Arbeiten mit Discovery-Daten

Hinweis

Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen aktualisieren wir die Screenshots und Anweisungen hier und in verwandten Seiten. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

Das Cloud Discovery-Dashboard soll Ihnen einen besseren Einblick in die Verwendung der Cloud-Apps Ihrer Organisation bieten. Es bietet auf einen Blick eine Übersicht, welche Arten von Apps verwendet werden, welche Warnungen geöffnet sind und welche Risikostufen die Apps in Ihrer Organisation haben. Außerdem zeigt es Ihnen, wer die Top-App-Benutzer in Ihrer Organisation sind, und es enthält eine Karte mit den App-Hauptsitzen. Das Cloud Discovery Dashboard bietet zahlreiche Optionen zum Filtern der Daten. Mithilfe der Filter können Sie von dem, was Sie am meisten interessiert, spezifische Sichten mit leicht verständlichen Grafiken generieren, um sich auf einen Blick ein Bild machen zu können.

cloud discovery dashboard.

Kennenlernen des Cloud Discovery-Dashboards

Um ein allgemeines Bild Ihrer Cloud-Apps zu erhalten, sollten Sie im Cloud Discovery-Dashboard zunächst folgende Informationen lesen:

  1. Sehen Sie sich zunächst die gesamte Cloud-App in Ihrer Organisation in der Übersicht über die Verwendung auf hoher Ebene an.

  2. Tauchen Sie dann eine Ebene tiefer, um zu sehen, welche wichtigsten Kategorien in Ihrer Organisation für jede der verschiedenen Verwendungsparameter verwendet werden. Sie können sehen, welcher Anteil der Nutzung von genehmigten Apps verursacht wird.

  3. Gehen Sie noch tiefer, und sehen Sie alle Apps in einer bestimmten Kategorie auf der Registerkarte "Gefundene Apps ".

  4. Sie können die wichtigsten Benutzer und Quell-IP-Adressen anzeigen, um zu identifizieren, welche Benutzer die wichtigsten Benutzer von Cloud-Apps in Ihrer Organisation sind.

  5. Überprüfen Sie, wie die entdeckten Apps nach geografischem Standort (entsprechend ihrer HQ) in der App-Zentraleskarte verteilt werden.

  6. Vergessen Sie schließlich nicht, die Risikobewertung der entdeckten App in der Übersicht über das App-Risiko zu überprüfen. Überprüfen Sie den Status der Ermittlungsbenachrichtigungen , um zu sehen, wie viele geöffnete Warnungen sie untersuchen sollten.

Ausschließen von Entitäten

Wenn Sie über Systembenutzer, IP-Adressen oder Geräte verfügen, die laut sind, aber nicht interessant oder Apps sind, die nicht relevant sind, möchten Sie möglicherweise ihre Daten aus den Cloud Discovery-Daten ausschließen, die analysiert werden. Beispiel: Sie möchten alle Informationen ausschließen, die von 127.0.0.1 oder dem lokalen Host stammen.

So erstellen Sie einen Ausschluss:

  1. Wählen Sie im Portal unter dem Einstellungensymbol Cloud Discovery-Einstellungen.

  2. Klicken Sie auf die Registerkarte Entitäten ausschließen.

  3. Wählen Sie entweder die Ausgeschlossenen Benutzer, ausgeschlossene IP-Adressen oder die Registerkarte "Ausgeschlossene Geräte " aus, und klicken Sie auf die Schaltfläche +, um Ihren Ausschluss hinzuzufügen.

  4. Fügen Sie einen Benutzer alias, eine IP-Adresse oder einen Gerätenamen hinzu. Sie sollten Informationen über die Gründe des Ausschlusses hinzufügen.

    exclude user.

Verwalten kontinuierlicher Berichte

Benutzerdefinierte kontinuierliche Berichte stellen bei der Überwachung der Cloud Discovery-Protokolldaten Ihrer Organisation mehr Granularität bereit. Mit dem Erstellen benutzerdefinierter Berichte können Sie nach bestimmten geografischen Orten, Netzwerken und Standorten, oder nach Organisationseinheiten filtern. Standardmäßig werden nur die folgenden Berichte in Ihrer Auswahl der Cloud Discovery-Bericht angezeigt:

  • Im globalen Bericht werden alle Informationen im Portal aus allen Datenquellen, die Sie in Ihre Protokolle einbezogen haben, konsolidiert. Der globale Bericht enthält keine Daten aus Microsoft Defender für Endpunkt.

  • Im datenquellenspezifischen Bericht werden nur Informationen für eine bestimmte Datenquelle angezeigt.

So erstellen Sie einen neuen fortlaufenden Bericht:

  1. Wählen Sie im Portal unter dem Einstellungensymbol Cloud Discovery-Einstellungen.

  2. Klicken Sie auf die Registerkarte Kontinuierlicher Bericht.

  3. Klicken Sie auf die Schaltfläche Bericht erstellen.

  4. Geben Sie einen Berichtsnamen ein.

  5. Wählen Sie die Datenquellen aus, die Sie einbeziehen möchten (alle oder bestimmte).

  6. Legen Sie die gewünschten Filter auf die Daten fest. Diese Filter können Benutzergruppen, IP-Adresstags oder IP-Adressbereiche sein. Weitere Informationen zum Arbeiten mit IP-Adress-Tags und IP-Bereichen finden Sie unter Strukturieren der Daten gemäß Ihren Anforderungen.

    create custom continuous report.

Hinweis

Alle benutzerdefinierten Berichte sind auf maximal 1 GB nicht komprimierter Daten beschränkt. Wenn mehr als 1 GB Daten vorhanden sind, werden die ersten 1 GB Daten in den Bericht exportiert.

Löschen von Cloud Discovery-Daten

Es gibt eine Reihe möglicher Gründen zum Löschen Ihrer Cloud Discovery-Daten. Das Löschen wird in den folgenden Fällen empfohlen:

  • Wenn Sie Protokolldateien manuell hochgeladen haben, und viel Zeit vergangen ist, bevor Sie das System mit neuen Protokolldateien aktualisiert haben, und Sie nicht möchten, dass alte Daten Ihre Ergebnisse beeinflussen.

  • Wenn Sie eine neue benutzerdefinierte Datenansicht festlegen, gilt sie nur ab diesem Punkt für neue Daten. Sie sollten also alte Daten löschen und anschließend Ihre Protokolldateien erneut hochladen, um der benutzerdefinierten Datenansicht zu ermöglichen, den Protokolldateidaten Ereignisse zu entnehmen.

  • Wenn viele Benutzer oder IP-Adressen vor kurzem wieder aktiv geworden sind, nachdem sie einige Zeit lang offline waren, wird ihre Aktivität als anormal identifiziert, und Sie erhalten möglicherweise viele falsch positive Verstoßmeldungen.

So löschen Sie Cloud Discovery-Daten:

  1. Wählen Sie im Portal unter dem Einstellungensymbol Cloud Discovery-Einstellungen.

  2. Klicken Sie auf die Registerkarte Daten löschen.

    Bevor Sie fortfahren, müssen Sie sicher sein, dass Sie Daten löschen möchten – dies kann nicht rückgängig gemacht werden, und alle Cloud Discovery-Daten im System werden gelöscht.

  3. Klicken Sie auf die Schaltfläche Löschen.

    delete data.

    Hinweis

    Der Löschvorgang dauert einige Minuten und erfolgt nicht sofort.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.