Integrar Microsoft Defender para Endpoint com Microsoft Defender for Cloud Apps

Microsoft Defender para Endpoint é uma plataforma de segurança para proteção inteligente, deteção, investigação e resposta. O Defender para Endpoint protege os pontos finais de ameaças cibernéticas, deteta ataques avançados e violações de dados, automatiza incidentes de segurança e melhora a postura de segurança.

Este artigo descreve a integração inicial disponível entre Microsoft Defender for Cloud Apps e Microsoft Defender para Endpoint, o que simplifica a deteção da cloud e a ativação da investigação baseada em dispositivos.

Importante

Este artigo centra-se nas capacidades de deteção de TI sombra dos registos do Defender para Endpoint. Para obter mais informações sobre as capacidades de governação de TI sombra através do Defender para Endpoint, veja Governar aplicações detetadas com Microsoft Defender para Endpoint.

Pré-requisitos

• licença de Microsoft Defender for Cloud Apps

• Uma das seguintes opções:

  • Microsoft Defender para Endpoint com o Plano 2
  • Microsoft Defender para Empresas com uma licença premium ou autónoma

  Para obter mais informações, veja Comparar planos de segurança de pontos finais da Microsoft.

• Aplicações que utilizam um dos seguintes sistemas operativos:

  • Windows 10 versão 1709 (Compilação 16299.1085 do SO com KB4493441)
  • Windows 10 versão 1803 (Compilação 17134.704 do SO com KB4493464)
  • Windows 10 versão 1809 (Compilação 17763.379 do SO com KB4489899) ou versões Windows 10 e Windows 11 posteriores
  • macOS, em dispositivos com a versão 20.123072.25.0 ou superior do Defender para Endpoint

• Para suportar integrações para aplicações macOS, tem de ativar as capacidades de proteção de rede no Microsoft Defender para Endpoint. Uma vez que a proteção de rede apenas audita eventos de fecho da ligação TCP, os protocolos UDP não são abrangidos pelo suporte para macOS. Para obter mais informações, veja Ativar a proteção de rede

• (Recomendado) Ativar o Antivírus do Microsoft Defender:

  • Proteção em tempo real ativada
  • Proteção fornecida pela cloud ativada
  • Proteção de rede ativada e configurada para bloquear o modo

Nota

Embora Microsoft Defender Antivírus seja altamente recomendado para a deteção, não é obrigatório. Alguns dados de deteção ainda estão disponíveis quando Antivírus do Defender está desativada.

Como funciona

Por si só, Defender for Cloud Apps recolhe registos dos pontos finais através dos registos que carrega ou ao configurar o carregamento automático de registos. A integração inicial permite-lhe tirar partido dos registos que o agente do Defender para Endpoint cria quando é executado no Windows e monitoriza as transações de rede. Utilize estas informações para a deteção de TI Sombra nos dispositivos Windows na sua rede.

A integração não requer passos de implementação adicionais, encaminhamento ou espelhamento de tráfego dos pontos finais e funciona da seguinte forma:

• Os registos dos pontos finais que são enviados para Defender for Cloud Apps fornecem informações do utilizador e do dispositivo para atividades de tráfego. Emparelhar o contexto do dispositivo com o nome de utilizador fornece uma imagem completa em toda a rede, permitindo-lhe determinar que utilizador efetuou a atividade a partir de que dispositivo.
• Quando identificar um utilizador de risco, verifique os dispositivos aos quais o utilizador acedeu para detetar potenciais riscos. Se identificar um dispositivo de risco, verifique todos os utilizadores que o utilizaram para detetar mais riscos potenciais.
• Assim que as informações de tráfego forem recolhidas, estará pronto para aprofundar a utilização de aplicações na cloud na sua organização. Defender for Cloud Apps tira partido das capacidades do Defender para Endpoint Network Protection para bloquear o acesso de dispositivos de ponto final a aplicações na cloud. Para obter mais informações sobre como governar as aplicações detetadas, veja Governar aplicações detetadas com Microsoft Defender para Endpoint.

Os clientes que se integram com dispositivos macOS podem observar um pico no consumo da CPU.

Sugestão

Veja os nossos vídeos que mostram as vantagens de utilizar o Defender para Endpoint com Defender for Cloud Apps.

Integrar Microsoft Defender para Endpoint com Defender for Cloud Apps

Para ativar a integração do Defender para Endpoint com Defender for Cloud Apps:

1. No portal Microsoft Defender, no painel de navegação, selecione Definições>Pontos finais Funcionalidades Avançadas>Gerais>.
2. Alterne a Microsoft Defender for Cloud Apps para Ativado.
3. Selecione Aplicar.

Nota

Demora até duas horas depois de ativar a integração para que os dados sejam apresentados no Defender for Cloud Apps.

Para configurar a gravidade dos alertas enviados para Microsoft Defender para Endpoint:

1. No Portal Microsoft Defender, selecione Definições> CloudApps>Cloud Discovery>Microsoft Defender para Endpoint.

2. Em Alertas, selecione o nível de gravidade global para alertas.

3. Seleccione Guardar.

   

Passos seguintes

Investigar aplicações detetadas pelo Microsoft Defender para Endpoint

Governar aplicações detetadas por Microsoft Defender para Endpoint

Vídeos relacionados

Detetar e bloquear TI Sombra com o Defender para Endpoint

Deteção de TI sombra para além da rede empresarial

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.