Share via

調查適用於端點的 Microsoft Defender 探索到的應用程式

  • 發行項

適用於雲端的 Microsoft Defender Apps 與 適用於端點的 Microsoft Defender 整合提供順暢的影子 IT 可見度和控制解決方案。 我們的整合可讓 適用於雲端的 Defender 應用程式系統管理員調查探索到的裝置、網路事件和應用程式使用量。

調查 適用於雲端的 Defender Apps 中探索到的裝置

將適用於端點的 Defender 整合適用於雲端的 Defender 應用程式之後,就可以在 Cloud Discovery 儀表板中調查探索到的裝置資料。

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [Cloud Discovery]。 然後選取 [ 儀錶板] 索引標籤

  2. 在右上角,選取 [Win10 端點使用者]。 此數據流包含來自 適用於雲端的 Defender Apps 必要條件中所提及之任何作業系統的數據。 例如:

    Defender for Endpoint report.

    在頂端,您會看到整合之後新增的探索到裝置數目。

  3. 選取 [ 裝置] 索引 標籤。

  4. 向下切入到列出的每個裝置,並使用索引標籤來檢視調查數據。 尋找與事件相關的裝置、使用者、IP 位址和應用程式之間的相互關聯:

    • 概觀
      • 裝置風險層級:顯示裝置配置檔相對於您組織中其他裝置的風險程度,如嚴重性(高、中、低、資訊性)所指出。 適用於雲端的 Defender Apps 會根據進階分析,針對每個裝置使用適用於端點的 Defender 裝置設定檔。 評估裝置基準異常的活動,並判斷裝置的風險等級。 使用裝置風險層級來判斷要先調查的裝置。
      • 交易:有關裝置上所選時段內所發生交易數目的資訊。
      • 總流量:所選時段內總流量(以 MB 為單位)的相關信息。
      • 上傳:裝置在所選時段內上傳的流量總計(以 MB 為單位)的相關信息。
      • 下載:裝置在所選一段時間內下載的流量總計(以 MB 為單位)的相關信息。
    • 探索到的應用程式
      列出裝置存取的所有探索到的應用程式。
    • 使用者記錄
      列出所有登入裝置的使用者。
    • IP 位址記錄
      列出指派給裝置的所有IP位址。 Devices overview.

如同任何其他 Cloud Discovery 來源,您可以從 Win10 端點使用者報告匯出資料以供進一步調查。

注意

  • 適用於端點的 Defender 會將資料轉送至大約 4 MB 的區塊 適用於雲端的 Defender 應用程式(~4000 個端點交易)
  • 如果在 1 小時內未達到 4 MB 的限制,適用於端點的 Defender 會報告過去一小時內執行的所有交易。

在端點位於網路 Proxy 後方時,透過適用於端點的 Defender 探索應用程式

適用於雲端的 Defender 應用程式可以從適用於端點的 Defender 裝置偵測到的影子 IT 網路事件,這些裝置在與網路 Proxy 相同的環境中運作。 例如,如果您的 Windows 10 端點裝置與 ZScalar 位於相同的環境中,適用於雲端的 Defender 應用程式可以透過 Win10 端點使用者串流探索影子 IT 應用程式

調查 Microsoft Defender 全面偵測回應 中的裝置網路事件

注意

網路事件應該用來調查探索到的應用程式,而不是用來偵錯遺漏的數據。

使用下列步驟,在 適用於端點的 Microsoft Defender 中取得裝置網路活動更細微的可見度:

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [Cloud Discovery]。 然後選取 [ 裝置] 索引 標籤。
  2. 選取您要調查的計算機,然後在左上方選取 [檢視] 適用於端點的 Microsoft Defender
  3. 在 [Microsoft Defender 全面偵測回應] 的 [資產 -> 裝置> {選取的裝置}] 下,選取 [時程表]。
  4. 在 [篩選] 底下,選取 [網络事件]。
  5. 視需要調查裝置的網路事件。

Screenshot showing device timeline in Microsoft Defender XDR.

使用進階搜捕調查 Microsoft Defender 全面偵測回應 中的應用程式使用量

使用下列步驟,在適用於端點的 Defender 中取得應用程式相關網路事件更細微的可見度:

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [Cloud Discovery]。 然後選取 [ 探索到的應用程式] 索引 標籤。

  2. 選取您想要調查的應用程式,以開啟其選單。

  3. 選取應用程式的 [網域 ] 列表,然後複製網域清單。

  4. 在 [Microsoft Defender 全面偵測回應] 的 [搜捕] 底下,選取 [進階搜捕]。

  5. 貼上下列查詢,並將 取代 <DOMAIN_LIST> 為您稍早複製的網域清單。

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. 執行查詢並調查此應用程式的網路事件。

    Screenshot showing Microsoft Defender XDR Advanced hunting.

調查 Microsoft Defender 全面偵測回應 中未經批准的應用程式

每次嘗試存取未經批准的應用程式都會在 Microsoft Defender 全面偵測回應 觸發警示,並深入瞭解整個會話的詳細數據。 這可讓您對嘗試存取未經批准的應用程式執行更深入的調查,並提供用於端點裝置調查的其他相關信息。

有時候,由於端點裝置未正確設定,或是強制原則尚未傳播至端點,所以不會封鎖對未核准應用程式的存取。 在此實例中,適用於端點的 Defender 系統管理員會在 Microsoft Defender 全面偵測回應 收到未核准的應用程式未遭到封鎖的警示。

Screenshot showing Defender for Endpoint unsanctioned app alert.

注意

  • 將應用程式 標記為 「未批准 」,應用程式網域傳播至端點裝置後,最多需要兩小時的時間。
  • 根據預設,適用於雲端的 Defender Apps 中標示為 [未批准] 的應用程式和網域,將會封鎖組織中所有端點裝置。
  • 目前,未經批准的應用程式不支援完整 URL。 因此,當未批准以完整 URL 設定的應用程式時,它們不會傳播到適用於端點的 Defender,也不會遭到封鎖。 例如, google.com/drive 不支援 ,但 drive.google.com 支援 。
  • 瀏覽器內通知可能會因不同瀏覽器而異。

下一步

控管 適用於端點的 Microsoft Defender 所探索的應用程式

使用原則來控制雲端應用程式

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證