将 Defender for Cloud Apps 与 Zscaler 集成
如果同时使用 Microsoft Defender for Cloud Apps 和 Zscaler,请集成两者以增强云发现体验。 Zscaler 作为独立的云代理,可监视组织的流量,并使你能够设置阻止事务的策略。 Defender for Cloud Apps 和 Zscaler 共同提供以下功能:
- 无缝云发现:使用 Zscaler 代理流量并将其发送到Defender for Cloud Apps。 集成这两项服务意味着无需在网络终结点上安装日志收集器来启用云发现。
- 自动阻止:配置集成后,Zscaler 的阻止功能会自动应用于在 Defender for Cloud Apps 中设置为未批准的任何应用。
- 增强的 Zscalar 数据:使用针对领先云应用的Defender for Cloud Apps风险评估增强 Zscaler 门户,可以直接在 Zscaler 门户中查看。
先决条件
- Microsoft Defender for Cloud Apps的有效许可证,或Microsoft Entra ID P1 的有效许可证
- Zscaler Cloud 5.6 的有效许可证
- 活动 Zscaler NSS 订阅
部署 Zscaler 集成
在 Zscalar 门户中,为 Defender for Cloud Apps 配置 Zscaler 集成。 有关详细信息,请参阅 Zscaler 文档。
在 Microsoft Defender XDR 中,完成以下步骤的集成:
选择 “设置>”“云应用>”“云发现>自动日志上传>+添加数据源”。
在 “添加数据源 ”页中,输入以下设置:
- Name = NSS
- Source = Zscaler QRadar LEEF
- 接收方类型 = Syslog - UDP
例如:
注意
确保数据源的名称为 NSS。有关设置 NSS 源的详细信息,请参阅添加Defender for Cloud Apps NSS 源。
若要查看示例发现日志,请选择“查看预期日志文件>的示例”“下载示例日志”。 确保下载的示例日志与日志文件匹配。
完成集成步骤后,在 Defender for Cloud Apps 中设置为未批准的任何应用每两小时由 Zscaler ping 一次,然后根据 Zscalar 配置被 Zscaler 阻止。 有关详细信息,请参阅 批准/取消批准应用。
继续调查在网络上发现的云应用。 有关详细信息和调查步骤,请参阅 使用云发现。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。