Integrera Microsoft Defender för Endpoint med Microsoft Defender för molnet Apps

Microsoft Defender för Endpoint är en säkerhetsplattform för intelligent skydd, identifiering, undersökning och svar. Defender för Endpoint skyddar slutpunkter från cyberhot, identifierar avancerade attacker och dataintrång, automatiserar säkerhetsincidenter och förbättrar säkerhetsstatusen.

Den här artikeln beskriver den färdiga integreringen som är tillgänglig mellan Microsoft Defender för molnet Apps och Microsoft Defender för Endpoint, vilket förenklar molnidentifiering och möjliggör enhetsbaserad undersökning.

Viktigt!

Den här artikeln fokuserar på skugg-IT-identifieringsfunktioner från Defender för Endpoint-loggar. Mer information om funktioner för skugg-IT-styrning via Defender för Endpoint finns i Styra identifierade appar med hjälp av Microsoft Defender för Endpoint.

Förutsättningar

• Microsoft Defender för molnet Apps-licens

• Något av följande:

  • Microsoft Defender för Endpoint med plan 2
  • Microsoft Defender för företag med en premium- eller fristående licens

  Mer information finns i Jämför Microsofts slutpunktssäkerhetsplaner.

• Appar som använder något av följande operativsystem:

  • Windows 10 version 1709 (OS Build 16299.1085 med KB4493441)
  • Windows 10 version 1803 (OS Build 17134.704 med KB4493464)
  • Windows 10 version 1809 (OS Build 17763.379 med KB4489899) eller senare versioner av Windows 10 och Windows 11
  • macOS, på enheter med Defender för Endpoint version 20.123072.25.0 eller senare

• Om du vill stödja integreringar för macOS-appar måste du aktivera nätverksskyddsfunktioner i Microsoft Defender för Endpoint. Eftersom nätverksskyddet endast granskar TCP-anslutningsstängningshändelser omfattas inte UDP-protokoll för macOS-stöd. Mer information finns i Aktivera nätverksskydd

• (Rekommenderas) Aktivera Microsoft Defender Antivirus:

  • Realtidsskydd aktiverat
  • Molnlevererat skydd aktiverat
  • Nätverksskydd aktiverat och konfigurerat för blockeringsläge

Kommentar

Microsoft Defender Antivirus rekommenderas starkt för identifiering, men det är inte obligatoriskt. Vissa identifieringsdata är fortfarande tillgängliga när Defender Antivirus är inaktiverat.

Hur det fungerar

På egen hand samlar Defender för molnet Apps in loggar från dina slutpunkter med hjälp av loggar som du laddar upp eller genom att konfigurera automatisk logguppladdning. Med den färdiga integreringen kan du dra nytta av loggarna som Defender for Endpoints agent skapar när den körs i Windows och övervakar nätverkstransaktioner. Använd den här informationen för identifiering av skugg-IT på Windows-enheter i nätverket.

Integreringen kräver inte extra distributionssteg eller routning eller spegling av trafik från dina slutpunkter och fungerar på följande sätt:

• Loggar från dina slutpunkter som skickas till Defender för molnet-appar ger användar- och enhetsinformation för trafikaktiviteter. Om du parkopplar enhetskontexten med användarnamnet får du en fullständig bild i nätverket så att du kan avgöra vilken användare som gjorde vilken aktivitet från vilken enhet.
• När du identifierar en riskfylld användare kontrollerar du de enheter som användaren har åtkomst till för att identifiera potentiella risker. Om du identifierar en riskfylld enhet kontrollerar du alla användare som använde den för att identifiera ytterligare potentiella risker.
• När trafikinformationen har samlats in är du redo att fördjupa dig i molnappens användning i din organisation. Defender för molnet Apps utnyttjar funktionerna i Defender för Endpoint Network Protection för att blockera åtkomst till slutpunktsenheter till molnappar. Mer information om hur du styr identifierade appar finns i Styra identifierade appar med hjälp av Microsoft Defender för Endpoint.

Kunder som integrerar med macOS-enheter kan se en ökning av CPU-förbrukningen.

Dricks

Titta på våra videor som visar fördelarna med att använda Defender för Endpoint med Defender för molnet Apps.

Integrera Microsoft Defender för Endpoint med Defender för molnet Apps

Så här aktiverar du Defender för Endpoint-integrering med Defender för molnet Apps:

1. I Microsoft Defender-portalen går du till navigeringsfönstret och väljer Inställningar>Slutpunkter>Allmänna>avancerade funktioner.
2. Växla Microsoft Defender för molnet-appar till På.
3. Välj Använd.

Kommentar

Det tar upp till två timmar efter att du har aktiverat integreringen för att data ska visas i Defender för molnet Apps.

Så här konfigurerar du allvarlighetsgraden för aviseringar som skickas till Microsoft Defender för Endpoint:

1. I Microsoft Defender-portalen väljer du Inställningar>Cloud Apps>Cloud Discovery> Microsoft Defender för Endpoint.

2. Under Aviseringar väljer du den globala allvarlighetsgraden för aviseringar.

3. Välj Spara.

   

Nästa steg

Undersöka appar som identifierats av Microsoft Defender för Endpoint

Styra appar som identifierats av Microsoft Defender för Endpoint

Relaterade videor

Identifiera och blockera Skugg-IT med Hjälp av Defender för Endpoint

Skugg-IT-identifiering utanför företagets nätverk

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.