将 Defender for Cloud Apps 与 Zscaler 集成

如果同时使用 Microsoft Defender for Cloud Apps 和 Zscaler,则可以集成这两个产品来增强 Cloud Discovery 体验。 Zscaler 作为独立的云代理,可以监控组织的流量,允许设置阻止事务的策略。 Defender for Cloud Apps 和 Zscaler 共同提供以下功能:

  • 无缝部署 Cloud Discovery:使用 Zscaler 代理流量并将其发送到 Defender for Cloud Apps。 集成这两项服务意味着无需在网络端点上安装日志收集器即可启用Cloud Discovery。
  • 自动阻止:配置集成后,Zscaler 的阻止功能会自动应用于在 Defender for Cloud Apps 中设置为 未批准的 应用。
  • Zscalar 数据增强: Cloud App Security 对领先云应用的风险评估(可在 Zscaler 门户中直接查看),增强了 Zscaler 门户的安全性。

先决条件

  • Microsoft Defender for Cloud Apps 的有效许可证,或 Microsoft Entra ID P1 的有效许可证
  • Zscaler Cloud 5.6 的有效许可证
  • 有效的 Zscaler NSS 订阅

部署 Zscaler 集成

  1. 在 Zscalar 门户中,为 Defender for Cloud Apps 配置 Zscaler 集成。 有关更多信息,请参阅 Zscaler 文档

  2. Microsoft Defender XDR 中,通过以下步骤完成集成:

    1. 选择设置>云应用>Cloud Discovery>日志自动上传>+添加数据源

    2. 在“添加数据源”页面上,输入以下设置:

      • 名称 = NSS
      • = Zscaler QRadar LEEF
      • 接收器类型 = Syslog - UDP

      例如:

      添加 Zscaler 数据源的屏幕截图。

      注意

      确保数据源名为 NSS。 有关设置 NSS 源的更多信息,请参阅 添加 Defender for Cloud Apps NSS 源

    3. 要查看 Discovery 示例日志,请选择查看预期日志文件示例>下载示例日志。 确保下载的示例日志与日志文件匹配。

完成集成步骤后,在 Defender for Cloud Apps 中设置为 未批准的应用由 Zscaler 每两小时 ping 一次,然后由 Zscaler 根据 Zscalar 配置进行阻止。 有关更多信息,请参阅批准/取消批准应用

继续调查网络上发现的云应用。 要了解详细信息和调查步骤,请参阅使用 Cloud Discovery

后续步骤

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证