Integrare Microsoft Defender per endpoint con Microsoft Defender for Cloud Apps

Microsoft Defender per endpoint è una piattaforma di sicurezza per la protezione intelligente, il rilevamento, l'indagine e la risposta. Defender per endpoint protegge gli endpoint dalle minacce informatiche, rileva attacchi avanzati e violazioni dei dati, automatizza gli eventi imprevisti di sicurezza e migliora il comportamento di sicurezza.

Questo articolo descrive l'integrazione predefinita disponibile tra Microsoft Defender for Cloud Apps e Microsoft Defender per endpoint, che semplifica l'individuazione cloud e abilita l'analisi basata su dispositivi.

Importante

Questo articolo è incentrato sulle funzionalità di individuazione IT shadow dai log di Defender per endpoint. Per altre informazioni sulle funzionalità di gestione IT shadow tramite Defender per endpoint, vedere Governare le app individuate usando Microsoft Defender per endpoint.

Prerequisiti

• Licenza di Microsoft Defender for Cloud Apps

• Uno dei seguenti:

  • Microsoft Defender per endpoint con piano 2
  • Microsoft Defender for Business con una licenza Premium o autonoma

  Per altre informazioni, vedere Confrontare i piani di sicurezza degli endpoint Microsoft.

• App che usano uno dei sistemi operativi seguenti:

  • Windows 10 versione 1709 (build del sistema operativo 16299.1085 con KB4493441)
  • Windows 10 versione 1803 (build del sistema operativo 17134.704 con KB4493464)
  • Windows 10 versione 1809 (build del sistema operativo 17763.379 con KB4489899) o versioni successive Windows 10 e Windows 11
  • macOS, nei dispositivi con Defender per endpoint versione 20.123072.25.0 o successiva

• Per supportare le integrazioni per le app macOS, è necessario attivare le funzionalità di protezione di rete in Microsoft Defender per endpoint. Poiché la protezione di rete controlla solo gli eventi di chiusura della connessione TCP, i protocolli UDP non sono coperti per il supporto di macOS. Per altre informazioni, vedere Attivare la protezione di rete

• (Scelta consigliata) Abilitare Microsoft Defender Antivirus:

  • Protezione in tempo reale abilitata
  • Protezione fornita dal cloud abilitata
  • Protezione di rete abilitata e configurata per la modalità di blocco

Nota

Anche se Microsoft Defender Antivirus è altamente consigliato per l'individuazione, non è obbligatorio. Alcuni dati di individuazione sono ancora disponibili quando Antivirus Defender è disabilitato.

Come funziona

In modo autonomo, Defender for Cloud Apps raccoglie i log dagli endpoint usando i log caricati o configurando il caricamento automatico dei log. L'integrazione predefinita consente di sfruttare i log creati dall'agente di Defender per endpoint quando viene eseguito in Windows e monitora le transazioni di rete. Usare queste informazioni per l'individuazione IT shadow nei dispositivi Windows nella rete.

L'integrazione non richiede passaggi aggiuntivi per la distribuzione o il routing o il mirroring del traffico dagli endpoint e funziona come segue:

• I log degli endpoint inviati a Defender for Cloud Apps forniscono informazioni sull'utente e sul dispositivo per le attività di traffico. L'associazione del contesto del dispositivo al nome utente fornisce un quadro completo della rete che consente di determinare quale utente ha eseguito l'attività da quale dispositivo.
• Quando si identifica un utente rischioso, controllare i dispositivi a cui l'utente ha effettuato l'accesso per rilevare potenziali rischi. Se si identifica un dispositivo rischioso, controllare tutti gli utenti che lo hanno usato per rilevare altri potenziali rischi.
• Dopo aver raccolto le informazioni sul traffico, è possibile approfondire l'uso delle app cloud nell'organizzazione. Defender for Cloud Apps sfrutta le funzionalità di Defender per Endpoint Network Protection per bloccare l'accesso dei dispositivi endpoint alle app cloud. Per altre informazioni sulla gestione delle app individuate, vedere Governare le app individuate usando Microsoft Defender per endpoint.

I clienti che si integrano con i dispositivi macOS possono osservare un picco nell'utilizzo della CPU.

Consiglio

Guardare i video che mostrano i vantaggi dell'uso di Defender per endpoint con Defender for Cloud Apps.

Integrare Microsoft Defender per endpoint con Defender for Cloud Apps

Per abilitare l'integrazione di Defender per endpoint con Defender for Cloud Apps:

1. Nel portale di Microsoft Defender, nel riquadro di spostamento selezionare Impostazioni>Funzionalità avanzategenerali>endpoint>.
2. Attivare o disattivare l'Microsoft Defender for Cloud Apps.
3. Selezionare Applica.

Nota

L'abilitazione dell'integrazione per la visualizzazione dei dati in Defender for Cloud Apps richiede fino a due ore.

Per configurare la gravità per gli avvisi inviati a Microsoft Defender per endpoint:

1. Nel portale di Microsoft Defender selezionare Impostazioni>Cloud Apps>Cloud Discovery>Microsoft Defender per endpoint.

2. In Avvisi selezionare il livello di gravità globale per gli avvisi.

3. Seleziona Salva.

   

Passaggi successivi

Analizzare le app individuate da Microsoft Defender per endpoint

Gestire le app individuate da Microsoft Defender per endpoint

Video correlati

Individuare e bloccare Shadow IT usando Defender per endpoint

Individuazione IT shadow oltre la rete aziendale

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.