與適用於端點的 Microsoft Defender的Microsoft Defender for Cloud Apps整合提供了無縫的影子 IT 可見性和控制解決方案。 我們的整合可讓適用於 Defender for Cloud Apps 系統管理員調查探索到的裝置、網路事件和應用程式使用量。
必要條件
在執行本文中的程式之前,請確定您已將適用於端點的 Microsoft Defender 與適用於雲端的 Microsoft Defender for Cloud Apps 整合。
調查 Defender for Cloud Apps 中探索到的裝置
將適用於端點的 Defender 與 Defender for Cloud Apps 整合之後,請在雲端探索儀錶板中調查探索到的裝置資料。
在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,選取 [Cloud Discovery>儀錶板]。
在頁面頂端,選取 [Defender 受控端點]。 此資料流程包含來自 Defender for Cloud Apps 必要條件中提及的任何作業系統的資料。
在頂部,您會看到整合後新增的探索到裝置數量。
選取 [裝置] 索引標籤。
向下切入列出的每個裝置,然後使用索引標籤來檢視調查資料。 尋找事件中涉及的裝置、使用者、IP 位址和應用程式之間的相互關聯:
概述:
- 裝置風險層級:顯示裝置配置檔相對於組織中其他裝置的風險程度,如嚴重性 (高、中、低、資訊) 所示。 Defender for Cloud Apps 會根據進階分析,針對每個裝置使用來自適用於端點的 Defender 的裝置設定檔。 對裝置基準來說為異常的活動會經過評估,並判斷裝置的風險層級。 使用裝置風險層級來判斷要先調查哪些裝置。
- 交易:有關所選時間段內裝置上發生的交易數量的資訊。
- 總流量:在所選期間內 (流量總量的相關資訊,以 MB) 為單位。
- 上傳:有關裝置在所選時間段內上傳的流量總量(以 MB 為單位 () )的資訊。
- 下載:有關裝置在所選時間段內下載的 (流量總量的資訊) 以 MB 為單位。
探索到的應用程式:清單裝置存取的所有探索到的應用程式。
使用者歷程記錄:清單登入裝置的所有使用者。
IP 位址歷程記錄:清單指派給裝置的所有 IP 位址。
如同任何其他雲端探索來源,您可以從 Defender 受控端點 報表匯出資料,以進行進一步調查。
注意事項
- 適用於端點的 Defender 會以 ~4 MB 的區塊將資料轉送至Defender for Cloud Apps, (~4000 個端點交易)
- 如果在 1 小時內未達到 4 MB 限制,適用於端點的 Defender 會報告過去一小時內執行的所有交易。
當端點位於網路 Proxy 後方時,透過適用於端點的 Defender 探索應用程式
Defender for Cloud Apps 可以探索從適用於端點的 Defender 裝置偵測到的陰影 IT 網路事件,這些裝置在與網路 Proxy 相同的環境中運作。 例如,如果您的Windows 10端點裝置與 ZScalar 位於相同的環境中,Defender for Cloud Apps可以透過 Win10 端點使用者串流探索影子 IT 應用程式。
調查 Microsoft Defender 全面偵測回應中的裝置網路事件
注意事項
網路事件應該用來調查探索到的應用程式,而不是用來偵錯遺失的資料。
使用下列步驟來取得適用於端點的 Microsoft Defender 中裝置網路活動的更細微可見度:
- 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,選取 [Cloud Discovery]。 然後選取 [裝置] 索引標籤。
- 選取您要調查的電腦,然後在左上角選取 [在適用於端點的 Microsoft Defender中檢視]。
- 在 Microsoft Defender 全面偵測回應 的 [資產 ->裝置> {選取的裝置}] 底下,選取 [時程表]。
- 在 篩選器下,選取 網路事件。
- 視需要調查裝置的網路事件。
使用進階搜捕來調查 Microsoft Defender 全面偵測回應中的應用程式使用方式
使用下列步驟來取得適用於端點的 Defender 中應用程式相關網路事件的更細微可見度:
在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,選取 [Cloud Discovery]。 然後選取 [探索到的應用程式] 索引標籤。
選擇您要調查的應用程式以打開其抽屜。
選取應用程式的 網域 清單,然後複製網域清單。
在 Microsoft Defender 全面偵測回應 的 [搜捕] 底下,選取 [進階搜捕]。
貼上下列查詢,並取代
<DOMAIN_LIST>為您先前複製的網域清單。DeviceNetworkEvents | where RemoteUrl has_any ("<DOMAIN_LIST>") | order by Timestamp desc執行查詢並調查此應用程式的網路事件。
調查 Microsoft Defender 全面偵測回應中未經核准的應用程式
每次嘗試存取未經核准的應用程式都會觸發 Microsoft Defender 全面偵測回應中的警示,其中包含整個會話的深入詳細數據。 這可讓您對存取未經核准應用程式的嘗試執行更深入的調查,並提供用於端點裝置調查的其他相關資訊。
有時候,不會封鎖對未核准應用程式的存取,因為端點裝置未正確設定,或強制執行原則尚未傳播至端點。 在此實例中,適用於端點的 Defender 系統管理員會在 Microsoft Defender 全面偵測回應中收到警示,指出未封鎖未核准的應用程式。
注意事項
- 將應用程式標記為未 核准 後,最多需要兩個小時才能讓應用程式網域傳播至端點裝置。
- 根據預設,在 Defender for Cloud Apps 中標示為 [未核准] 的應用程式和網域將會針對組織中的所有端點裝置遭到封鎖。
- 目前,未經批准的應用程式不支援完整網址。 因此,取消核准設定完整 URL 的應用程式時,它們不會傳播至適用於端點的 Defender,而且不會遭到封鎖。 例如,
google.com/drive不支援,而drive.google.com支援。 - 瀏覽器內通知可能因不同瀏覽器而異。
後續步驟
Related videos
如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。