Integrare Microsoft Defender per endpoint con Microsoft Defender for Cloud Apps

Microsoft Defender per endpoint è una piattaforma di sicurezza per la protezione intelligente, il rilevamento, l'indagine e la risposta. Defender per endpoint protegge gli endpoint dalle minacce informatiche, rileva attacchi avanzati e violazioni dei dati, automatizza gli eventi imprevisti di sicurezza e migliora il comportamento di sicurezza.

L'integrazione predefinita tra Microsoft Defender for Cloud Apps e Microsoft Defender per endpoint semplifica l'individuazione cloud e consente l'analisi basata su dispositivo.

Importante

Questo articolo si concentra sulle funzionalità di individuazione dello Shadow IT dai log di Defender for Endpoint. Per altre informazioni sulle funzionalità di governance dello shadow IT tramite Microsoft Defender per endpoint, vedere Gestire le app individuate usando Microsoft Defender per endpoint.

Prerequisiti

Nota

Anche se Microsoft Defender Antivirus è altamente consigliato per l'individuazione, non è obbligatorio. Alcuni dati di individuazione sono ancora disponibili quando Antivirus Defender è disabilitato.

Come funziona

In modo autonomo, Defender for Cloud Apps raccoglie i log dagli endpoint usando i log caricati o configurando il caricamento automatico dei log. L'integrazione predefinita consente di sfruttare i log creati dall'agente di Defender per endpoint quando viene eseguito in Windows e monitora le transazioni di rete. Usa questi log delle transazioni di rete di Defender for Endpoint per l'individuazione dello Shadow IT nei dispositivi Windows della tua rete.

L'integrazione non richiede passaggi aggiuntivi per la distribuzione o il routing o il mirroring del traffico dagli endpoint e funziona come segue:

  • I log degli endpoint inviati a Defender for Cloud Apps forniscono informazioni sull'utente e sul dispositivo per le attività di traffico. L'associazione del contesto del dispositivo al nome utente fornisce un quadro completo della rete che consente di determinare quale utente ha eseguito l'attività da quale dispositivo.
  • Quando si identifica un utente rischioso, controllare i dispositivi a cui l'utente ha effettuato l'accesso per rilevare potenziali rischi. Se si identifica un dispositivo rischioso, controllare tutti gli utenti che lo hanno usato per rilevare altri potenziali rischi.
  • Dopo aver raccolto le informazioni sul traffico, è possibile approfondire l'uso delle app cloud nell'organizzazione. Defender for Cloud Apps sfrutta le funzionalità di Defender per Endpoint Network Protection per bloccare l'accesso dei dispositivi endpoint alle app cloud. Per altre informazioni sulla gestione delle app individuate, vedere Governare le app individuate usando Microsoft Defender per endpoint.

I clienti che si integrano con i dispositivi macOS possono osservare un picco nell'utilizzo della CPU.

Consiglio

Guardate questi video che illustrano i vantaggi derivanti dall'uso di Defender for Endpoint con Defender for Cloud Apps: Individuate e bloccate Shadow IT usando Defender for Endpoint e Individuazione di Shadow IT oltre la rete aziendale.

Integrare Microsoft Defender per endpoint con Defender for Cloud Apps

Usare il portale di Microsoft Defender, il portale di gestione centrale per i servizi di Microsoft Defender, per configurare l'integrazione.

Per abilitare l'integrazione di Defender per endpoint con Defender for Cloud Apps:

  1. Nel portale di Microsoft Defender, dal riquadro di spostamento, seleziona Impostazioni>Endpoint>Generali>Funzionalità avanzate.
  2. Attivare o disattivare l'Microsoft Defender for Cloud Apps.
  3. Selezionare Salva preferenze.

Nota

L'abilitazione dell'integrazione per la visualizzazione dei dati in Defender for Cloud Apps richiede fino a due ore.

Schermata della pagina delle impostazioni delle funzionalità avanzate di Defender for Endpoint con l'interruttore Microsoft Defender for Cloud Apps attivato.

Per configurare il livello di gravità per gli avvisi inviati a Microsoft Defender per endpoint:

  1. Nel portale di Microsoft Defender selezionare Impostazioni>Cloud Apps>Cloud Discovery>Microsoft Defender per endpoint.

  2. In Avvisi selezionare il livello di gravità globale per gli avvisi.

  3. Seleziona Salva.

    Schermata che mostra le impostazioni degli avvisi di Defender for Endpoint.

Passaggi successivi

Dopo aver abilitato l'integrazione, usare gli articoli seguenti per analizzare e gestire le app individuate:

I video seguenti forniscono altre informazioni generali ed esempi per l'uso di Defender per endpoint con Defender for Cloud Apps.

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.