Endpoint.
  2. Under aviseringar väljer du den globala allvarlighets graden för aviseringar.Under Alerts, select the global severity level for alerts.
  3. Klicka på Spara.Click Save.

Defender för aviserings inställningar för slut punkt

Undersök enheter i Cloud App SecurityInvestigate devices in Cloud App Security

När du har integrerat Defender för slut punkt med Cloud App Security kan du undersöka identifierade enhets data på instrument panelen för Cloud Discovery.After you integrate Defender for Endpoint with Cloud App Security, you can investigate discovered device data in the Cloud Discovery dashboard.

  1. Klicka på Cloud Discovery i Cloud App Security och sedan på Cloud Discovery instrument panelen.In Cloud App Security, click Cloud Discovery and then Cloud Discovery dashboard.

  2. I det övre navigerings fältet under kontinuerliga rapporter väljer du Win10 slut punkt användare.In the top navigation bar, under Continuous reports, select Win10 endpoint users. Defender för slut punkts rapportDefender for Endpoint report

  3. Högst upp visas antalet identifierade enheter som lagts till efter integrationen.Across the top, you'll see the number of discovered devices added after the integration.

  4. Klicka på fliken enheter .Click the Devices tab.

  5. Du kan öka detalj nivån för varje enhet i listan och använda flikarna för att Visa undersöknings data.You can drill down into each device that's listed, and use the tabs to view the investigation data. Hitta korrelationer mellan enheterna, användare, IP-adresser och appar som var involverade i incidenter:Find correlations between the devices, the users, IP addresses, and apps that were involved in incidents:

    • ÖversiktOverview
      • Enhets risk nivå: visar hur riskfylld enhetens profil är i förhållande till andra enheter i din organisation, enligt allvarlighets graden (hög, medel, låg, information).Device risk level: Shows how risky the device's profile is relative to other devices in your organization, as indicated by the severity (high, medium, low, informational). Cloud App Security använder enhets profiler från Defender för att använda slut punkten för varje enhet baserat på avancerad analys.Cloud App Security uses device profiles from Defender for Endpoint for each device based on advanced analytics. Aktiviteter som avviker från en enhets bas linje utvärderas och avgör enhetens risk nivå.Activity that is anomalous to a device's baseline is evaluated and determines the device's risk level. Använd enhets risk nivån för att avgöra vilka enheter som ska undersökas först.Use the device risk level to determine which devices to investigate first.
      • Transaktioner: information om antalet transaktioner som ägde rum på enheten under den valda tids perioden.Transactions: Information about the number of transactions that took place on the device over the selected period of time.
      • Total trafik: information om den totala mängden trafik (i MB) under den valda tids perioden.Total traffic: Information about the total amount of traffic (in MB) over the selected period of time.
      • Uppladdningar: information om den totala mängden trafik (i MB) som laddats upp av enheten under den valda tids perioden.Uploads: Information about the total amount of traffic (in MB) uploaded by the device over the selected period of time.
      • Nedladdningar: information om den totala mängden trafik (i MB) som laddats ned av enheten under den valda tids perioden.Downloads: Information about the total amount of traffic (in MB) downloaded by the device over the selected period of time.
    • Identifierade apparDiscovered apps
      Visar en lista över alla identifierade appar som har öppnats av enheten.Lists all the discovered apps that were accessed by the device.
    • Användar historikUser history
      Visar en lista över alla användare som har loggat in på enheten.Lists all the users who signed in to the device.
    • IP-adress historikIP address history
      Visar alla IP-adresser som har tilldelats enheten.Lists all the IP addresses that were assigned to the device. Översikt över enheterDevices overview

Precis som med andra Cloud Discovery källor kan du exportera data från rapporten Win10 Endpoint Users för ytterligare undersökning.As with any other Cloud Discovery source, you can export the data from the Win10 endpoint users report for further investigation.

Anteckning

  • Defender för slut punkten vidarebefordrar data till Cloud App Security i segment på ~ 4 MB (~ 4000 slut punkts transaktioner)Defender for Endpoint forwards data to Cloud App Security in chunks of ~4 MB (~4000 endpoint transactions)
  • Om gränsen på 4 MB inte uppnås inom 1 timme, rapporterar Defender för slut punkten alla transaktioner som har utförts under den senaste timmen.If the 4 MB limit isn't reached within 1 hour, Defender for Endpoint reports all the transactions performed over the last hour.
  • Om slut punkts enheten ligger bakom en vidarebefordrad proxy, visas inte trafik data till Defender för slut punkter och kan därför inte tas med i Cloud Discovery rapporter.If the endpoint device is behind a forward proxy, traffic data will not be visible to Defender for Endpoints and hence will not be included in Cloud Discovery reports. Vi rekommenderar att routning av termins proxyns loggar till Cloud App Security att använda den automatiserade logg överföringen för att få fullständig synlighet.We recommend to routing the forward proxy's logs to Cloud App Security using the Automated log upload in order to get complete visibility. Ett annat sätt att visa den här trafiken och undersöka åtkomst till URL: er av enheter bakom vidarebefordran finns i övervaka nätverks anslutning bakom vidarebefordran.For an alternative way to view this traffic and investigate accessed URLs by devices behind the forward proxy, see Monitoring network connection behind forward proxy.

Undersök enhetens nätverks händelser i Defender för slut punktInvestigate device network events in Defender for Endpoint

Använd följande steg för att få mer detaljerad insyn i enhetens nätverks aktivitet i Microsoft Defender för slut punkt:Use the following steps to gain more granular visibility on device's network activity in Microsoft Defender for Endpoint:

  1. Under identifiering i Cloud App Security väljer du enheter.In Cloud App Security, under Discovery and then select Devices.
  2. Välj den dator som du vill undersöka och klicka sedan på Visa i Microsoft Defender för slut punkt längst upp till höger.Select the machine you want to investigate and then in the top-right click View in Microsoft Defender for Endpoint.
  3. I Microsoft Defender Security Center, under enheter > {vald enhet}, väljer du tids linje.In Microsoft Defender Security Center, under Devices > {selected device}, select Timeline.
  4. Under filter väljer du nätverks händelser.Under Filters, select Network events.
  5. Undersök enhetens nätverks händelser efter behov.Investigate the device's network events as required.

Skärm bild som visar enhets tids linjen i Microsoft Defender Security Center

Undersök användningen av appar i Defender för slut punkt med avancerad jaktInvestigate app usage in Defender for Endpoint with advanced hunting

Använd följande steg för att få mer detaljerad insyn i app-relaterade nätverks händelser i Defender för slut punkten:Use the following steps to gain more granular visibility on app-related network events in Defender for Endpoint:

  1. I Cloud App Security, under identifiering och välj identifierad.In Cloud App Security, under Discovery and then select Discovered.

  2. Klicka på den app som du vill undersöka för att öppna dess låda.Click on the app you want to investigate to open its drawer.

  3. Klicka på appens domän lista och kopiera sedan listan över domäner.Click on the app's Domain list and then copy the list of domains.

  4. I Microsoft Defender Security Center väljer du Avancerad jakt under enheter.In Microsoft Defender Security Center, under Devices, select Advanced hunting.

  5. Klistra in följande fråga och Ersätt <DOMAIN_LIST> med listan över domäner som du kopierade tidigare.Paste the following query and replace <DOMAIN_LIST> with the list of domains you copied earlier.

    DeviceNetworkEvents
    | where RemoteUrl in ("<DOMAIN_LIST>")
    | order by Timestamp desc
    
  6. Kör frågan och undersök nätverks händelser för den här appen.Run the query and investigate network events for this app.

Skärm bild som visar Microsoft Defender Security Center Advanced jakt

Blockera åtkomst till ej sanktionerade molnapparBlock access to unsanctioned cloud apps

Cloud App Security använder den inbyggda ej sanktionerade app-taggen för att markera att molnappar inte är förbjudna för användning, tillgängligt i både Cloud Discovery-och molnets katalog sidor.Cloud App Security uses the built-in Unsanctioned app tag to mark cloud apps as prohibited for use, available in both the Cloud Discovery and Cloud app catalog pages. Genom att aktivera integrering med Defender för slut punkt kan du sömlöst blockera åtkomst till ej sanktionerade appar med ett enda klick i Cloud App Security portalen.By enabling the integration with Defender for Endpoint, you can seamlessly block access to unsanctioned apps with a single click in the Cloud App Security portal.

Blockera fungerarHow blocking works

Appar som marker ATS som ej sanktionerade i Cloud App Security synkroniseras automatiskt till Defender för slut punkt, vanligt vis inom några minuter.Apps marked as Unsanctioned in Cloud App Security are automatically synced to Defender for Endpoint, usually within a few minutes. Mer specifikt sprids de domäner som används av dessa ej sanktionerade appar till slut punkts enheter som ska blockeras av Microsoft Defender Antivirus i service avtalet för nätverks skydd.More specifically, the domains used by these unsanctioned apps are propagated to endpoint devices to be blocked by Microsoft Defender Antivirus within the Network Protection SLA.

Så här aktiverar du blockering av appar i molnet med Defender för slut punktHow to enable cloud app blocking with Defender for Endpoint

Använd följande steg för att aktivera åtkomst kontroll för molnappar:Use the following steps to enable access control for cloud apps:

  1. I Cloud App Security, under Inställningar kugg hjuls, väljer du Inställningar under Cloud Discovery Välj Microsoft Defender för slut punkt och väljer Blockera ej sanktionerade appar.In Cloud App Security, under the settings cog, select Settings, under Cloud Discovery select Microsoft Defender for Endpoint, and then select Block unsanctioned apps.

    Skärm bild som visar hur du aktiverar blockering med Defender för slut punkten

  2. I Microsoft Defender Security Center går du till Inställningar > avancerade funktioner och väljer sedan anpassade nätverks indikatorer.In Microsoft Defender Security Center, go to Settings > Advanced features, and then select Custom network indicators. Information om nätverks indikatorer finns i skapa indikatorer för IP-adresser och URL: er/domäner.For information about network indicators, see Create indicators for IPs and URLs/domains.

    På så sätt kan du använda Microsoft Defender Antivirus nätverks skydd för att blockera åtkomst till en fördefinierad uppsättning URL: er med hjälp av Cloud App Security, antingen genom att manuellt tilldela app-Taggar till vissa appar eller automatiskt med en identifierings principför appar.This allows you to leverage Microsoft Defender Antivirus network protection capabilities to block access to a predefined set of URLs using Cloud App Security, either by manually assigning app tags to specific apps or automatically using an app discovery policy.

    Skärm bild som visar hur du aktiverar anpassade nätverks indikatorer i Defender för slut punkten

Undersök ej sanktionerade appar i Microsoft Defender Security CenterInvestigate unsanctioned apps in Microsoft Defender Security Center

Varje försök att komma åt en ej sanktionerad app utlöser en avisering i Microsoft Defender Security Center med detaljerad information om hela sessionen.Every attempt to access an unsanctioned app triggers an alert in Microsoft Defender Security Center with in-depth details about the entire session. På så sätt kan du utföra djupare undersökningar i försök att komma åt ej sanktionerade appar, samt ge ytterligare relevant information för användning i undersökningen av slut punkts enheten.This enables you to perform deeper investigations into attempts to access unsanctioned apps, as well as providing additional relevant information for use in endpoint device investigation.

Ibland blockeras inte åtkomst till en ej sanktionerad app, antingen på grund av att slut punkts enheten inte har kon figurer ATS på rätt sätt eller om den tvingande principen ännu inte har spridit till slut punkten.Sometimes, access to an unsanctioned app is not blocked, either because the endpoint device is not configured correctly or if the enforcement policy has not yet propagated to the endpoint. I den här instansen kommer Defender för slut punkts administratörer att få en avisering i Microsoft Defender Security Center att den ej sanktionerade appen inte har blockerats.In this instance, Defender for Endpoint administrators will receive an alert in Microsoft Defender Security Center that the unsanctioned app was not blocked.

Skärm bild som visar Defender för avisering om ej sanktionerad slut punkt

Anteckning

  • Det tar upp till två timmar efter att du taggat en app som ej sanktionerad för app-domäner att sprida till slut punkts enheter.It takes up to two hours after you tag an app as Unsanctioned for app domains to propagate to endpoint devices.
  • Som standard kommer appar och domäner som marker ATS som ej sanktionerade i Cloud App Security att blockeras för alla slut punkts enheter i organisationen.By default, apps and domains marked as Unsanctioned in Cloud App Security, will be blocked for all endpoint devices in the organization.
  • För närvarande stöds inte fullständiga URL: er för ej sanktionerade appar.Currently, full URLs are not supported for unsanctioned apps. När du avsöker appar som kon figurer ATS med fullständiga URL: er, sprids de därför inte till Defender för slut punkt och blockeras inte.Therefore, when unsanctioning apps configured with full URLs, they are not propagated to Defender for Endpoint and will not be blocked. Stöds till exempel google.com/drive inte, men drive.google.com stöds.For example, google.com/drive is not supported, while drive.google.com is supported.
  • Meddelanden i webbläsaren kan variera mellan olika webbläsare.In-browser notifications may vary between different browsers.

Nästa stegNext steps

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.