Integrera Microsoft Defender för Endpoint med Microsoft Defender for Cloud Apps

Microsoft Defender för Endpoint är en säkerhetsplattform för intelligent skydd, identifiering, undersökning och svar. Defender för Endpoint skyddar slutpunkter mot cyberhot, identifierar avancerade attacker och dataintrång, automatiserar säkerhetsincidenter och förbättrar säkerhetsstatusen.

Den här artikeln beskriver den färdiga integreringen som är tillgänglig mellan Microsoft Defender for Cloud Apps och Microsoft Defender för Endpoint, vilket förenklar molnidentifiering och möjliggör enhetsbaserad undersökning.

Viktigt

Den här artikeln fokuserar på funktioner för identifiering av skugg-IT från Defender för Endpoint-loggar. Mer information om funktioner för skugg-IT-styrning via Defender för Endpoint finns i Styra identifierade appar med hjälp av Microsoft Defender för Endpoint.

Förhandskrav

• Microsoft Defender for Cloud Apps licens

• Något av följande:

  • Microsoft Defender för Endpoint med plan 2
  • Microsoft Defender för företag med en premium- eller fristående licens

  Mer information finns i Jämför Microsofts slutpunktssäkerhetsplaner.

• Appar som använder något av följande operativsystem:

  • Windows 10 version 1709 (OS Build 16299.1085 med KB4493441)
  • Windows 10 version 1803 (OS Build 17134.704 med KB4493464)
  • Windows 10 version 1809 (OS Build 17763.379 med KB4489899) eller senare Windows 10 och Windows 11 versioner
  • macOS, på enheter med Defender för Endpoint version 20.123072.25.0 eller senare

• För att stödja integreringar för macOS-appar måste du aktivera nätverksskyddsfunktioner i Microsoft Defender för Endpoint. Eftersom nätverksskyddet endast granskar TCP-anslutningsstängningshändelser omfattas inte UDP-protokoll för macOS-stöd. Mer information finns i Aktivera nätverksskydd

• (Rekommenderas) Aktivera Microsoft Defender Antivirus:

  • Realtidsskydd aktiverat
  • Molnlevererat skydd aktiverat
  • Nätverksskydd aktiverat och konfigurerat för blockeringsläge

Obs!

Även om Microsoft Defender Antivirus rekommenderas starkt för identifiering är det inte obligatoriskt. Vissa identifieringsdata är fortfarande tillgängliga när Defender Antivirus är inaktiverad.

Så här fungerar det

På egen hand samlar Defender for Cloud Apps in loggar från dina slutpunkter med hjälp av loggar som du laddar upp eller genom att konfigurera automatisk logguppladdning. Med den färdiga integreringen kan du dra nytta av loggarna som Defender för Endpoints agent skapar när den körs i Windows och övervakar nätverkstransaktioner. Använd den här informationen för identifiering av skugg-IT på Windows-enheter i nätverket.

Integreringen kräver inte extra distributionssteg eller routning eller spegling av trafik från dina slutpunkter och fungerar på följande sätt:

• Loggar från dina slutpunkter som skickas till Defender for Cloud Apps ange användar- och enhetsinformation för trafikaktiviteter. Genom att koppla ihop enhetskontexten med användarnamnet får du en fullständig bild i nätverket så att du kan avgöra vilken användare som gjorde vilken aktivitet från vilken enhet.
• När du identifierar en riskfylld användare kontrollerar du de enheter som användaren har åtkomst till för att identifiera potentiella risker. Om du identifierar en riskfylld enhet kontrollerar du alla användare som använde den för att identifiera ytterligare potentiella risker.
• När trafikinformationen har samlats in är du redo att fördjupa dig i molnappens användning i din organisation. Defender for Cloud Apps utnyttjar funktionerna i Defender för Endpoint Network Protection för att blockera åtkomst till slutpunktsenheter till molnappar. Mer information om hur du styr de identifierade apparna finns i Styra identifierade appar med hjälp av Microsoft Defender för Endpoint.

Kunder som integrerar med macOS-enheter kan se en ökning av CPU-förbrukningen.

Tips

Titta på våra videor som visar fördelarna med att använda Defender för Endpoint med Defender for Cloud Apps.

Integrera Microsoft Defender för Endpoint med Defender for Cloud Apps

Så här aktiverar du Defender för Endpoint-integrering med Defender for Cloud Apps:

1. I Microsoft Defender-portalen går du till navigeringsfönstret och väljer Inställningar>Slutpunkter>Allmänna>avancerade funktioner.
2. Växla Microsoft Defender for Cloud Apps till På.
3. Välj Använd.

Obs!

Det tar upp till två timmar efter att du har aktiverat integreringen för att data ska visas i Defender for Cloud Apps.

Så här konfigurerar du allvarlighetsgraden för aviseringar som skickas till Microsoft Defender för Endpoint:

1. I Microsoft Defender-portalen väljer du Inställningar Cloud>Apps>Cloud Discovery>Microsoft Defender för Endpoint.

2. Under Aviseringar väljer du den globala allvarlighetsgraden för aviseringar.

3. Välj Spara.

   

Nästa steg

Undersöka appar som identifierats av Microsoft Defender för Endpoint

Styra appar som identifieras av Microsoft Defender för Endpoint

Relaterade videor

Identifiera och blockera Skugg-IT med Hjälp av Defender för Endpoint

Skugg-IT-identifiering utanför företagsnätverket

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.