Integrieren von Microsoft Defender for Endpoint in Microsoft Defender for Cloud Apps

Microsoft Defender for Endpoint ist eine Sicherheitsplattform für intelligenten Schutz, Erkennung, Untersuchung und Reaktion. Defender für Endpunkt schützt Endpunkte vor Cyberbedrohungen, erkennt erweiterte Angriffe und Datenschutzverletzungen, automatisiert Sicherheitsvorfälle und verbessert den Sicherheitsstatus.

In diesem Artikel wird die sofort einsatzbereite Integration zwischen Microsoft Defender for Cloud Apps und Microsoft Defender for Endpoint beschrieben, die die Cloudermittlung vereinfacht und die gerätebasierte Untersuchung ermöglicht.

Wichtig

Dieser Artikel konzentriert sich auf Schatten-IT-Ermittlungsfunktionen aus Defender für Endpunkt-Protokollen. Weitere Informationen zu Schatten-IT-Steuerungsfunktionen über Defender für Endpunkt finden Sie unter Steuern von ermittelten Apps mithilfe von Microsoft Defender for Endpoint.

Voraussetzungen

• Lizenz für Microsoft Defender for Cloud Apps

• Eine der folgenden Varianten:

  • Microsoft Defender for Endpoint mit Plan 2
  • Microsoft Defender for Business mit einer Premium- oder eigenständigen Lizenz

  Weitere Informationen finden Sie unter Vergleichen von Microsoft-Endpunktsicherheitsplänen.

• Apps mit einem der folgenden Betriebssysteme:

  • Windows 10 Version 1709 (BS-Build 16299.1085 mit KB4493441)
  • Windows 10 Version 1803 (BS-Build 17134.704 mit KB4493464)
  • Windows 10 Version 1809 (BS-Build 17763.379 mit KB4489899) oder höher Windows 10 und Windows 11 Versionen
  • macOS, auf Geräten mit Defender für Endpunkt Version 20.123072.25.0 oder höher

• Um Integrationen für macOS-Apps zu unterstützen, müssen Sie die Netzwerkschutzfunktionen in Microsoft Defender for Endpoint aktivieren. Da der Netzwerkschutz nur Ereignisse zum Schließen von TCP-Verbindungen überwacht, werden UDP-Protokolle nicht für die macOS-Unterstützung abgedeckt. Weitere Informationen finden Sie unter Aktivieren des Netzwerkschutzes.

• (Empfohlen) Aktivieren sie Microsoft Defender Antivirus:

  • Echtzeitschutz aktiviert
  • In der Cloud bereitgestellter Schutz aktiviert
  • Netzwerkschutz aktiviert und für den Blockierungsmodus konfiguriert

Hinweis

Obwohl Microsoft Defender Antivirus dringend für die Ermittlung empfohlen wird, ist dies nicht obligatorisch. Einige Ermittlungsdaten sind weiterhin verfügbar, wenn Defender Antivirus deaktiviert ist.

So funktioniert es

Selbst sammelt Defender for Cloud Apps Protokolle von Ihren Endpunkten mithilfe von hochgeladenen Protokollen oder durch Konfigurieren des automatischen Protokolluploads. Die sofort einsatzbereite Integration ermöglicht es Ihnen, die Protokolle zu nutzen, die der Agent von Defender für Endpunkt erstellt, wenn er unter Windows ausgeführt wird und Netzwerktransaktionen überwacht. Verwenden Sie diese Informationen für die Schatten-IT-Ermittlung auf den Windows-Geräten in Ihrem Netzwerk.

Die Integration erfordert keine zusätzlichen Bereitstellungsschritte und keine Weiterleitung oder Spiegelung von Datenverkehr von Ihren Endpunkten und funktioniert wie folgt:

• Protokolle von Ihren Endpunkten, die an Defender for Cloud Apps Benutzer- und Geräteinformationen für Datenverkehrsaktivitäten bereitstellen. Das Koppeln des Gerätekontexts mit dem Benutzernamen bietet ein vollständiges Bild im gesamten Netzwerk, sodass Sie ermitteln können, welcher Benutzer welche Aktivität von welchem Gerät aus ausgeführt hat.
• Wenn Sie einen risikobehafteten Benutzer identifizieren, überprüfen Sie die Geräte, auf die der Benutzer zugegriffen hat, um potenzielle Risiken zu erkennen. Wenn Sie ein riskantes Gerät identifizieren, überprüfen Sie alle Benutzer, die es verwendet haben, um weitere potenzielle Risiken zu erkennen.
• Nachdem Verkehrsinformationen erfasst wurden, können Sie sich eingehend mit der Verwendung von Cloud-Apps in Ihrem organization befassen. Defender for Cloud Apps nutzt die Netzwerkschutzfunktionen von Defender für Endpunkt, um den Zugriff von Endpunktgeräten auf Cloud-Apps zu blockieren. Weitere Informationen zum Steuern der ermittelten Apps finden Sie unter Steuern ermittelter Apps mithilfe von Microsoft Defender for Endpoint.

Kunden, die mit macOS-Geräten integrieren, können einen Anstieg der CPU-Auslastung feststellen.

Tipp

Sehen Sie sich unsere Videos an, die die Vorteile der Verwendung von Defender für Endpunkt mit Defender for Cloud Apps zeigen.

Integrieren von Microsoft Defender for Endpoint in Defender for Cloud Apps

So aktivieren Sie die Integration von Defender für Endpunkt mit Defender for Cloud Apps:

1. Wählen Sie im Microsoft Defender-Portal im Navigationsbereich Einstellungen>Endpunkte>Allgemein>Erweiterte Features aus.
2. Schalten Sie die Microsoft Defender for Cloud Apps auf Ein um.
3. Wählen Sie Anwenden aus.

Hinweis

Es dauert bis zu zwei Stunden, nachdem Sie die Integration aktiviert haben, bis die Daten in Defender for Cloud Apps angezeigt werden.

So konfigurieren Sie den Schweregrad für Warnungen, die an Microsoft Defender for Endpoint gesendet werden:

1. Wählen Sie im Microsoft Defender-Portal Einstellungen>Cloud Apps>Cloud Discovery>Microsoft Defender for Endpoint aus.

2. Wählen Sie unter Warnungen den globalen Schweregrad für Warnungen aus.

3. Klicken Sie auf Speichern.

   

Nächste Schritte

Untersuchen von Apps, die von Microsoft Defender for Endpoint ermittelt wurden

Steuern von Apps, die von Microsoft Defender for Endpoint ermittelt wurden

Verwandte Videos

Ermitteln und Blockieren der Schatten-IT mithilfe von Defender für Endpunkt

Schatten-IT-Ermittlung über das Unternehmensnetzwerk hinaus

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.