Integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud Apps

Microsoft Defender para punto de conexión es una plataforma de seguridad para la protección inteligente, la detección, la investigación y la respuesta. Defender for Endpoint protege los puntos de conexión frente a ciberamenazas, detecta ataques avanzados e infracciones de datos, automatiza incidentes de seguridad y mejora la posición de seguridad.

En este artículo se describe la integración integrada disponible entre Microsoft Defender for Cloud Apps y Microsoft Defender para punto de conexión, lo que simplifica la detección de la nube y habilita la investigación basada en dispositivos.

Importante

Este artículo se centra en las funcionalidades de detección de TI de sombra de los registros de Defender para punto de conexión. Para obtener más información sobre las funcionalidades de administración de shadow IT a través de Defender para punto de conexión, consulte Gobernanza de las aplicaciones detectadas mediante Microsoft Defender para punto de conexión.

Requisitos previos

• Licencia de Microsoft Defender para Cloud Apps

• Uno de los siguientes:

  • Microsoft Defender para punto de conexión con el plan 2
  • Microsoft Defender para Empresas con una licencia premium o independiente

  Para obtener más información, consulte Comparación de planes de seguridad de puntos de conexión de Microsoft.

• Aplicaciones que usan uno de los siguientes sistemas operativos:

  • Windows 10 versión 1709 (compilación del sistema operativo 16299.1085 con KB4493441)
  • Windows 10 versión 1803 (compilación del sistema operativo 17134.704 con KB4493464)
  • Windows 10 versión 1809 (compilación del sistema operativo 17763.379 con KB4489899) o versiones posteriores Windows 10 y Windows 11
  • macOS, en dispositivos con La versión 20.123072.25.0 o posterior de Defender para punto de conexión

• Para admitir integraciones para aplicaciones macOS, debe activar las funcionalidades de protección de red en Microsoft Defender para punto de conexión. Dado que la protección de red solo audita los eventos de cierre de la conexión TCP, los protocolos UDP no se cubren para la compatibilidad con macOS. Para obtener más información, consulte Activar la protección de red.

• (Recomendado) Habilite Microsoft Defender Antivirus:

  • Protección en tiempo real habilitada
  • Protección entregada en la nube habilitada
  • Protección de red habilitada y configurada para el modo de bloqueo

Nota:

Aunque Microsoft Defender Antivirus es muy recomendable para la detección, no es obligatorio. Algunos datos de detección siguen estando disponibles cuando Antivirus de Defender está deshabilitado.

Cómo funciona

Por sí solo, Defender for Cloud Apps recopila registros de los puntos de conexión mediante los registros que cargue o configurando la carga automática de registros. La integración integrada permite aprovechar los registros que crea el agente de Defender para punto de conexión cuando se ejecuta en Windows y supervisa las transacciones de red. Use esta información para la detección de Shadow IT en los dispositivos Windows de la red.

La integración no requiere pasos de implementación adicionales ni enrutamiento ni creación de reflejo del tráfico desde los puntos de conexión, y funciona de la siguiente manera:

• Los registros de los puntos de conexión que se envían a Defender for Cloud Apps proporcionan información de usuario y dispositivo para las actividades de tráfico. El contexto del dispositivo emparejado con el nombre de usuario proporciona una imagen completa en toda la red que le permite determinar qué usuario realizó la actividad desde qué dispositivo.
• Cuando identifique a un usuario de riesgo, compruebe los dispositivos a los que el usuario accedió para detectar posibles riesgos. Si identifica un dispositivo de riesgo, compruebe todos los usuarios que lo usaron para detectar posibles riesgos adicionales.
• Una vez recopilada la información de tráfico, está listo para profundizar en el uso de aplicaciones en la nube en su organización. Defender for Cloud Apps aprovecha las funcionalidades de Defender para Endpoint Network Protection para bloquear el acceso del dispositivo de punto de conexión a las aplicaciones en la nube. Para obtener más información sobre cómo gobernar las aplicaciones detectadas, consulte Gobernanza de las aplicaciones detectadas mediante Microsoft Defender para punto de conexión.

Los clientes que se integran con dispositivos macOS pueden observar un aumento en el consumo de CPU.

Sugerencia

Vea nuestros vídeos en los que se muestran las ventajas de usar Defender para punto de conexión con Defender for Cloud Apps.

Integración de Microsoft Defender para punto de conexión con Defender for Cloud Apps

Para habilitar la integración de Defender para punto de conexión con Defender for Cloud Apps:

1. En el portal de Microsoft Defender, en el panel de navegación, seleccione Configuración>Puntos de conexión Características avanzadas>generales>.
2. Cambie el Microsoft Defender for Cloud Apps a Activado.
3. Seleccione Aplicar.

Nota:

La integración de los datos tarda hasta dos horas en aparecer en Defender for Cloud Apps.

Para configurar la gravedad de las alertas enviadas a Microsoft Defender para punto de conexión:

1. En Microsoft Defender Portal, seleccione Configuración>de Cloud Apps>Cloud Discovery>Microsoft Defender para punto de conexión.

2. En Alertas, seleccione el nivel de gravedad global para las alertas.

3. Haga clic en Guardar.

   

Pasos siguientes

Investigación de aplicaciones detectadas por Microsoft Defender para punto de conexión

Controlar las aplicaciones detectadas por Microsoft Defender para punto de conexión

Vídeos relacionados

Detección y bloqueo de Shadow IT mediante Defender para punto de conexión

Sombra de la detección de TI más allá de la red corporativa

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.