Integre o Microsoft Defender for Endpoint com o Microsoft Defender for Cloud Apps
O Microsoft Defender for Endpoint é uma plataforma de segurança para proteção, deteção, investigação e resposta inteligentes. O Defender for Endpoint protege os endpoints contra ameaças cibernéticas, deteta ataques avançados e violações de dados, automatiza incidentes de segurança e melhora a postura de segurança.
Este artigo descreve a integração pronta para uso disponível entre o Microsoft Defender for Cloud Apps e o Microsoft Defender for Endpoint, que simplifica a descoberta na nuvem e permite a investigação baseada em dispositivo.
Importante
Este artigo se concentra nos recursos de descoberta de TI sombra dos logs do Defender for Endpoint. Para obter mais informações sobre os recursos de governança de TI sombra por meio do Defender for Endpoint, consulte Governar aplicativos descobertos usando o Microsoft Defender for Endpoint.
Pré-requisitos
Licença do Microsoft Defender for Cloud Apps
Um dos seguintes:
- Microsoft Defender for Endpoint com Plano 2
- Microsoft Defender for Business com uma licença premium ou independente
Para obter mais informações, consulte Comparar planos de segurança de ponto de extremidade da Microsoft.
Aplicações que utilizam um dos seguintes sistemas operativos:
- Windows 10 versão 1709 (Compilação do SO 16299.1085 com KB4493441)
- Windows 10 versão 1803 (Compilação do SO 17134.704 com KB4493464)
- Windows 10 versão 1809 (Compilação do SO 17763.379 com KB4489899), ou versões posteriores do Windows 10 e Windows 11
- macOS, em dispositivos com o Defender for Endpoint versão 20.123072.25.0 ou superior
Para oferecer suporte a integrações para aplicativos macOS, você deve ativar os recursos de proteção de rede no Microsoft Defender for Endpoint. Como a proteção de rede audita apenas eventos de fechamento de conexão TCP, os protocolos UDP não são cobertos para suporte ao macOS. Para obter mais informações, consulte Ativar a proteção de rede
(Recomendado) Habilite o Microsoft Defender Antivirus:
Nota
Embora o Microsoft Defender Antivirus seja altamente recomendado para descoberta, ele não é obrigatório. Alguns dados de descoberta ainda estão disponíveis quando o Defender Antivírus está desativado.
Como funciona
Por si só, o Defender for Cloud Apps coleta logs de seus endpoints usando logs que você carrega ou configurando o upload automático de logs. A integração pronta para uso permite que você aproveite os logs que o agente do Defender for Endpoint cria quando é executado no Windows e monitora as transações de rede. Use essas informações para a descoberta do Shadow IT nos dispositivos Windows em sua rede.
A integração não requer etapas adicionais de implantação ou roteamento ou espelhamento de tráfego de seus pontos de extremidade e funciona da seguinte maneira:
- Os logs de seus endpoints enviados para o Defender for Cloud Apps fornecem informações de usuário e dispositivo para atividades de tráfego. O emparelhamento do contexto do dispositivo com o nome de usuário fornece uma imagem completa em toda a rede, permitindo que você determine qual usuário fez qual atividade de qual dispositivo.
- Quando você identificar um usuário de risco, verifique os dispositivos que o usuário acessou para detetar riscos potenciais. Se você identificar um dispositivo de risco, verifique todos os usuários que o usaram para detetar outros riscos potenciais.
- Depois que as informações de tráfego forem coletadas, você estará pronto para se aprofundar no uso de aplicativos na nuvem em sua organização. O Defender for Cloud Apps tira partido das capacidades do Defender for Endpoint Network Protection para bloquear o acesso de dispositivos terminais a aplicações na nuvem. Para obter mais informações sobre como controlar os aplicativos descobertos, consulte Governar aplicativos descobertos usando o Microsoft Defender for Endpoint.
Os clientes que integram com dispositivos macOS podem observar um aumento no consumo de CPU.
Gorjeta
Assista aos nossos vídeos que mostram os benefícios de usar o Defender for Endpoint com o Defender for Cloud Apps.
Integre o Microsoft Defender for Endpoint com o Defender for Cloud Apps
Para habilitar a integração do Defender for Endpoint com o Defender for Cloud Apps:
- No portal do Microsoft Defender, no painel de navegação, selecione Configurações>de pontos de extremidade>Recursos avançados gerais.>
- Ative o Microsoft Defender for Cloud Apps.
- Selecione Aplicar.
Nota
Demora até duas horas depois de ativar a integração para que os dados apareçam no Defender for Cloud Apps.
Para configurar a gravidade dos alertas enviados ao Microsoft Defender for Endpoint:
No Portal do Microsoft Defender, selecione Configurações>Cloud Apps>Cloud Discovery>Microsoft Defender for Endpoint.
Em Alertas, selecione o nível de gravidade global dos alertas.
Selecione Guardar.
Próximos passos
Vídeos relacionados
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.