共用方式為

調查 適用於端點的 Microsoft Defender 探索到的應用程式

  • 發行項

Microsoft Defender for Cloud Apps 與 適用於端點的 Microsoft Defender整合提供順暢的影子IT可見性和控制解決方案。 我們的整合可讓 Defender for Cloud Apps 系統管理員調查探索到的裝置、網路事件和應用程式使用量。

必要條件

在執行本文中的程式之前,請確定您已將 適用於端點的 Microsoft Defender 與 Microsoft Defender for Cloud Apps 整合

調查在 Defender for Cloud Apps 中探索到的裝置

在整合適用於端點的 Defender 與 Defender for Cloud Apps 之後,請在雲端探索儀錶板中調查探索到的裝置數據。

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,選取 [Cloud Discovery>儀錶板]

  2. 在頁面頂端,選取 [Defender 管理的端點]。 此數據流包含 Defender for Cloud Apps 必要條件中所述之任何作業系統的數據。

在頂端,您會看到在整合之後新增的探索到裝置數目。

  1. 選取 [ 裝置] 索引標籤

  2. 向下切入列出的每個裝置,並使用索引標籤來檢視調查數據。 尋找涉及事件的裝置、使用者、IP 位址和應用程式之間的相互關聯:

    • 概觀

      • 裝置風險層級:顯示裝置配置檔相對於組織中其他裝置的風險,如高、中、低、資訊) (嚴重性所指示。 Defender for Cloud Apps 會根據進階分析,針對每個裝置使用來自適用於端點的 Defender 的裝置設定檔。 對裝置基準來說為異常的活動會經過評估,並判斷裝置的風險層級。 使用裝置風險層級來判斷要先調查哪些裝置。
      • 交易:在所選時段內在裝置上發生的交易數目相關信息。
      • 總流量:所選時段內 (MB) 總流量的相關信息。
      • 上傳:裝置在所選時段內 (MB) 上傳流量總量的相關信息。
      • 下載:在所選時段內,裝置) 下載的總流量 (MB 的相關信息。

    • 探索到的應用程式:清單 裝置存取的所有探索到的應用程式。

    • 用戶歷程記錄:清單 登入裝置的所有使用者。

    • IP 位址歷程記錄:清單 指派給裝置的所有IP位址。

如同任何其他雲端探索來源,您可以從 Defender 管理的端點 報告匯出數據,以供進一步調查。

注意事項

  • 適用於端點的Defender會將資料轉送至 ~4 MB 的區塊 Defender for Cloud Apps, (~4000 個端點交易)
  • 如果在 1 小時內未達到 4 MB 的限制,適用於端點的 Defender 會報告過去一小時內執行的所有交易。

當端點位於網路 Proxy 後方時,透過適用於端點的 Defender 探索應用程式

Defender for Cloud Apps 可以探索從適用於端點的 Defender 裝置偵測到的影子 IT 網路事件,這些裝置與網路 Proxy 在相同的環境中運作。 例如,如果您的 Windows 10 端點裝置與 ZScalar 位於相同的環境中,Defender for Cloud Apps 可以透過 Win10 端點用戶資料流探索影子 IT 應用程式。

調查 Microsoft Defender 全面偵測回應 中的裝置網路事件

注意事項

網路事件應該用來調查探索到的應用程式,而不是用來偵錯遺漏的數據。

使用下列步驟,在 適用於端點的 Microsoft Defender 中取得裝置網路活動的更細微可見度:

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [Cloud Discovery]。 然後選取 [ 裝置] 索引標籤
  2. 選取您要調查的電腦,然後在左上方選取 [檢視 適用於端點的 Microsoft Defender] 。
  3. 在 Microsoft Defender 全面偵測回應 中,選取 [資產 ->裝置> {選取的裝置}] 底下的 [時程表]
  4. [篩選] 底下,選取 [網络事件]
  5. 視需要調查裝置的網路事件。

顯示裝置時間軸 Microsoft Defender 全面偵測回應 螢幕快照。

使用進階搜捕調查 Microsoft Defender 全面偵測回應 中的應用程式使用量

使用下列步驟,在適用於端點的 Defender 中取得應用程式相關網路事件的更細微可見度:

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [Cloud Discovery]。 然後選取 [ 探索到的應用程式] 索引標籤

  2. 選取您想要調查的應用程式,以開啟其隱藏式選單。

  3. 選取應用程式的 [網域 ] 列表,然後複製網域清單。

  4. 在 [Microsoft Defender 全面偵測回應] 的 [搜捕] 底下,選取 [進階搜捕]

  5. 貼上下列查詢,並以您稍早複製的網域清單取代 <DOMAIN_LIST>

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. 執行查詢並調查此應用程式的網路事件。

    顯示 Microsoft Defender 全面偵測回應 進階搜捕的螢幕快照。

調查 Microsoft Defender 全面偵測回應 中未批准的應用程式

每次嘗試存取未批准的應用程式時,都會在 Microsoft Defender 全面偵測回應 中觸發警示,並提供有關整個會話的深入詳細數據。 這可讓您對存取未批准應用程式的嘗試執行更深入的調查,以及提供用於端點裝置調查的其他相關信息。

有時候,不會封鎖存取未批准的應用程式,可能是因為端點裝置未正確設定,或強制原則尚未傳播至端點。 在此情況下,適用於端點的 Defender 系統管理員會在 Microsoft Defender 全面偵測回應 收到警示,指出未批准的應用程式並未遭到封鎖。

顯示適用於端點的Defender未批准應用程式警示的螢幕快照。

注意事項

  • 將應用程式標記為 [未批准 ] 最多需要兩個小時,應用程式網域才會傳播至端點裝置。
  • 根據預設,在 Defender for Cloud Apps 中標示為未批准的應用程式和網域,將會針對組織中的所有端點裝置封鎖。
  • 目前,未批准的應用程式不支援完整 URL。 因此,當取消批准以完整 URL 設定的應用程式時,它們不會傳播至適用於端點的 Defender,而且不會遭到封鎖。 例如, google.com/drive 不支援 ,而 drive.google.com 支援 。
  • 瀏覽器內通知可能會因不同的瀏覽器而有所不同。

後續步驟

管理 適用於端點的 Microsoft Defender 探索到的應用程式

使用原則控制雲端應用程式

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證