Поделиться через

Интеграция Defender for Cloud Apps со Zscaler

  • Статья

Если вы работаете как с Microsoft Defender for Cloud Apps, так и с Zscaler, интегрируйте их, чтобы улучшить возможности облачного обнаружения. Zscaler как автономный облачный прокси-сервер отслеживает трафик вашей организации и позволяет задавать политики для блокировки транзакций. Вместе Defender for Cloud Apps и Zscaler предоставляют следующие возможности:

  • Простое обнаружение в облаке. Используйте Zscaler для прокси-сервера трафика и отправки его в Defender for Cloud Apps. Интеграция этих двух служб означает, что вам не нужно устанавливать сборщики журналов в конечных точках сети, чтобы включить обнаружение в облаке.
  • Автоматическая блокировка. После настройки интеграции возможности блоков Zscaler автоматически применяются к любым приложениям, которые вы задали как несанкционированные в Defender for Cloud Apps.
  • Улучшенные данные Zscalar. Улучшайте портал Zscaler с помощью Defender for Cloud Apps оценки рисков для ведущих облачных приложений, которые можно просмотреть непосредственно на портале Zscaler.

Предварительные условия

  • Действительная лицензия для Microsoft Defender for Cloud Apps или действительная лицензия для Microsoft Entra ID P1
  • Действительная лицензия для Zscaler Cloud 5.6
  • Активная подписка Zscaler NSS

Развертывание интеграции Zscaler

  1. На портале Zscalar настройте интеграцию Zscaler для Defender for Cloud Apps. Дополнительные сведения см. в документации по Zscaler.

  2. В Microsoft Defender XDR выполните интеграцию, выполнив следующие действия.

    1. Выберите Параметры Облачные>приложения>Cloud discovery>Автоматическая отправка> журнала+Добавить источник данных.

    2. На странице Добавление источника данных введите следующие параметры:

      • Имя = NSS
      • Source = Zscaler QRadar LEEF
      • Тип приемника = Syslog — UDP

      Например:

      Снимок экрана: добавление источника данных Zscaler.

      Примечание.

      Убедитесь, что источник данных имеет имя NSS. Дополнительные сведения о настройке веб-каналов NSS см. в разделе Добавление Defender for Cloud Apps веб-каналов NSS.

    3. Чтобы просмотреть пример журнала обнаружения, выберите Просмотреть пример ожидаемого файла> журналаСкачивание примера журнала. Убедитесь, что скачанный пример журнала соответствует вашим файлам журнала.

После завершения шагов интеграции любое приложение, которое вы задали как несанкционированное в Defender for Cloud Apps, отправляется через Zscaler каждые два часа, а затем блокируется Zscaler в соответствии с конфигурацией Zscalar. Дополнительные сведения см. в разделе Санкционирование и отмена регистрации приложения.

Продолжайте изучение облачных приложений, обнаруженных в вашей сети. Дополнительные сведения и действия по изучению см. в статье Работа с облачным обнаружением.

Дальнейшие действия

Управление облачными приложениями с помощью политик

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.