将 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud Apps 集成

Microsoft Defender for Endpoint 是用于智能保护、检测、调查和响应的安全平台。 Defender for Endpoint 保护终结点免受网络威胁，检测高级攻击和数据泄露，自动执行安全事件，并改善安全状况。

本文介绍Microsoft Defender for Cloud Apps和Microsoft Defender for Endpoint之间可用的现用集成，这简化了云发现并启用基于设备的调查。

重要

本文重点介绍 Defender for Endpoint 日志中的影子 IT 发现功能。有关通过 Defender for Endpoint 的影子 IT 治理功能的详细信息，请参阅使用 Microsoft Defender for Endpoint 治理发现的应用。

先决条件

Microsoft Defender for Cloud Apps 许可证
设备必须载入到Microsoft Defender for Endpoint
以下各项之一：
- 计划 2 的Microsoft Defender for Endpoint
- Microsoft Defender 商业版 (独立或作为Microsoft 365 商业高级版) 的一部分
有关详细信息，请参阅比较Microsoft终结点安全计划。
使用以下作系统之一的应用：
- Windows 10版本 1709 (作系统内部版本 16299.1085 KB4493441)
- Windows 10版本 1803 (作系统内部版本 17134.704 KB4493464)
- Windows 10版本 1809 (作系统内部版本 17763.379，KB4489899) 或更高版本Windows 10和Windows 11版本
- macOS，在具有 Defender for Endpoint 版本 20.123072.25.0 或更高版本的设备上
若要支持 macOS 应用的集成，必须在 Microsoft Defender for Endpoint 中启用网络保护功能。由于网络保护仅审核 TCP 连接关闭事件，因此不支持 macOS 支持 UDP 协议。有关详细信息，请参阅启用网络保护
(建议) 启用Microsoft Defender防病毒：

注意

虽然强烈建议使用Microsoft Defender防病毒进行发现，但这不是必需的。禁用Defender 防病毒时，某些发现数据仍可用。

Defender for Cloud Apps使用上传的日志或通过配置自动日志上传从终结点收集日志。使用现装即用集成，可以利用 Defender for Endpoint 代理在 Windows 上运行时创建的日志并监视网络事务。使用此信息跨网络上的 Windows 设备进行影子 IT 发现。

集成不需要额外的部署步骤或路由或镜像来自终结点的流量，其工作原理如下：

发送到终结点的日志Defender for Cloud Apps提供流量活动的用户和设备信息。将设备上下文与用户名配对可提供整个网络的全貌，使你能够确定哪个用户从哪个设备执行了哪些活动。
识别有风险的用户时，检查用户访问的设备来检测潜在风险。如果识别出有风险的设备，检查使用它来检测进一步的潜在风险的所有用户。
收集流量信息后，即可深入了解组织中的云应用使用情况。 Defender for Cloud Apps利用 Defender for Endpoint 网络保护功能来阻止终结点设备访问云应用。有关管理发现的应用的详细信息，请参阅使用 Microsoft Defender for Endpoint 治理发现的应用。

与 macOS 设备集成的客户可能会观察到 CPU 消耗高峰。

提示

观看我们的视频，展示将 Defender for Endpoint 与 Defender for Cloud Apps 配合使用的好处。