Intégrer Microsoft Defender pour point de terminaison à Microsoft Defender for Cloud Apps
Microsoft Defender pour point de terminaison est une plateforme de sécurité pour la protection intelligente, la détection, l’investigation et la réponse. Defender pour point de terminaison protège les points de terminaison contre les cybermenaces, détecte les attaques avancées et les violations de données, automatise les incidents de sécurité et améliore la posture de sécurité.
Cet article décrit l’intégration prête à l’emploi disponible entre Microsoft Defender for Cloud Apps et Microsoft Defender pour point de terminaison, ce qui simplifie la découverte du cloud et l’activation de l’investigation basée sur les appareils.
Importante
Cet article se concentre sur les fonctionnalités de découverte de l’informatique fantôme à partir des journaux Defender pour point de terminaison. Pour plus d’informations sur les fonctionnalités de gouvernance de l’informatique fantôme via Defender pour point de terminaison, consultez Gouverner les applications découvertes à l’aide de Microsoft Defender pour point de terminaison.
Configuration requise
Licence Microsoft Defender pour Cloud Apps
Un des éléments suivants :
- Microsoft Defender pour point de terminaison avec plan 2
- Microsoft Defender pour entreprises avec une licence Premium ou autonome
Pour plus d’informations, consultez Comparer les plans de sécurité des points de terminaison Microsoft.
Applications utilisant l’un des systèmes d’exploitation suivants :
- Windows 10 version 1709 (build du système d’exploitation 16299.1085 avec KB4493441)
- Windows 10 version 1803 (build du système d’exploitation 17134.704 avec KB4493464)
- Windows 10 version 1809 (build du système d’exploitation 17763.379 avec KB4489899) ou versions ultérieures Windows 10 et Windows 11
- macOS, sur les appareils avec Defender pour point de terminaison version 20.123072.25.0 ou ultérieure
Pour prendre en charge les intégrations pour les applications macOS, vous devez activer les fonctionnalités de protection réseau dans Microsoft Defender pour point de terminaison. Étant donné que la protection réseau audite uniquement les événements de fermeture de connexion TCP, les protocoles UDP ne sont pas couverts pour la prise en charge de macOS. Pour plus d’informations, consultez Activer la protection réseau.
(Recommandé) Activer Microsoft Defender Antivirus :
Remarque
Bien que Microsoft Defender Antivirus soit fortement recommandé pour la découverte, il n’est pas obligatoire. Certaines données de découverte sont toujours disponibles lorsque Defender Antivirus est désactivé.
Mode de fonctionnement
Seul, Defender for Cloud Apps collecte les journaux à partir de vos points de terminaison à l’aide des journaux que vous chargez ou en configurant le chargement automatique des journaux. L’intégration prête à l’emploi vous permet de tirer parti des journaux créés par l’agent defender pour point de terminaison lorsqu’il s’exécute sur Windows et surveille les transactions réseau. Utilisez ces informations pour la découverte de l’informatique fantôme sur les appareils Windows de votre réseau.
L’intégration ne nécessite pas d’étapes de déploiement supplémentaires ni de routage ou de mise en miroir du trafic à partir de vos points de terminaison, et fonctionne comme suit :
- Les journaux de vos points de terminaison envoyés à Defender for Cloud Apps fournissent des informations sur les utilisateurs et les appareils pour les activités de trafic. Le jumelage du contexte de l’appareil avec le nom d’utilisateur fournit une image complète sur votre réseau, ce qui vous permet de déterminer quel utilisateur a effectué l’activité à partir de quel appareil.
- Lorsque vous identifiez un utilisateur à risque, case activée les appareils auxquels l’utilisateur a accédé pour détecter les risques potentiels. Si vous identifiez un appareil à risque, case activée tous les utilisateurs qui l’ont utilisé pour détecter d’autres risques potentiels.
- Une fois les informations sur le trafic collectées, vous êtes prêt à approfondir l’utilisation des applications cloud dans votre organization. Defender for Cloud Apps tire parti des fonctionnalités de Protection réseau de Defender pour point de terminaison pour bloquer l’accès des appareils de point de terminaison aux applications cloud. Pour plus d’informations sur la gouvernance des applications découvertes, consultez Gouverner les applications découvertes à l’aide de Microsoft Defender pour point de terminaison.
Les clients qui intègrent des appareils macOS peuvent observer un pic de consommation du processeur.
Conseil
Regardez nos vidéos montrant les avantages de l’utilisation de Defender pour point de terminaison avec Defender for Cloud Apps.
Intégrer Microsoft Defender pour point de terminaison à Defender for Cloud Apps
Pour activer l’intégration de Defender pour point de terminaison à Defender for Cloud Apps :
- Dans le portail Microsoft Defender, dans le volet de navigation, sélectionnez Paramètres>Points de terminaisonFonctionnalités avancées>générales>.
- Basculez le Microsoft Defender for Cloud Apps sur Activé.
- Sélectionnez Appliquer.
Remarque
Il faut jusqu’à deux heures après l’activation de l’intégration pour que les données s’affichent dans Defender for Cloud Apps.
Pour configurer la gravité des alertes envoyées à Microsoft Defender pour point de terminaison :
Dans le portail Microsoft Defender, sélectionnez Paramètres>Cloud Apps>Cloud Discovery>Microsoft Defender pour point de terminaison.
Sous Alertes, sélectionnez le niveau de gravité global des alertes.
Sélectionnez Enregistrer.
Étapes suivantes
Vidéos connexes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.