Freigeben über

Untersuchen von Apps, die von Microsoft Defender for Endpoint ermittelt wurden

  • Artikel

Die Microsoft Defender for Cloud Apps Integration mit Microsoft Defender for Endpoint bietet eine nahtlose Lösung für Schatten-IT-Sichtbarkeit und -Steuerung. Unsere Integration ermöglicht es Defender for Cloud Apps Administratoren, ermittelte Geräte, Netzwerkereignisse und die App-Nutzung zu untersuchen.

Voraussetzungen

Stellen Sie vor dem Ausführen der Verfahren in diesem Artikel sicher, dass Sie Microsoft Defender for Endpoint in Microsoft Defender for Cloud Apps integriert haben.

Untersuchen von ermittelten Geräten in Defender for Cloud Apps

Nachdem Sie Defender für Endpunkt in Defender for Cloud Apps integriert haben, untersuchen Sie ermittelte Gerätedaten im Cloud Discovery-Dashboard.

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Appsdie Option CloudDiscovery-Dashboard> aus.

  2. Wählen Sie oben auf der Seite von Defender verwaltete Endpunkte aus. Dieser Stream enthält Daten von allen Betriebssystemen, die in Defender for Cloud Apps Voraussetzungen erwähnt werden.

Oben sehen Sie die Anzahl der ermittelten Geräte, die nach der Integration hinzugefügt wurden.

  1. Wählen Sie die Registerkarte Geräte aus.

  2. Führen Sie einen Drilldown in jedes aufgeführte Gerät durch, und verwenden Sie die Registerkarten, um die Untersuchungsdaten anzuzeigen. Finden Sie Korrelationen zwischen den Geräten, den Benutzern, IP-Adressen und Apps, die an Incidents beteiligt waren:

    • Übersicht:

      • Geräterisikostufe: Zeigt, wie riskant das Profil des Geräts im Verhältnis zu anderen Geräten in Ihrem organization ist, wie durch den Schweregrad (hoch, mittel, niedrig, informativ) angegeben wird. Defender for Cloud Apps verwendet für jedes Gerät auf erweiterten Analysen basierende Geräteprofile von Microsoft Defender für Endpunkt. Aktivität, die von der Basislinie eines Geräts abweichen, werden bewertet und bestimmen die Risikostufe des Geräts. Verwenden Sie die Geräterisikostufe, um zu bestimmen, welche Geräte zuerst untersucht werden sollen.
      • Transaktionen: Informationen zur Anzahl der Transaktionen, die im ausgewählten Zeitraum auf dem Gerät stattgefunden haben.
      • Gesamtdatenverkehr: Informationen zur Gesamtmenge des Datenverkehrs (in MB) im ausgewählten Zeitraum.
      • Uploads: Informationen zur Gesamtmenge des Datenverkehrs (in MB), der vom Gerät während des ausgewählten Zeitraums hochgeladen wurde.
      • Downloads: Informationen zur Gesamtmenge des vom Gerät heruntergeladenen Datenverkehrs (in MB) im ausgewählten Zeitraum.

    • Ermittelte Apps: Listen alle ermittelten Apps, auf die vom Gerät zugegriffen wurde.

    • Benutzerverlauf: Listen alle Benutzer, die sich beim Gerät angemeldet haben.

    • IP-Adressverlauf: Listen alle IP-Adressen, die dem Gerät zugewiesen wurden.

Wie bei jeder anderen Cloud Discovery-Quelle können Sie die Daten zur weiteren Untersuchung aus dem Bericht über von Defender verwaltete Endpunkte exportieren.

Hinweis

  • Defender für Endpunkt leitet Daten in Blöcken von ~4 MB (~4000 Endpunkttransaktionen) an Defender for Cloud Apps weiter.
  • Wenn der Grenzwert von 4 MB nicht innerhalb einer Stunde erreicht wird, meldet Defender für Endpunkt alle Transaktionen, die in der letzten Stunde ausgeführt wurden.

Ermitteln von Apps über Defender für Endpunkt, wenn sich der Endpunkt hinter einem Netzwerkproxy befindet

Defender for Cloud Apps können Schatten-IT-Netzwerkereignisse ermitteln, die von Defender für Endpunkt-Geräten erkannt werden, die in derselben Umgebung wie ein Netzwerkproxy arbeiten. Wenn sich Ihr Windows 10-Endpunktgerät beispielsweise in derselben Umgebung wie ZScalar befindet, können Defender for Cloud Apps Schatten-IT-Anwendungen über den Win10-Endpunktbenutzerstream ermitteln.

Untersuchen von Gerätenetzwerkereignissen in Microsoft Defender XDR

Hinweis

Netzwerkereignisse sollten verwendet werden, um ermittelte Apps zu untersuchen und nicht zum Debuggen fehlender Daten.

Führen Sie die folgenden Schritte aus, um eine präzisere Sichtbarkeit der Netzwerkaktivität des Geräts in Microsoft Defender for Endpoint zu erhalten:

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Appsdie Option Cloud Discovery aus. Wählen Sie dann die Registerkarte Geräte aus.
  2. Wählen Sie den Computer aus, den Sie untersuchen möchten, und wählen Sie dann oben links Ansicht in Microsoft Defender for Endpoint aus.
  3. Wählen Sie in Microsoft Defender XDR unter Assets ->Devices> {selected device} die Option Timeline aus.
  4. Wählen Sie unter Filterdie Option Netzwerkereignisse aus.
  5. Untersuchen Sie die Netzwerkereignisse des Geräts nach Bedarf.

Screenshot: Zeitleiste des Geräts in Microsoft Defender XDR

Untersuchen der App-Nutzung in Microsoft Defender XDR mit erweiterter Suche

Führen Sie die folgenden Schritte aus, um eine präzisere Sichtbarkeit von App-bezogenen Netzwerkereignissen in Defender für Endpunkt zu erhalten:

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Appsdie Option Cloud Discovery aus. Wählen Sie dann die Registerkarte Ermittelte Apps aus.

  2. Wählen Sie die App aus, die Sie untersuchen möchten, um die Schublade zu öffnen.

  3. Wählen Sie die Liste Domäne der App aus, und kopieren Sie dann die Liste der Domänen.

  4. Wählen Sie in Microsoft Defender XDR unter Hunting die Option Erweiterte Suche aus.

  5. Fügen Sie die folgende Abfrage ein, und ersetzen Sie durch <DOMAIN_LIST> die Liste der Domänen, die Sie zuvor kopiert haben.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Führen Sie die Abfrage aus, und untersuchen Sie Netzwerkereignisse für diese App.

    Screenshot: Microsoft Defender XDR Erweiterte Suche

Untersuchen nicht genehmigter Apps in Microsoft Defender XDR

Jeder Versuch, auf eine nicht sanktionierte App zuzugreifen, löst eine Warnung in Microsoft Defender XDR mit ausführlichen Details zur gesamten Sitzung aus. Auf diese Weise können Sie eingehendere Untersuchungen zu Versuchen durchführen, auf nicht sanktionierte Apps zuzugreifen, sowie zusätzliche relevante Informationen für die Verwendung bei der Untersuchung von Endpunktgeräten bereitstellen.

Manchmal wird der Zugriff auf eine nicht sanktionierte App nicht blockiert, entweder weil das Endpunktgerät nicht ordnungsgemäß konfiguriert ist oder wenn die Erzwingungsrichtlinie noch nicht an den Endpunkt weitergegeben wurde. In diesem instance erhalten Defender für Endpunkt-Administratoren eine Warnung in Microsoft Defender XDR, dass die nicht sanktionierte App nicht blockiert wurde.

Screenshot: Warnung einer nicht sanktionierten App für Defender für Endpunkt

Hinweis

  • Es dauert bis zu zwei Stunden, nachdem Sie eine App als Nicht sanktioniert gekennzeichnet haben , bis App-Domänen an Endpunktgeräte weitergegeben werden.
  • Standardmäßig werden Apps und Domänen, die in Defender for Cloud Apps als nicht sanktioniert gekennzeichnet sind, für alle Endpunktgeräte im organization blockiert.
  • Derzeit werden vollständige URLs für nicht sanktionierte Apps nicht unterstützt. Daher werden Apps, die mit vollständigen URLs konfiguriert sind, nicht an Defender für Endpunkt weitergegeben und nicht blockiert. Beispielsweise google.com/drive wird nicht unterstützt, während drive.google.com unterstützt wird.
  • Browserinterne Benachrichtigungen können zwischen verschiedenen Browsern variieren.

Nächste Schritte

Steuern von Apps, die von Microsoft Defender for Endpoint ermittelt wurden

Steuerung von Cloud-Apps mit Richtlinien

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.