Condividi tramite

Analizzare le app individuate da Microsoft Defender per endpoint

  • Articolo

L'integrazione Microsoft Defender for Cloud Apps con Microsoft Defender per endpoint offre una soluzione di controllo e visibilità Shadow IT senza problemi. L'integrazione consente agli amministratori Defender for Cloud Apps di analizzare i dispositivi individuati, gli eventi di rete e l'utilizzo delle app.

Prerequisiti

Prima di eseguire le procedure descritte in questo articolo, assicurarsi di aver integrato Microsoft Defender per endpoint con Microsoft Defender for Cloud Apps.

Analizzare i dispositivi individuati in Defender for Cloud Apps

Dopo aver integrato Defender per endpoint con Defender for Cloud Apps, esaminare i dati dei dispositivi individuati nel dashboard di individuazione cloud.

  1. Nel portale di Microsoft Defender selezionare Cloud Discovery>Dashboard in App cloud.

  2. Nella parte superiore della pagina selezionare Endpoint gestiti da Defender. Questo flusso contiene i dati di tutti i sistemi operativi indicati nei prerequisiti Defender for Cloud Apps.

Nella parte superiore verrà visualizzato il numero di dispositivi individuati aggiunti dopo l'integrazione.

  1. Selezionare la scheda Dispositivi .

  2. Eseguire il drill-down in ogni dispositivo elencato e usare le schede per visualizzare i dati di indagine. Trovare le correlazioni tra i dispositivi, gli utenti, gli indirizzi IP e le app coinvolte in eventi imprevisti:

    • Panoramica:

      • Livello di rischio del dispositivo: mostra quanto sia rischioso il profilo del dispositivo rispetto ad altri dispositivi dell'organizzazione, come indicato dalla gravità (alta, media, bassa, informativa). Defender for Cloud Apps usa i profili dei dispositivi da Defender per endpoint per ciascun dispositivo in base ad analisi avanzate. Le attività anomale nella baseline del dispositivo sono valutate e determinano il livello di rischio del dispositivo. Usare il livello di rischio del dispositivo per determinare quali dispositivi analizzare per primi.
      • Transazioni: informazioni sul numero di transazioni eseguite nel dispositivo nel periodo di tempo selezionato.
      • Traffico totale: informazioni sulla quantità totale di traffico (in MB) nel periodo di tempo selezionato.
      • Caricamenti: informazioni sulla quantità totale di traffico (in MB) caricata dal dispositivo nel periodo di tempo selezionato.
      • Download: informazioni sulla quantità totale di traffico (in MB) scaricata dal dispositivo nel periodo di tempo selezionato.

    • App individuate: Elenchi tutte le app individuate a cui è stato eseguito l'accesso dal dispositivo.

    • Cronologia utente: Elenchi tutti gli utenti che hanno eseguito l'accesso al dispositivo.

    • Cronologia indirizzi IP: Elenchi tutti gli indirizzi IP assegnati al dispositivo.

Come per qualsiasi altra origine di individuazione cloud, è possibile esportare i dati dal report degli endpoint gestiti da Defender per ulteriori indagini.

Nota

  • Defender per endpoint inoltra i dati a Defender for Cloud Apps in blocchi di circa 4 MB (~4000 transazioni endpoint)
  • Se il limite di 4 MB non viene raggiunto entro 1 ora, Defender per endpoint segnala tutte le transazioni eseguite nell'ultima ora.

Individuare le app tramite Defender per endpoint quando l'endpoint si trova dietro un proxy di rete

Defender for Cloud Apps possibile individuare gli eventi di rete IT shadow rilevati dai dispositivi Defender per endpoint che funzionano nello stesso ambiente di un proxy di rete. Ad esempio, se il dispositivo endpoint Windows 10 si trova nello stesso ambiente di ZScalar, Defender for Cloud Apps possibile individuare applicazioni IT shadow tramite il flusso Utenti endpoint Win10.

Analizzare gli eventi di rete dei dispositivi in Microsoft Defender XDR

Nota

Gli eventi di rete devono essere usati per analizzare le app individuate e non per eseguire il debug dei dati mancanti.

Usare la procedura seguente per ottenere una visibilità più granulare sull'attività di rete del dispositivo in Microsoft Defender per endpoint:

  1. Nel portale Microsoft Defender selezionare Cloud Discovery in App cloud. Selezionare quindi la scheda Dispositivi .
  2. Selezionare il computer da analizzare e quindi in alto a sinistra selezionare Visualizza in Microsoft Defender per endpoint.
  3. In Microsoft Defender XDR, in Asset ->Dispositivi> {dispositivo selezionato}, selezionare Sequenza temporale.
  4. In Filtri selezionare Eventi di rete.
  5. Analizzare gli eventi di rete del dispositivo in base alle esigenze.

Screenshot che mostra la sequenza temporale del dispositivo in Microsoft Defender XDR.

Analizzare l'utilizzo delle app in Microsoft Defender XDR con ricerca avanzata

Usare la procedura seguente per ottenere una visibilità più granulare sugli eventi di rete correlati alle app in Defender per endpoint:

  1. Nel portale Microsoft Defender selezionare Cloud Discovery in App cloud. Selezionare quindi la scheda App individuate .

  2. Selezionare l'app che si vuole analizzare per aprire il relativo cassetto.

  3. Selezionare l'elenco Dominio dell'app e quindi copiare l'elenco di domini.

  4. In Microsoft Defender XDR in Ricerca selezionare Ricerca avanzata.

  5. Incollare la query seguente e sostituire <DOMAIN_LIST> con l'elenco di domini copiati in precedenza.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Eseguire la query ed esaminare gli eventi di rete per questa app.

    Screenshot che mostra Microsoft Defender XDR Ricerca avanzata.

Analizzare le app non approvate in Microsoft Defender XDR

Ogni tentativo di accesso a un'app non autorizzata attiva un avviso in Microsoft Defender XDR con dettagli approfonditi sull'intera sessione. In questo modo è possibile eseguire indagini più approfondite sui tentativi di accesso alle app non approvate, oltre a fornire informazioni rilevanti aggiuntive per l'uso nell'analisi dei dispositivi endpoint.

In alcuni casi, l'accesso a un'app non autorizzata non è bloccato, perché il dispositivo endpoint non è configurato correttamente o se i criteri di imposizione non sono ancora stati propagati all'endpoint. In questa istanza, gli amministratori di Defender per endpoint riceveranno un avviso in Microsoft Defender XDR che l'app non autorizzata non è stata bloccata.

Screenshot che mostra l'avviso dell'app defender per endpoint non approvato.

Nota

  • La propagazione dei domini dell'app ai dispositivi endpoint richiede fino a due ore dopo aver contrassegnato un'app come non autorizzata.
  • Per impostazione predefinita, le app e i domini contrassegnati come non approvati in Defender for Cloud Apps verranno bloccati per tutti i dispositivi endpoint nell'organizzazione.
  • Attualmente, gli URL completi non sono supportati per le app non approvate. Pertanto, quando si annulla l'approvazione delle app configurate con URL completi, non vengono propagate a Defender per endpoint e non verranno bloccate. Ad esempio, google.com/drive non è supportato, mentre drive.google.com è supportato.
  • Le notifiche nel browser possono variare tra browser diversi.

Passaggi successivi

Gestire le app individuate da Microsoft Defender per endpoint

Controllare le app cloud con i criteri

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.