Dela via

Undersöka appar som identifierats av Microsoft Defender för Endpoint

  • Artikel

Den Microsoft Defender for Cloud Apps integreringen med Microsoft Defender för Endpoint ger en sömlös skugg-IT-synlighet och kontrolllösning. Vår integrering gör det möjligt för Defender for Cloud Apps administratörer att undersöka identifierade enheter, nätverkshändelser och appanvändning.

Förhandskrav

Kontrollera att du har integrerat Microsoft Defender för Endpoint med Microsoft Defender for Cloud Apps innan du utför procedurerna i den här artikeln.

Undersöka identifierade enheter i Defender for Cloud Apps

När du har integrerat Defender för Endpoint med Defender for Cloud Apps undersöker du identifierade enhetsdata på instrumentpanelen för molnidentifiering.

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljerInstrumentpanel för Cloud Discovery>.

  2. Längst upp på sidan väljer du Defender-hanterade slutpunkter. Den här strömmen innehåller data från alla operativsystem som anges i Defender for Cloud Apps krav.

Överst ser du antalet identifierade enheter som lagts till efter integreringen.

  1. Välj fliken Enheter .

  2. Öka detaljnivån för varje enhet som visas och använd flikarna för att visa undersökningsdata. Hitta korrelationer mellan enheter, användare, IP-adresser och appar som var inblandade i incidenter:

    • Översikt:

      • Risknivå för enhet: Visar hur riskabel enhetens profil är i förhållande till andra enheter i din organisation, enligt allvarlighetsgraden (hög, medel, låg, information). Defender for Cloud Apps använder enhetsprofiler från Defender för Endpoint för varje enhet baserat på avancerad analys. Aktivitet som är avvikande till en enhets baslinje utvärderas och avgör enhetens risknivå. Använd risknivån för enheten för att avgöra vilka enheter som ska undersökas först.
      • Transaktioner: Information om antalet transaktioner som ägde rum på enheten under den valda tidsperioden.
      • Total trafik: Information om den totala mängden trafik (i MB) under den valda tidsperioden.
      • Uppladdningar: Information om den totala mängden trafik (i MB) som laddats upp av enheten under den valda tidsperioden.
      • Nedladdningar: Information om den totala mängden trafik (i MB) som laddats ned av enheten under den valda tidsperioden.

    • Identifierade appar: Listor alla identifierade appar som användes av enheten.

    • Användarhistorik: Listor alla användare som loggade in på enheten.

    • IP-adresshistorik: Listor alla IP-adresser som har tilldelats till enheten.

Precis som med andra molnidentifieringskällor kan du exportera data från rapporten defender-hanterade slutpunkter för vidare undersökning.

Obs!

  • Defender för Endpoint vidarebefordrar data till Defender for Cloud Apps i segment på ~4 MB (~4 000 slutpunktstransaktioner)
  • Om gränsen på 4 MB inte nås inom en timme rapporterar Defender för Endpoint alla transaktioner som utförts under den senaste timmen.

Identifiera appar via Defender för Endpoint när slutpunkten finns bakom en nätverksproxy

Defender for Cloud Apps kan identifiera skugg-IT-nätverkshändelser som identifierats från Defender för Endpoint-enheter som arbetar i samma miljö som en nätverksproxy. Om din Windows 10 slutpunktsenhet till exempel finns i samma miljö som ZScalar kan Defender for Cloud Apps identifiera skugg-IT-program via win10-slutpunktsanvändare.

Undersöka enhetsnätverkshändelser i Microsoft Defender XDR

Obs!

Nätverkshändelser bör användas för att undersöka identifierade appar och inte användas för att felsöka saknade data.

Använd följande steg för att få mer detaljerad insyn i enhetens nätverksaktivitet i Microsoft Defender för Endpoint:

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Cloud Discovery. Välj sedan fliken Enheter .
  2. Välj den dator som du vill undersöka och välj sedan Visa i Microsoft Defender för Endpoint längst upp till vänster.
  3. I Microsoft Defender XDR, under Tillgångar ->Enheter> {vald enhet}, väljer du Tidslinje.
  4. Under Filter väljer du Nätverkshändelser.
  5. Undersök enhetens nätverkshändelser efter behov.

Skärmbild som visar enhetens tidslinje i Microsoft Defender XDR.

Undersöka appanvändning i Microsoft Defender XDR med avancerad jakt

Använd följande steg för att få mer detaljerad synlighet för apprelaterade nätverkshändelser i Defender för Endpoint:

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Cloud Discovery. Välj sedan fliken Identifierade appar .

  2. Välj den app som du vill undersöka för att öppna dess låda.

  3. Välj appens domänlista och kopiera sedan listan över domäner.

  4. I Microsoft Defender XDR går du till Jakt och väljer Avancerad jakt.

  5. Klistra in följande fråga och ersätt <DOMAIN_LIST> med listan över domäner som du kopierade tidigare.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. Kör frågan och undersök nätverkshändelser för den här appen.

    Skärmbild som visar Microsoft Defender XDR Avancerad jakt.

Undersöka icke sanktionerade appar i Microsoft Defender XDR

Varje försök att komma åt en icke sanktionerad app utlöser en avisering i Microsoft Defender XDR med detaljerad information om hela sessionen. På så sätt kan du utföra djupare undersökningar av försök att komma åt icke sanktionerade appar, samt tillhandahålla ytterligare relevant information för användning i slutpunktsenhetsundersökning.

Ibland blockeras inte åtkomst till en icke-sanktionerad app, antingen på grund av att slutpunktsenheten inte är korrekt konfigurerad eller om tvingande principen ännu inte har spridits till slutpunkten. I det här fallet får Defender för Endpoint-administratörer en avisering i Microsoft Defender XDR att den icke-sanktionerade appen inte har blockerats.

Skärmbild som visar aviseringen om att Defender för Endpoint inte är sanktionerad.

Obs!

  • Det tar upp till två timmar efter att du har taggat en app som Osanktionerad för appdomäner att spridas till slutpunktsenheter.
  • Som standard blockeras appar och domäner som markerats som osanktionerade i Defender for Cloud Apps för alla slutpunktsenheter i organisationen.
  • För närvarande stöds inte fullständiga URL:er för icke-sanktionerade appar. När appar som konfigurerats med fullständiga URL:er tas bort sprids de därför inte till Defender för Endpoint och blockeras inte. Stöds till exempel google.com/drive inte, medan drive.google.com stöds.
  • Aviseringar i webbläsaren kan variera mellan olika webbläsare.

Nästa steg

Styra appar som identifieras av Microsoft Defender för Endpoint

Kontrollera molnappar med principer

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.