Partager via


Examiner les applications découvertes par Microsoft Defender pour point de terminaison

L’intégration de Microsoft Defender for Endpoint à Microsoft Defender pour point de terminaison fournit une solution de contrôle et de visibilité de l’informatique « fantôme ». Notre intégration permet aux administrateurs de Defender for Cloud Apps d’examiner les appareils découverts, les événements réseau et l’utilisation des applications.

Prérequis

Avant d'exécuter les procédures de cet article, assurez-vous que vous avez intégré Microsoft Defender pour point de terminaison à Microsoft Defender pour Cloud Apps.

Examiner les appareils découverts dans Defender for Cloud Apps

Après avoir intégré Defender pour point terminaison à Defender pour Cloud Apps, examinez les données des appareils découverts dans le tableau de bord de découverte du cloud.

  1. Dans le portail Microsoft Defender, sous Cloud Apps, sélectionnez Cloud Discovery>Tableau de bord.

  2. En haut de la page, sélectionnez les points de terminaison gérés par Defender. Ce flux contient des données de tous les systèmes d’exploitation mentionnés dans les prérequis Defender for Cloud Apps.

En haut, vous voyez le nombre d’appareils détectés ajoutés après l’intégration.

  1. Sélectionnez l’onglet Appareils.

  2. Explorez chaque appareil répertorié et utilisez les onglets pour afficher les données de la recherche. Recherchez des corrélations entre les appareils, les utilisateurs, les adresses IP et les applications qui ont été impliqués dans des incidents :

    • Vue d’ensemble :

      • Niveau de risque de l’appareil : montre le niveau de risque du profil de l’appareil par rapport à d’autres appareils de votre organisation, comme indiqué par la gravité (élevée, moyenne, faible, informationnelle). Defender for Cloud Apps utilise des profils d’appareil à partir de Defender for Endpoint pour chaque appareil en fonction des analyses avancées. L’activité anormale à la base de référence d’un appareil est évaluée et détermine le niveau de risque de l’appareil. Utilisez le niveau de risque de l’appareil pour déterminer les appareils à examiner en premier.
      • Transactions : Informations sur le nombre de transactions qui ont eu lieu sur l’appareil pendant la période sélectionnée.
      • Trafic total : Informations sur la quantité de trafic totale (en Mo) pour la période sélectionnée.
      • Chargements : Informations sur la quantité de trafic totale (en Mo) chargée par l’appareil pendant la période sélectionnée.
      • Téléchargements : Informations sur la quantité de trafic totale (en Mo) téléchargée par l’appareil pendant la période sélectionnée.
    • Applications découvertes : Répertorie toutes les applications découvertes qui ont fait l’objet d’un accès par l’appareil.

    • Historique de l'utilisateur : Répertorie tous les utilisateurs qui se sont connectés à l’appareil.

    • Historique des adresses IP : Répertorie toutes les adresses IP qui ont été attribuées à l’appareil.

Comme pour toute autre source Cloud Discovery, vous pouvez exporter les données du rapport sur les points de terminaison gérés par Defender pour des investigations plus approfondies.

Remarque

  • Defender for Endpoint transfère les données à Defender for Cloud Apps en blocs de ~4 Mo (~4 000 transactions de point de terminaison)
  • Si la limite de 4 Mo n’est pas atteinte dans un délai de 1 heure, Defender for Endpoint signale toutes les transactions effectuées au cours de la dernière heure.

Découvrir des applications via Defender for Endpoint lorsque le point de terminaison se trouve derrière un proxy réseau

Defender for Cloud Apps peut découvrir les événements de réseau informatique fantôme détectés à partir d’appareils Defender for Endpoint qui fonctionnent dans le même environnement qu’un proxy réseau. Par exemple, si votre appareil de point de terminaison Windows 10 se trouve dans le même environnement que ZScalar, Defender for Cloud Apps peut découvrir les applications informatique fantôme via le flux Utilisateurs du point de terminaison Win10.

Examiner les événements réseau d’appareils dans Microsoft Defender XDR

Remarque

Les événements réseau doivent être utilisés pour examiner les applications découvertes et non pour déboguer les données manquantes.

Utilisez les étapes suivantes pour obtenir une visibilité plus granulaire sur l’activité réseau de l’appareil dans Microsoft Defender pour for Endpoint :

  1. Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Cloud Discovery. Ensuite, sélectionnez l’onglet Appareils.
  2. Sélectionnez la machine à examiner, puis, dans la partie supérieure gauche, sélectionnez Affichage dans Microsoft Defender for Endpoint.
  3. Dans Microsoft Defender XDR, sous Ressources - >Appareils> {appareil sélectionné}, sélectionnez Chronologie.
  4. Sous Filtres, sélectionnez Événements réseau.
  5. Examinez les événements réseau de l’appareil en fonction des besoins.

Capture d'écran montrant la chronologie de l'appareil dans Microsoft Defender XDR.

Examiner l’utilisation de l’application dans Microsoft Defender XDR avec le repérage avancé

Utilisez les étapes suivantes pour obtenir une visibilité plus granulaire sur les événements réseau dans Defender for Endpoint :

  1. Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Cloud Discovery. Sélectionnez ensuite l’onglet Applications découvertes.

  2. Sélectionnez l’application que vous voulez examiner pour ouvrir son tiroir.

  3. Sélectionnez la liste de domaines de l’application, puis copiez la liste des domaines.

  4. Dans Microsoft Defender XDR, sous Chasse, sélectionnez Chasse avancée.

  5. Collez la requête suivante et remplacez <DOMAIN_LIST> par la liste des domaines que vous avez copiés précédemment.

    DeviceNetworkEvents
    | where RemoteUrl has_any ("<DOMAIN_LIST>")
    | order by Timestamp desc
    
  6. Exécutez la requête et examinez les événements réseau pour cette application.

    Capture d'écran montrant la chasse Microsoft Defender XDR Advanced.

Examiner les applications non approuvées dans Microsoft Defender XDR

Chaque tentative d’accès à une application non approuvée déclenche une alerte dans Microsoft Defender XDR avec des informations détaillées sur l’ensemble de la session. Cela vous permet d’effectuer des enquêtes plus approfondies sur les tentatives d’accès aux applications non approuvées, ainsi que de fournir des informations pertinentes supplémentaires à utiliser dans l’investigation de l’appareil de point de terminaison.

Parfois, l’accès à une application non approuvée n’est pas bloqué, soit parce que l’appareil de point de terminaison n’est pas configuré correctement, soit parce que la stratégie de mise en œuvre des principes de protection des informations personnelles n’a pas encore été propagée au point de terminaison. Dans cet exemple, les administrateurs Defender for Endpoint recevront une alerte dans Microsoft Defender XDR indiquant que l’application non approuvée n’a pas été bloquée.

Capture d'écran montrant l'alerte d'application non autorisée de Defender pour point de terminaison.

Remarque

  • Il faut jusqu’à deux heures après que vous avez étiqueté une application comme non approuvée pour que les domaines d’application se propagent aux appareils de point de terminaison.
  • Par défaut, les applications et les domaines marqués comme non approuvés dans Defender for Cloud Apps sont bloqués pour tous les appareils de point de terminaison de l’organisation.
  • Actuellement, les URL complètes ne sont pas prises en charge pour les applications non approuvées. Par conséquent, lorsque des applications non approuvées configurées avec des URL complètes, elles ne sont pas propagées à Defender for Endpoint et ne sont pas bloquées. Par exemple, google.com/drive n’est pas pris en charge, mais drive.google.com l’est.
  • Les notifications dans le navigateur peuvent varier entre différents navigateurs.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.