Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per endpoint è una piattaforma di sicurezza per la protezione intelligente, il rilevamento, l'indagine e la risposta. Defender per endpoint protegge gli endpoint dalle minacce informatiche, rileva attacchi avanzati e violazioni dei dati, automatizza gli eventi imprevisti di sicurezza e migliora il comportamento di sicurezza.
L'integrazione predefinita tra Microsoft Defender for Cloud Apps e Microsoft Defender per endpoint semplifica l'individuazione cloud e consente l'analisi basata su dispositivo.
Importante
Questo articolo si concentra sulle funzionalità di individuazione dello Shadow IT dai log di Defender for Endpoint. Per altre informazioni sulle funzionalità di governance dello shadow IT tramite Microsoft Defender per endpoint, vedere Gestire le app individuate usando Microsoft Defender per endpoint.
Prerequisiti
Licenza di Microsoft Defender for Cloud Apps
È necessario effettuare l'onboarding dei dispositivi su Microsoft Defender per endpoint
Uno dei seguenti:
- Microsoft Defender per endpoint con Piano 2
- Microsoft Defender for Business (autonomo o come parte di Microsoft 365 Business Premium)
Per altre informazioni, vedere Confrontare i piani di sicurezza degli endpoint Microsoft.
App che usano uno dei sistemi operativi seguenti:
- Windows 10 versione 1709 (build del sistema operativo 16299.1085 con KB4493441)
- Windows 10 versione 1803 (build del sistema operativo 17134.704 con KB4493464)
- Windows 10 versione 1809 (build del sistema operativo 17763.379 con KB4489899) o versioni successive Windows 10 e Windows 11
- macOS, su dispositivi con Defender for Endpoint versione 20.123072.25.0 o versione successiva
Per supportare le integrazioni per le app macOS, è necessario attivare le funzionalità di protezione di rete in Microsoft Defender per endpoint. Poiché la protezione di rete controlla solo gli eventi di chiusura della connessione TCP, i protocolli UDP non sono coperti per il supporto di macOS. Per altre informazioni, vedere Attivare la protezione di rete
(Scelta consigliata) Abilitare Microsoft Defender Antivirus:
Nota
Anche se Microsoft Defender Antivirus è altamente consigliato per l'individuazione, non è obbligatorio. Alcuni dati di individuazione sono ancora disponibili quando Antivirus Defender è disabilitato.
Come funziona
In modo autonomo, Defender for Cloud Apps raccoglie i log dagli endpoint usando i log caricati o configurando il caricamento automatico dei log. L'integrazione predefinita consente di sfruttare i log creati dall'agente di Defender per endpoint quando viene eseguito in Windows e monitora le transazioni di rete. Usa questi log delle transazioni di rete di Defender for Endpoint per l'individuazione dello Shadow IT nei dispositivi Windows della tua rete.
L'integrazione non richiede passaggi aggiuntivi per la distribuzione o il routing o il mirroring del traffico dagli endpoint e funziona come segue:
- I log degli endpoint inviati a Defender for Cloud Apps forniscono informazioni sull'utente e sul dispositivo per le attività di traffico. L'associazione del contesto del dispositivo al nome utente fornisce un quadro completo della rete che consente di determinare quale utente ha eseguito l'attività da quale dispositivo.
- Quando si identifica un utente rischioso, controllare i dispositivi a cui l'utente ha effettuato l'accesso per rilevare potenziali rischi. Se si identifica un dispositivo rischioso, controllare tutti gli utenti che lo hanno usato per rilevare altri potenziali rischi.
- Dopo aver raccolto le informazioni sul traffico, è possibile approfondire l'uso delle app cloud nell'organizzazione. Defender for Cloud Apps sfrutta le funzionalità di Defender per Endpoint Network Protection per bloccare l'accesso dei dispositivi endpoint alle app cloud. Per altre informazioni sulla gestione delle app individuate, vedere Governare le app individuate usando Microsoft Defender per endpoint.
I clienti che si integrano con i dispositivi macOS possono osservare un picco nell'utilizzo della CPU.
Consiglio
Guardate questi video che illustrano i vantaggi derivanti dall'uso di Defender for Endpoint con Defender for Cloud Apps: Individuate e bloccate Shadow IT usando Defender for Endpoint e Individuazione di Shadow IT oltre la rete aziendale.
Integrare Microsoft Defender per endpoint con Defender for Cloud Apps
Usare il portale di Microsoft Defender, il portale di gestione centrale per i servizi di Microsoft Defender, per configurare l'integrazione.
Per abilitare l'integrazione di Defender per endpoint con Defender for Cloud Apps:
- Nel portale di Microsoft Defender, dal riquadro di spostamento, seleziona Impostazioni>Endpoint>Generali>Funzionalità avanzate.
- Attivare o disattivare l'Microsoft Defender for Cloud Apps.
- Selezionare Salva preferenze.
Nota
L'abilitazione dell'integrazione per la visualizzazione dei dati in Defender for Cloud Apps richiede fino a due ore.
Per configurare il livello di gravità per gli avvisi inviati a Microsoft Defender per endpoint:
Nel portale di Microsoft Defender selezionare Impostazioni>Cloud Apps>Cloud Discovery>Microsoft Defender per endpoint.
In Avvisi selezionare il livello di gravità globale per gli avvisi.
Seleziona Salva.
Passaggi successivi
Dopo aver abilitato l'integrazione, usare gli articoli seguenti per analizzare e gestire le app individuate:
Video correlati
I video seguenti forniscono altre informazioni generali ed esempi per l'uso di Defender per endpoint con Defender for Cloud Apps.
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.