Sdílet prostřednictvím

Zkoumání aplikací zjištěných Microsoft Defender for Endpoint

  • Článek

Integrace Microsoft Defender for Cloud Apps s Microsoft Defender for Endpoint poskytuje bezproblémové řešení viditelnosti a řízení stínového IT. Naše integrace umožňuje správcům Defender for Cloud Apps zkoumat zjištěná zařízení, síťové události a využití aplikací.

Požadavky

Před provedením postupů v tomto článku se ujistěte, že jste integrovali Microsoft Defender for Endpoint s Microsoft Defender for Cloud Apps.

Zkoumání zjištěných zařízení v Defender for Cloud Apps

Po integraci Defenderu for Endpoint s Defender for Cloud Apps prozkoumejte zjištěná data zařízení na řídicím panelu cloud discovery.

  1. Na portálu Microsoft Defender v části Cloud Apps vyberteŘídicí panelCloud Discovery>.

  2. V horní části stránky vyberte Koncové body spravované defenderem. Tento datový proud obsahuje data ze všech operačních systémů uvedených v Defender for Cloud Apps požadavcích.

Nahoře uvidíte počet zjištěných zařízení přidaných po integraci.

  1. Vyberte kartu Zařízení .

  2. Přejděte k podrobnostem jednotlivých uvedených zařízení a pomocí karet zobrazte data šetření. Najděte korelace mezi zařízeními, uživateli, IP adresami a aplikacemi, které byly zapojeny do incidentů:

    • Přehled:

      • Úroveň rizika zařízení: Ukazuje, jak rizikový je profil zařízení ve srovnání s ostatními zařízeními ve vaší organizaci, jak to označuje závažnost (vysoká, střední, nízká, informační). Defender for Cloud Apps používá profily zařízení z Defenderu for Endpoint pro každé zařízení na základě pokročilých analýz. Vyhodnotí se aktivita, která je neobvyklá oproti základním hodnotám zařízení, a určí úroveň rizika zařízení. Pomocí úrovně rizika zařízení určete, která zařízení se mají prošetřit jako první.
      • Transakce: Informace o počtu transakcí, které na zařízení proběhly za vybrané časové období.
      • Celkový provoz: Informace o celkovém množství provozu (v MB) za vybrané časové období.
      • Nahrání: Informace o celkovém množství provozu (v MB) nahraném zařízením za vybrané časové období.
      • Stažené soubory: Informace o celkovém množství provozu (v MB) staženého zařízením za vybrané časové období.

    • Zjištěné aplikace: Seznamy všechny zjištěné aplikace, ke kterým zařízení přistupovalo.

    • Historie uživatelů: Seznamy všechny uživatele, kteří se přihlásili k zařízení.

    • Historie IP adres: Seznamy všechny IP adresy, které byly přiřazeny k zařízení.

Stejně jako u jakéhokoli jiného zdroje cloudového zjišťování můžete exportovat data ze sestavy koncových bodů spravovaných defenderem pro účely dalšího šetření.

Poznámka

  • Defender for Endpoint předává data do Defender for Cloud Apps v blocích o velikosti ~4 MB (přibližně 4000 transakcí koncových bodů).
  • Pokud se limitu 4 MB nedosáhne do 1 hodiny, Defender for Endpoint nahlásí všechny transakce provedené za poslední hodinu.

Zjišťování aplikací přes Defender for Endpoint, když se koncový bod nachází za síťovým proxy serverem

Defender for Cloud Apps může zjišťovat události stínové sítě IT zjištěné ze zařízení Defenderu for Endpoint, která pracují ve stejném prostředí jako síťový proxy server. Pokud je například vaše zařízení koncového bodu Windows 10 ve stejném prostředí jako ZScalar, může Defender for Cloud Apps zjistit aplikace stínového IT prostřednictvím streamu Win10 Endpoint Users.

Zkoumání událostí sítě zařízení v Microsoft Defender XDR

Poznámka

Události sítě by se měly používat ke zkoumání zjištěných aplikací a neměly by se používat k ladění chybějících dat.

Pomocí následujících kroků získáte podrobnější přehled o síťových aktivitách zařízení v Microsoft Defender for Endpoint:

  1. Na portálu Microsoft Defender vyberte v části Cloud Appsmožnost Cloud Discovery. Pak vyberte kartu Zařízení .
  2. Vyberte počítač, který chcete prozkoumat, a pak v levém horním rohu vyberte Zobrazit v Microsoft Defender for Endpoint.
  3. V Microsoft Defender XDR v části Prostředky –>Zařízení> {vybrané zařízení} vyberte Časová osa.
  4. V části Filtry vyberte Síťové události.
  5. Podle potřeby prozkoumejte síťové události zařízení.

Snímek obrazovky znázorňující časovou osu zařízení v Microsoft Defender XDR

Zkoumání využití aplikací v Microsoft Defender XDR s využitím rozšířeného proaktivního proaktivního vyhledávání

Pomocí následujících kroků získáte podrobnější přehled o událostech sítě souvisejících s aplikacemi v Defenderu for Endpoint:

  1. Na portálu Microsoft Defender vyberte v části Cloud Appsmožnost Cloud Discovery. Pak vyberte kartu Zjištěné aplikace .

  2. Výběrem aplikace, kterou chcete prozkoumat, otevřete její zásuvku.

  3. Vyberte seznam domén aplikace a zkopírujte seznam domén.

  4. V Microsoft Defender XDR v části Proaktivní vyhledávání vyberte Rozšířené proaktivní vyhledávání.

  5. Vložte následující dotaz a nahraďte <DOMAIN_LIST> seznamem domén, které jste zkopírovali dříve.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Spusťte dotaz a prozkoumejte síťové události pro tuto aplikaci.

    Snímek obrazovky znázorňující Microsoft Defender XDR rozšířené proaktivní vyhledávání

Zkoumání neschválaných aplikací v Microsoft Defender XDR

Každý pokus o přístup k neschválené aplikaci aktivuje výstrahu v Microsoft Defender XDR s podrobnými podrobnostmi o celé relaci. To vám umožní důkladněji prozkoumat pokusy o přístup k neschválené aplikaci a poskytnout další důležité informace pro použití při vyšetřování zařízení koncového bodu.

Někdy není přístup k neschválené aplikaci blokovaný, ať už kvůli tomu, že zařízení koncového bodu není správně nakonfigurované, nebo pokud se zásady vynucení ještě nerozšířily do koncového bodu. V tomto případě dostanou správci Defenderu for Endpoint upozornění v Microsoft Defender XDR, že neschválené aplikace nebyly zablokované.

Snímek obrazovky zobrazující upozornění aplikace Defender for Endpoint na neschválené aplikace

Poznámka

  • Po označení aplikace jako Neschválené trvá až dvě hodiny, než se domény aplikace rozšíří do koncových zařízení.
  • Ve výchozím nastavení se aplikace a domény označené jako Neschválené v Defender for Cloud Apps zablokují pro všechna zařízení koncových bodů v organizaci.
  • V současné době nejsou pro neschválené aplikace podporované úplné adresy URL. Proto když zrušíte schválení aplikací nakonfigurovaných s úplnými adresami URL, nebudou se šířit do Defenderu for Endpoint a nebudou blokovány. Například se google.com/drive nepodporuje, zatímco drive.google.com je podporováno.
  • Oznámení v prohlížeči se můžou v různých prohlížečích lišit.

Další kroky

Řízení aplikací zjištěných Microsoft Defender for Endpoint

Řízení cloudových aplikací pomocí zásad

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.