Del via

Undersøke apper som oppdages av Microsoft Defender for endepunkt

  • Artikkel

Integrering av Microsoft Defender for Cloud Apps med Microsoft Defender for endepunkt gir en sømløs Shadow IT-synlighet og kontrollløsning. Integreringen vår gjør det mulig for Defender for Cloud Apps administratorer å undersøke oppdagede enheter, nettverkshendelser og appbruk.

Forutsetninger

Før du utfører prosedyrene i denne artikkelen, må du kontrollere at du har integrert Microsoft Defender for endepunkt med Microsoft Defender for Cloud Apps.

Undersøke oppdagede enheter i Defender for Cloud Apps

Etter at du har integrert Defender for Endpoint med Defender for Cloud Apps, kan du undersøke oppdagede enhetsdata i instrumentbordet for skyoppdagelse.

  1. Velg>Instrumentbord for cloud discovery under Cloud Apps i Microsoft Defender-portalen.

  2. Velg Defender-administrerte endepunkter øverst på siden. Denne strømmen inneholder data fra alle operativsystemer som nevnes i Defender for Cloud Apps forutsetninger.

Øverst ser du antall oppdagede enheter som er lagt til etter integreringen.

  1. Velg Enheter-fanen .

  2. Drill ned i hver enhet som er oppført, og bruk fanene til å vise undersøkelsesdataene. Finn korrelasjoner mellom enhetene, brukerne, IP-adressene og appene som var involvert i hendelser:

    • Oversikt:

      • Risikonivå for enheten: Viser hvor risikabelt enhetens profil er i forhold til andre enheter i organisasjonen, som angitt av alvorsgraden (høy, middels, lav, informasjonsmessig). Defender for Cloud Apps bruker enhetsprofiler fra Defender for Endpoint for hver enhet basert på avansert analyse. Aktivitet som avviker fra grunnlinjen til en enhet, evalueres og bestemmer enhetens risikonivå. Bruk enhetsrisikonivået til å bestemme hvilke enheter som skal undersøkes først.
      • Transaksjoner: Informasjon om antall transaksjoner som fant sted på enheten i løpet av den valgte tidsperioden.
      • Total trafikk: Informasjon om den totale trafikkmengden (i MB) i løpet av den valgte tidsperioden.
      • Opplastinger: Informasjon om den totale trafikkmengden (i MB) som er lastet opp av enheten over den valgte tidsperioden.
      • Nedlastinger: Informasjon om den totale trafikkmengden (i MB) som er lastet ned av enheten i løpet av den valgte tidsperioden.

    • Oppdagede apper: Lister alle de oppdagede appene som ble åpnet av enheten.

    • Brukerlogg: Lister alle brukerne som logget på enheten.

    • IP-adresselogg: Lister alle IP-adressene som ble tilordnet til enheten.

Som med alle andre skyoppdagelseskilder kan du eksportere dataene fra den Defender-administrerte endepunktrapporten for videre undersøkelser.

Obs!

  • Defender for endepunkt videresender data til Defender for Cloud Apps i deler av ~4 MB (~4000 endepunkttransaksjoner)
  • Hvis grensen på 4 MB ikke er nådd innen 1 time, rapporterer Defender for Endpoint alle transaksjonene som er utført i løpet av den siste timen.

Oppdag apper via Defender for endepunkt når endepunktet er bak en nettverksproxy

Defender for Cloud Apps kan oppdage Shadow IT-nettverkshendelser oppdaget fra Defender for Endpoint-enheter som fungerer i samme miljø som en nettverksproxy. Hvis for eksempel den Windows 10 endepunktenheten er i samme miljø som ZScalar, kan Defender for Cloud Apps oppdage Shadow IT-programmer via Win10 Endpoint Users-strømmen.

Undersøke enhetsnettverkshendelser i Microsoft Defender XDR

Obs!

Nettverkshendelser bør brukes til å undersøke oppdagede apper og ikke brukes til å feilsøke manglende data.

Bruk følgende fremgangsmåte for å få mer detaljert synlighet på enhetens nettverksaktivitet i Microsoft Defender for endepunkt:

  1. Velg Cloud Discovery under Cloud Apps i Microsoft Defender Portal. Velg deretter Enheter-fanen .
  2. Velg maskinen du vil undersøke, og velg deretter Vis øverst til venstre i Microsoft Defender for endepunkt.
  3. Velg Tidslinje under Aktiva ->Enheter> {valgt enhet} i Microsoft Defender XDR.
  4. Velg Nettverkshendelser under Filtre.
  5. Undersøk enhetens nettverkshendelser etter behov.

Skjermbilde som viser enhetens tidslinje i Microsoft Defender XDR.

Undersøk appbruk i Microsoft Defender XDR med avansert jakt

Bruk følgende fremgangsmåte for å få mer detaljert synlighet på apprelaterte nettverkshendelser i Defender for Endpoint:

  1. Velg Cloud Discovery under Cloud Apps i Microsoft Defender Portal. Velg deretter Fanen Oppdagede apper .

  2. Velg appen du vil undersøke for å åpne skuffen.

  3. Velg appens domeneliste , og kopier deretter listen over domener.

  4. Velg Avansert jakt under Jakt i Microsoft Defender XDR.

  5. Lim inn følgende spørring og erstatt <DOMAIN_LIST> med listen over domener du kopierte tidligere.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Kjør spørringen og undersøk nettverkshendelser for denne appen.

    Skjermbilde som viser Microsoft Defender XDR Avansert jakt.

Undersøk apper som ikke er helliggjort i Microsoft Defender XDR

Hvert forsøk på å få tilgang til en app som ikke er helliggjort, utløser et varsel i Microsoft Defender XDR med detaljerte detaljer om hele økten. Dette gjør det mulig å utføre dypere undersøkelser i forsøk på å få tilgang til apper som ikke er helliggjort, samt gi ytterligere relevant informasjon for bruk i enhetsundersøkelser i endepunkt.

Noen ganger blokkeres ikke tilgang til en app som ikke er helliggjort, enten fordi endepunktenheten ikke er riktig konfigurert, eller hvis håndhevelsespolicyen ennå ikke er overført til endepunktet. I dette tilfellet vil Defender for Endpoint-administratorer motta et varsel i Microsoft Defender XDR at den ikke-helliggjorte appen ikke ble blokkert.

Skjermbilde som viser defender for endepunkt ikke-helliggjort appvarsel.

Obs!

  • Det tar opptil to timer etter at du merker en app som ikke helliggjort for appdomener for å overføre til endepunktenheter.
  • Apper og domener merket som Ikke-helliggjort i Defender for Cloud Apps, blokkeres som standard for alle endepunktenheter i organisasjonen.
  • Fullstendige URL-adresser støttes for øyeblikket ikke for apper som ikke er helliggjort. Når apper som ikke er godkjent konfigurert med fullstendige nettadresser, overføres de derfor ikke til Defender for endepunkt og blokkeres ikke. Støttes for eksempel google.com/drive ikke, mens drive.google.com støttes.
  • Varsler i nettleseren kan variere mellom forskjellige nettlesere.

Neste trinn

Styre apper som oppdages av Microsoft Defender for endepunkt

Kontroller skyapper med policyer

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.