Jaa

Tutki Microsoft Defender for Endpoint löytämiä sovelluksia

  • Artikkeli

Microsoft Defender for Cloud Apps integrointi Microsoft Defender for Endpoint kanssa tarjoaa saumattoman varjo-IT-näkyvyyden ja hallintaratkaisun. Integroinnin avulla Defender for Cloud Apps järjestelmänvalvojat voivat tutkia löydettyjä laitteita, verkkotapahtumia ja sovelluksen käyttöä.

Ennakkovaatimukset

Varmista ennen tämän artikkelin toimintosarjojen suorittamista, että olet integroinut Microsoft Defender for Endpoint Microsoft Defender for Cloud Apps.

Tutki löydettyjä laitteita Defender for Cloud Apps

Kun olet integroinut Defender for Endpointin Defender for Cloud Apps kanssa, tutki löydettyjä laitetietoja pilven etsinnän koontinäytössä.

  1. Valitse Microsoft Defender portaalin Pilvisovellukset-kohdastaPilvietsintäkoontinäyttö>.

  2. Valitse sivun yläreunasta Defenderin hallitsemat päätepisteet. Tämä tietovirta sisältää tietoja kaikista käyttöjärjestelmistä, jotka on mainittu Defender for Cloud Apps edellytyksistä.

Ylimpänä näet löydettyjen laitteiden määrän, joka on lisätty integroinnin jälkeen.

  1. Valitse Laitteet-välilehti .

  2. Poraudu alaspäin kuhunkin luettelossa olevaan laitteeseen ja tarkastele tutkimustietoja välilehtien avulla. Etsi korrelaatiot tapauksiin osallistuneiden laitteiden, käyttäjien, IP-osoitteiden ja sovellusten välillä:

    • Yleiskatsaus:

      • Laitteen riskitaso: Näyttää, kuinka riskialtis laitteen profiili on suhteessa organisaation muihin laitteisiin, kuten vakavuus (suuri, keskitaso, pieni, tietoinen) osoittaa. Defender for Cloud Apps käyttää laiteprofiileja Defender for Endpointista kullekin laitteelle kehittyneen analysoinnin perusteella. Aktiivisuus, joka poikkeaa laitteen perusaikataulusta, arvioidaan ja se määrittää laitteen riskitason. Laitteen riskitason avulla voit määrittää, mitkä laitteet tutkitaan ensin.
      • Tapahtumat: Tietoja laitteessa valitun ajanjakson aikana tehtyjen tapahtumien määrästä.
      • Liikenteen kokonaismäärä: Tietoja liikenteen kokonaismäärästä (megatavuina) valitun ajanjakson aikana.
      • Lataukset: Tietoja laitteen lataaman liikenteen kokonaismäärästä (megatavuina) valitun ajanjakson aikana.
      • Lataukset: Tietoja laitteen lataaman liikenteen kokonaismäärästä (megatavuina) valitun ajanjakson aikana.

    • Löydetyt sovellukset: Lists kaikki löydetyt sovellukset, joita laite käyttää.

    • Käyttäjähistoria: Lists kaikki laitteeseen kirjautuneet käyttäjät.

    • IP-osoitehistoria: Lists kaikki laitteelle määritetyt IP-osoitteet.

Kuten minkä tahansa muunkin pilvitietolähteen kohdalla, voit viedä tiedot Defenderin hallitsemasta päätepisteraportista tarkempaa tutkimusta varten.

Huomautus

  • Defender for Endpoint välittää tiedot edelleen Defender for Cloud Apps noin 4 Mt:n lohkoina (noin 4 000 päätepistetapahtumaa)
  • Jos 4 Mt:n raja ei saavuta tunnin kuluessa, Defender for Endpoint raportoi kaikki viimeisen tunnin aikana suoritetut tapahtumat.

Löydä sovelluksia Defender for Endpointin kautta, kun päätepiste on verkon välityspalvelimen takana

Defender for Cloud Apps voivat löytää Defenderin päätepistelaitteille havaittuja varjo-IT-verkkotapahtumia, jotka toimivat samassa ympäristössä kuin verkon välityspalvelin. Jos Windows 10 päätepistelaite on esimerkiksi samassa ympäristössä kuin ZScalar, Defender for Cloud Apps voivat löytää Varjo-IT-sovelluksia Win10-päätepisteen käyttäjät -virran kautta.

Laitteen verkkotapahtumien tutkiminen Microsoft Defender XDR

Huomautus

Verkkotapahtumia tulee käyttää löydettyjen sovellusten tutkimiseen, eikä niitä tule käyttää puuttuvien tietojen virheenkorjaukseen.

Seuraavien vaiheiden avulla voit saada tarkempia näkyvyyttä laitteen verkkotoiminnassa Microsoft Defender for Endpoint:

  1. Valitse Microsoft Defender-portaalin Pilvisovellukset-kohdastaCloud Discovery. Valitse sitten Laitteet-välilehti .
  2. Valitse tietokone, jota haluat tutkia, ja valitse sitten vasemmasta yläkulmasta Näytä Microsoft Defender for Endpoint.
  3. Valitse Microsoft Defender XDR kohdassa Assets ->Devices> {selected device} Aikajana.
  4. Valitse Suodattimet-kohdastaVerkkotapahtumat.
  5. Tutki laitteen verkkotapahtumia tarpeen mukaan.

Näyttökuva, jossa näkyy laitteen aikajana Microsoft Defender XDR.

Sovelluksen käytön tutkiminen Microsoft Defender XDR kehittyneellä metsästyksellä

Seuraavien vaiheiden avulla voit saada tarkempaa näkyvyyttä sovelluksiin liittyvissä verkkotapahtumissa Defender for Endpointissa:

  1. Valitse Microsoft Defender-portaalin Pilvisovellukset-kohdastaCloud Discovery. Valitse sitten Löydettyjä sovelluksia -välilehti.

  2. Valitse sovellus, jota haluat tutkia, avataksesi sen laatikon.

  3. Valitse sovelluksen Toimialue-luettelo ja kopioi sitten toimialueluettelo.

  4. Valitse Microsoft Defender XDR Metsästys-kohdastaKehittynyt metsästys.

  5. Liitä seuraava kysely ja korvaa <DOMAIN_LIST> aiemmin kopioimasi toimialueluettelolla.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Suorita kysely ja tutki tämän sovelluksen verkkotapahtumat.

    Näyttökuva, jossa näkyy Microsoft Defender XDR kehittynyt metsästys.

Tutki sovelluksia, joita ei tueta Microsoft Defender XDR

Jokainen yritys käyttää ei-toimimatonta sovellusta käynnistää ilmoituksen Microsoft Defender XDR, joka sisältää tarkempia tietoja koko istunnosta. Näin voit tutkia tarkemmin yrityksiä käyttää sovelluksia, joita ei tueta, sekä antaa muita olennaisia tietoja päätepisteen laitetutkinnassa käytettäviksi.

Joskus ei-toimimattoman sovelluksen käyttöä ei estetä joko siksi, että päätepistelaitetta ei ole määritetty oikein, tai siksi, että täytäntöönpanokäytäntöä ei ole vielä välitetty päätepisteeseen. Tässä tapauksessa Defender for Endpoint -järjestelmänvalvojat saavat Microsoft Defender XDR ilmoituksen siitä, että käyttämättömiä sovelluksia ei ole estetty.

Näyttökuva, jossa näkyy Defender for Endpointin käyttämättömän sovelluksen ilmoitus.

Huomautus

  • Kestää jopa kaksi tuntia sen jälkeen, kun olet merkinnyt sovelluksen toimialueeksi, jota ei ole otettu käyttöön päätepistelaitteissa.
  • Oletusarvoisesti sovellukset ja toimialueet, jotka on merkitty ei-toimialueiksi Defender for Cloud Apps, estetään kaikissa organisaation päätepistelaitteissa.
  • Tällä hetkellä täydellisiä URL-osoitteita ei tueta toimimattomista sovelluksista. Tämän vuoksi, kun ei-toimimattomia sovelluksia on määritetty täydellisten URL-osoitteiden kanssa, niitä ei välitetä Defender for Endpointiin eikä niitä estetä. Esimerkiksi tätä ei tueta, google.com/drive vaikka drive.google.com sitä tuetaankin.
  • Selaimessa olevat ilmoitukset voivat vaihdella eri selainten välillä.

Seuraavat vaiheet

Hallitse Microsoft Defender for Endpoint löytämiä sovelluksia

Pilvisovellusten hallinta käytännöillä

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.