Práce se zjištěnými aplikacemi

Řídicí panel Cloud Discovery vám poskytuje podobné informace o používání cloudových aplikací ve vaší organizaci. Poskytuje přehled o tom, jaké druhy aplikací se používají, jaké jsou otevřené výstrahy a úrovně rizik aplikací ve vaší organizaci. Také ukazuje, kdo jsou nejčastější uživatelé aplikací, a nabízí mapu umístění sídel aplikací. Řídicí panel Cloud Discovery nabízí řadu možností filtrování dat. Filtrování umožňuje vygenerovat specifická zobrazení v závislosti na tom, co vás nejvíce zajímá, pomocí snadno pochopitelné grafiky, abyste získali úplný obrázek na první pohled. Další informace najdete v tématu Zjištěné filtry aplikací.

cloud discovery dashboard.

Přehled řídicího panelu Cloud Discovery

První věc, kterou byste měli udělat, abyste získali obecný přehled o aplikacích Cloud Discovery, najdete v řídicím panelu Cloud Discovery následující informace:

  1. Nejprve se podívejte na celkové využití cloudové aplikace ve vaší organizaci v přehledu využití vysoké úrovně.

  2. Pak se ponořte o jednu úroveň hlouběji, abyste viděli, které jsou hlavní kategorie používané ve vaší organizaci pro každý z různých parametrů použití. Zjistíte, kolik z tohoto využití jsou schválené aplikace.

  3. Přejděte ještě hlouběji a podívejte se na všechny aplikace v konkrétní kategorii na kartě Zjištěné aplikace .

  4. Můžete zobrazit hlavní uživatele a zdrojové IP adresy , abyste zjistili, kteří uživatelé jsou nejvíce dominantními uživateli cloudových aplikací ve vaší organizaci.

  5. Zkontrolujte, jak se zjištěné aplikace šíří podle zeměpisné polohy (podle jejich HQ) na mapě Ústředí aplikací.

  6. Nakonec nezapomeňte zkontrolovat skóre rizika zjištěné aplikace v přehledu rizika aplikace. Zkontrolujte stav upozornění zjišťování a zjistěte, kolik otevřených výstrah byste měli prozkoumat.

Podrobné informace o zjištěných aplikacích

Pokud se chcete podrobně seznámit s daty, která Cloud Discovery poskytuje, pomocí filtrů zkontrolujte, které aplikace jsou rizikové a které se běžně používají.

Pokud například chcete identifikovat běžně používané rizikové cloudové úložiště a aplikace pro spolupráci, můžete pomocí stránky Zjištěné aplikace filtrovat požadované aplikace. Pak je můžete zrušit nebo zablokovat následujícím způsobem:

  1. Na stránce Zjištěné aplikace v části Procházet podle kategorie vyberte cloudové úložiště i spolupráci.

  2. Potom použijte rozšířené filtry a nastavte rizikový faktor dodržování předpisů na SOC 2 rovná se Ne.

  3. V případě použití nastavte uživatele na více než 50 uživatelů a transakcí na více než 100.

  4. Nastavení faktoru rizika zabezpečení pro šifrování neaktivních uložených dat se rovná nepodporováno. Pak nastavte skóre rizika se rovná 6 nebo nižší.

    Discovered app filters.

Jakmile se výsledky vyfiltrují, můžete je zrušit a zablokovat pomocí zaškrtávacího políčka hromadné akce a zrušit jejich schválení v jedné akci. Po zrušení jejich schválení můžete pomocí blokujícího skriptu zablokovat jejich použití ve vašem prostředí.

Cloud Discovery umožňuje ponořit se do cloudového využití vaší organizace ještě hlouběji. Konkrétní instance, které se používají, můžete identifikovat zkoumáním zjištěných subdomén.

Můžete například rozlišovat mezi různými sharepointovými weby:

Subdomain filter.

Poznámka:

Podrobné informace o zjištěných aplikacích se podporují jenom v branách firewall a proxy serverech, které obsahují data cílové adresy URL. Další informace najdete v tématu Podporované brány firewall a proxy servery.

Pokud Defender for Cloud Apps nemůže odpovídat subdoméně zjištěné v protokolech provozu s daty uloženými v katalogu aplikací, je subdoména označená jako Jiná.

Zjišťování prostředků a vlastních aplikací

Cloud Discovery vám také umožňuje podrobně prozkoumat vaše prostředky IaaS a PaaS. Můžete zjišťovat aktivity napříč vašimi platformami pro hostování prostředků, zobrazením přístupu k datům napříč vašimi aplikacemi a prostředky v místním prostředí, včetně účtů úložiště, infrastruktury a vlastních aplikací hostovaných v Azure, Google Cloud Platform a AWS. Nejen, že v řešeních IaaS uvidíte celkové využití, ale můžete získat přehled o konkrétních prostředcích hostovaných na jednotlivých prostředcích a celkovém využití prostředků, abyste mohli zmírnit riziko na prostředek.

Například z Defenderu for Cloud Apps můžete monitorovat aktivity, jako je například nahrání velkého množství dat, můžete zjistit, do jakého prostředku se nahraje, a přejít k podrobnostem, abyste viděli, kdo aktivitu provedl.

Poznámka:

To se podporuje jenom v branách firewall a proxy serverech, které obsahují data cílové adresy URL. Další informace najdete v seznamu podporovaných zařízení v podporovaných branách firewall a proxy serverech.

Zobrazení zjištěných prostředků:

  1. Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery. Pak zvolte kartu Zjištěné prostředky .

    Discovered resources menu.

  2. Na stránce Zjištěný prostředek můžete přejít k podrobnostem o jednotlivých prostředcích a zjistit, k jakým druhům transakcí došlo, kdo k němu přistupoval, a pak přejít k podrobnostem a prozkoumat uživatele ještě více.

    Discovery resources.

  3. U vlastních aplikací můžete vybrat tři tlačítka na konci řádku a zvolit Přidat novou vlastní aplikaci. Otevře se okno Přidat tuto aplikaci , které vám umožní pojmenovat a identifikovat aplikaci, aby ji bylo možné zahrnout do řídicího panelu Cloud Discovery.

Generování výkonné sestavy Cloud Discovery

Nejlepším způsobem, jak získat přehled o využití stínového IT v rámci vaší organizace, je generování sestavy vedoucích pracovníků Cloud Discovery. Tato sestava identifikuje hlavní potenciální rizika a pomáhá naplánovat pracovní postup pro zmírnění a správu rizik, dokud nebudou vyřešeny.

Generování výkonné sestavy Cloud Discovery:

  1. Na řídicím panelu Cloud Discovery vyberte Akce v pravém horním rohu řídicího panelu a pak zvolte Vygenerovat sestavu vedení Cloud Discovery.

  2. Volitelně můžete změnit název sestavy.

  3. Vyberte Generovat.

Vyloučení určitých entit

Pokud máte systémové uživatele, IP adresy nebo zařízení, která nejsou hlučná, ale neinterestující, nebo entity, které by se neměly zobrazovat v sestavách Stínové IT, můžete chtít vyloučit jejich data z analyzovaných dat Cloud Discovery. Můžete například chtít vyloučit všechny informace pocházející z místního hostitele.

Postup nastavení vyloučení:

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Cloud Discovery vyberte kartu Vyloučit entity .

  3. Zvolte buď vyloučené uživatele, vyloučené skupiny, vyloučené IP adresy, nebo kartu Vyloučená zařízení a výběrem tlačítka +Přidat přidejte vyloučení.

  4. Přidejte uživatelský alias, IP adresu nebo název zařízení. Doporučujeme přidat informace o tom, proč bylo vyloučení provedeno.

    exclude user.

Poznámka:

Vyloučení jakékoli entity se vztahuje na nově přijatá data. Historická data vyloučených entit zůstanou po dobu uchovávání (90 dnů).

Správa průběžných sestav

Vlastní průběžné sestavy poskytují různé úrovně podrobnosti při monitorování dat z protokolů Cloud Discovery vaší organizace. Vytvořením vlastních sestav je možné filtrovat podle konkrétních geografických umístění, sítí a lokalit nebo organizačních jednotek. Ve výchozím nastavení se ve výběru sestav Cloud Discovery zobrazují jenom tyto sestavy:

  • Globální sestava slučuje všechny informace na portálu ze všech zdrojů dat, které jste zahrnuli do protokolů. Globální sestava neobsahuje data z Programu Microsoft Defender for Endpoint.

  • Sestava dat z konkrétního zdroje zobrazuje jenom informace z určitého zdroje dat.

Pokud chcete vytvořit novou průběžnou sestavu:

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Cloud Discovery vyberte Průběžná sestava.

  3. Vyberte tlačítko Vytvořit sestavu.

  4. Zadejte název sestavy.

  5. Vyberte zdroje dat, které chcete zahrnout (všechny, nebo konkrétní).

  6. Nastavte požadované filtry dat. Tyto filtry můžou být skupiny uživatelů, značky IP adres nebo rozsahy IP adres. Další informace o práci se značkami IP adres a rozsahy IP adres najdete v tématu Uspořádání dat podle vašich potřeb.

    create custom continuous report.

Poznámka:

Všechny vlastní sestavy jsou omezené na maximálně 1 GB nekomprimovaných dat. Pokud je dat více než 1 GB, první 1 GB dat se do sestavy exportuje.

Odstranění dat Cloud Discovery

Existuje řada důvodů, proč můžete chtít data Cloud Discovery odstranit. Odstranění dat doporučujeme v následujících případech:

  • Pokud jste soubory protokolu odeslali ručně a uplyne dlouhá doba, než systém aktualizujete pomocí nových souborů, a vy nechcete, aby stará data ovlivňovala výsledky.

  • Když nastavíte nové vlastní zobrazení dat, použije se pouze na nová data z tohoto bodu vpřed. Proto můžete chtít vymazat stará data a pak znovu nahrát soubory protokolu, aby vlastní zobrazení dat umožnilo vyzvednutí událostí v datech souboru protokolu.

  • Pokud mnoho uživatelů nebo IP adres nedávno začalo po určité době znovu pracovat, jejich aktivita bude identifikována jako neobvyklá a může vám dát falešně pozitivní porušení.

Postup odstranění dat Cloud Discovery:

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Cloud Discovery vyberte kartu Odstranit data .

    Než budete pokračovat, ujistěte se, že data opravdu chcete odstranit – odstranění se nedá vrátit a dojde při něm k odstranění všech dat Cloud Discovery v systému.

  3. Výběr tlačítko Odstranit.

    delete data.

    Poznámka:

    Proces odstraňování trvá několik minut a není okamžitý.

Další kroky