Arbeiten mit ermittelten AppsWorking with discovered apps

Gilt für: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Das Cloud Discovery-Dashboard soll Ihnen einen besseren Einblick in die Verwendung der Cloud-Apps Ihrer Organisation bieten.The Cloud Discovery dashboard is designed to give you more insight into how cloud apps are being used in your organization. Es bietet auf einen Blick eine Übersicht, welche Arten von apps verwendet werden, Ihre offenen Warnungen und die Risikostufen von apps in Ihrer Organisation.It provides an at-a-glance overview of what kinds of apps are being used, your open alerts, and the risk levels of apps in your organization. Außerdem zeigt es Ihnen, wer die Top-App-Benutzer in Ihrer Organisation sind, und es enthält eine Karte mit den App-Hauptsitzen.It also shows you who your top app users are and provides an App Headquarter location map. Das Cloud Discovery Dashboard bietet zahlreiche Optionen zum Filtern der Daten.The Cloud Discovery Dashboard has many options for filtering the data. Mithilfe der Filter können Sie von dem, was Sie am meisten interessiert, spezifische Sichten mit leicht verständlichen Grafiken generieren, um sich auf einen Blick ein Bild machen zu können.Filtering allows you to generate specific views depending on what you're most interested in using easy-to-understand graphics to give you the full picture at a glance.

Cloud Discovery-Dashboard

Kennenlernen des Cloud Discovery-DashboardsReview the Cloud Discovery Dashboard

Um ein allgemeines Bild Ihrer Cloud-Apps zu erhalten, sollten Sie im Cloud Discovery-Dashboard zunächst folgende Informationen lesen:The first thing you should do to get a general picture of your Cloud Discovery apps is review the following information in the Cloud Discovery Dashboard:

  1. Sehen Sie sich zuerst den allgemeinen Überblick über die Verwendung von Cloud-Apps in Ihrer Organisation an.First look at the overall cloud app use in your organization in the High-level usage overview.

  2. Befassen Sie sich anschließend mit den Details, und ermitteln Sie, welche Topkategorien in Ihrer Organisation für verschiedene Verwendungsparameter verwendet werden.Then, dive one level deeper to see which are the top categories used in your org for each of the different use parameters. Sie können sehen, welcher Anteil der Nutzung von genehmigten Apps verursacht wird.You can see how much of this usage is by Sanction apps.

  3. Wenn Sie noch tiefer ins Detail gehen, können Sie sogar alle Apps einer bestimmten Kategorie in der Registerkarte ermittelte Apps anzeigen.Go even deeper and see all the apps in a specific category in the Discovered apps tab.

  4. Sie können die Topbenutzer und Quell-IP-Adressen anzeigen, um zu ermitteln, welche Benutzer in Ihrer Organisation am häufigsten Cloud-Apps verwenden.You can see the top users and source IP addresses to identify which users are the most dominant users of cloud apps in your organization.

  5. Anhand der Karte mit den App-Zentralen können Sie nachvollziehen, wie sich die ermittelten Apps in Bezug auf den geografischen Standort (ausgehend von der Zentrale) ausbreiten.Check how the discovered apps spread according to geographic location (according to their HQ) in the App Headquarters map.

  6. Vergessen Sie schließlich nicht, die Risikobewertung der ermittelten App in der Apps-Risikoübersicht zu prüfen.Finally, don’t forget to review the risk score of the discovered app in the App risk overview. Prüfen Sie den Status der Ermittlungswarnungen, um festzustellen, wie viele offene Warnungen Sie untersuchen sollten.Check the discovery alerts status to see how many open alerts should you investigate.

Details zu ermittelten AppsDeep dive into Discovered apps

Wenn Sie sich ausführlich mit den von Cloud Discovery bereitgestellten Daten beschäftigen möchten, verwenden Sie die Filter, um zu überprüfen, welche Apps riskant sind und welche häufig verwendet werden.If you want to deep dive into the data Cloud Discovery provides, use the filters to review which apps are risky and which are commonly used.

Wenn Sie z.B. häufig verwendete riskante Cloudspeicher- oder Kollaborationsapps identifizieren möchten, können Sie die Seite „Ermittelte Apps“ verwenden, um nach den von Ihnen gewünschten Apps zu filtern.For example, if you want to identify commonly used risky cloud storage and collaboration apps, you can use the Discovered apps page to filter for the apps you want. Dann können Sie die Sanktionierung aufheben oder sperren, indem Sie Folgendes durchführen:Then you can unsanction or block them as follows:

  1. Wählen Sie auf der Seite Ermittelte Apps unter Kategorien durchsuchen sowohl Cloudspeicher als auch Kollaboration aus.In the Discovered apps page, under Browse by category select both Cloud storage and Collaboration.

  2. Verwenden Sie anschließend die erweiterten Filter und legen Sie den Faktor für Konformitätsrisiko auf SOC 2 ist gleich FALSE fest.Then, use the Advanced filters and set Compliance risk factor to SOC 2 equals False

  3. Für Nutzung legen Sie Benutzer auf mehr als 50 Benutzer fest und Nutzung für Transkationen auf größer als 100.For Usage, set Users to greater than 50 users and Usage for Transactions to greater than 100.

  4. Legen Sie den Faktor für Sicherheitsrisiko fest für Verschlüsselung von ruhenden Daten ist gleich Nicht unterstützt.Set the Security risk factor for Data at rest encryption equals Not supported. Zum Schluss legen Sie Risikobewertung fest auf ist gleich oder kleiner 6.Then set Risk score equals 6 or lower.

Filter für ermittelte Apps

Nachdem die Ergebnisse gefiltert wurden, können Sie die Sanktionierung aufheben oder sperren, indem Sie das Kontrollkästchen für Massenvorgänge verwenden, um die Sanktionierung für alle gleichzeitig aufzuheben.After the results are filtered, you can unsanction and block them by using the bulk action checkbox to unsanction them all in one action. Nachdem die Sanktionierung aufgehoben wurde, können Sie ein Blockierungsskript verwenden, um zu verhindern, dass sie in Ihrer Umgebung verwendet werden.After they're unsanctioned, you can use a blocking script to block them from being used in your environment.

Mithilfe von Cloud Discovery können Sie noch tiefer in das Thema der Cloudnutzung Ihrer Organisation eintauchen.Cloud discovery enables you to dive even deeper into your organization’s cloud usage. Sie können bestimmte Instanzen erkennen, die genutzt werden, indem Sie die erkannten Unterdomänen untersuchen.You can identify specific instances that are in use by investigating the discovered subdomains.

Sie können z.B. zwischen unterschiedlichen SharePoint-Standorten unterscheiden.For example, you can differentiate between different SharePoint sites.

Dies wird nur in Firewalls und Proxys unterstützt, die auf URL-Daten abzielen.This is supported only in firewalls and proxies that contain target URL data. Weitere Informationen finden in der Liste der unterstützten Geräte unter Unterstützte Firewalls und Proxys.For more information, see the list of supported appliances in Supported firewalls and proxies.

Informationen zur Unterdomäne

Ermitteln von Ressourcen und benutzerdefinierten AppsDiscover resources and custom apps

Mit Cloud Discovery können Sie ebenfalls Einblicke in Ihre IaaS- und PaaS-Ressourcen erhalten.Cloud Discovery also enables you to deep dive into your IaaS and PaaS resources. Sie können auf Ihren Plattformen zum Hosten von Ressourcen Aktivitäten ermitteln und den Zugriff auf Daten in Ihren selbstgehosteten Apps und Ressourcen anzeigen, einschließlich Speicherkonten sowie die Infrastruktur und benutzerdefinierte Apps, die auf Azure, Google Cloud Platform und AWS gehostet werden.You can discover activity across your resource-hosting platforms, viewing access to data across your self-hosted apps and resources including storage accounts, infrastructure and custom apps hosted on Azure, Google Cloud Platform, and AWS. Sie können nicht nur die Gesamtauslastung in Ihren IaaS-Lösungen anzeigen, sondern auch Einblicke in die spezifischen Ressourcen enthalten, die auf jeder Plattform gehostet werden. Ebenso können Sie die Gesamtauslastung der Ressourcen anzeigen, um die Risiken pro Ressource zu minimieren.Not only can you see overall usage in your IaaS solutions, but you can get visibility into the specific resources that are hosted on each, and the overall usage of the resources, to help mitigate risk per resource.

Sie können beispielsweise über Cloud App Security Aktivitäten überwachen, also ob eine große Datenmenge hochgeladen wurde oder auf welche Ressource diese Daten hochgeladen wurden. Anschließend können Sie einen Drilldown ausführen, um zu sehen, wer diese Aktivität durchgeführt hat.For example, from Cloud App Security you can monitor activity such as if a lot of data is uploaded, you can discover what resource it is uploaded to and drill down to see who performed the activity.

Hinweis

Dies wird nur in Firewalls und Proxys unterstützt, die auf URL-Daten abzielen.This is supported only in firewalls and proxies that contain target URL data. Weitere Informationen finden in der Liste der unterstützten Geräte unter Unterstützte Firewalls und Proxys.For more information, see the list of supported appliances in Supported firewalls and proxies.

So zeigen Sie ermittelte Ressourcen an:To view discovered resources:

  1. Klicken Sie im Cloud App Security-Portal auf Ermitteln und dann auf Ermittelte Ressourcen.In the Cloud App Security portal, select Discover and then Discovered resources.

    Menü der ermittelten Ressourcen

  2. Auf der Seite „Ermittelte Ressourcen“ können Sie für jede Ressource einen Drilldown ausführen, um zu sehen, welche Transaktionen durchgeführt wurden, wer darauf zugegriffen hat, und anschließend können Sie die Benutzer noch genauer untersuchen.In the Discovered resource page, you can drill down into each resource to see what kinds of transactions occurred, who accessed it, and then drill down to investigate the users even further.

    Ermittelte Ergebnisse

  3. Für benutzerdefinierte Apps können Sie auf die drei Punkte am Ende der Zeile klicken und Benutzerdefinierte App hinzufügen auswählen.For custom apps, you can click the three buttons at the end of the row and select Add custom app. Daraufhin wird das Fenster Benutzerdefinierte App hinzufügen geöffnet, und Sie können die App benennen und identifizieren, damit diese in das Cloud Discovery-Dashboard eingefügt werden kann.This will open the Add custom app window that lets you name and identify the app so it can be included in the Cloud Discovery dashboard.

Cloud Discovery-Ausführungsbericht generierenGenerate Cloud Discovery executive report

Die beste Methode, einen Überblick über die Verwendung von Schatten-IT in Ihrer Organisation zu erhalten, ist durch die Generierung eines Cloud Discovery-Ausführungsberichts.The best way to get an overview of Shadow IT use across your organization is by generating a Cloud Discovery executive report. In diesem Bericht werden die wichtigsten potenziellen Risiken identifiziert. Er hilft Ihnen dabei, einen Workflow zu planen, um Risiken zu minimieren und zu verwalten, bis diese gelöst sind.This report identifies the top potential risks and helps you plan a workflow to mitigate and manage risks until they're resolved.

So generieren Sie einen Cloud Discovery-Ausführungsbericht:To generate a Cloud Discovery executive report:

  1. Klicken Sie im Cloud Discovery Dashboardauf die drei Punkte in der oberen rechten Ecke des Dashboards, und wählen Sie dann Cloud Discovery Executive-Bericht generierenaus.From the Cloud Discovery dashboard, click the three dots in the upper-right corner of the dashboard, and then select Generate Cloud Discovery executive report.
  2. Ändern Sie optional den Namen des Berichts.Optionally, change the report name.
  3. Klicken Sie auf Generieren.Click Generate.

Ausschließen von EntitätenExclude entities

Wenn Sie Daten von Systembenutzern, IP-Adressen oder Computern besitzen, die besonders störend oder uninteressant sind, oder von Apps, die nicht relevant sind, sollten Sie die Daten aus den analysierten Cloud Discovery-Daten ausschließen.If you have system users, IP addresses, or machines that are noisy but uninteresting or apps that aren't relevant, you may want to exclude their data from the Cloud Discovery data that is analyzed. Beispiel: Sie möchten alle Informationen ausschließen, die von 127.0.0.1 oder dem lokalen Host stammen.For example, you might want to exclude all information originating from 127.0.0.1 or local host.

So erstellen Sie einen Ausschluss:To create an exclusion:

  1. Wählen Sie im Portal unter dem Einstellungensymbol Cloud Discovery-Einstellungen.In the portal, under the settings icon, select Cloud Discovery settings.

  2. Klicken Sie auf die Registerkarte Entitäten ausschließen.Click the Exclude entities tab.

  3. Wählen Sie entweder die Registerkarte Ausgeschlossene Benutzer, Ausgeschlossene IP-Adressen oder Ausgeschlossene Computer, und klicken Sie auf die Schaltfläche +, um Ihren Ausschluss hinzuzufügen.Choose either the Excluded users, Excluded IP addresses, or Excluded machines tab and click the + button to add your exclusion.

  4. Hinzufügen von Benutzeralias, IP-Adresse oder ComputernameAdd a user alias, IP address, or machine name. Sie sollten Informationen über die Gründe des Ausschlusses hinzufügen.We recommend adding information about why the exclusion was made.

    Benutzer ausschließenexclude user

Verwalten kontinuierlicher BerichteManage continuous reports

Benutzerdefinierte kontinuierliche Berichte stellen bei der Überwachung der Cloud Discovery-Protokolldaten Ihrer Organisation mehr Granularität bereit.Custom continuous reports provide you more granularity when monitoring your organization's Cloud Discovery log data. Mit dem Erstellen benutzerdefinierter Berichte können Sie nach bestimmten geografischen Orten, Netzwerken und Standorten, oder nach Organisationseinheiten filtern.By creating custom reports, it's possible to filter on specific geographic locations, networks and sites, or organizational units. Standardmäßig werden nur die folgenden Berichte in Ihrer Auswahl der Cloud Discovery-Bericht angezeigt:By default, only the following reports appear in your Cloud Discovery report selector:

  • Im globalen Bericht werden alle Informationen im Portal aus allen Datenquellen, die Sie in Ihre Protokolle einbezogen haben, konsolidiert.The Global report consolidates all the information in the portal from all the data sources you included in your logs. Der globale Bericht enthält keine Daten von Microsoft Defender ATP.The global report doesn’t include data from Microsoft Defender ATP.

  • Im datenquellenspezifischen Bericht werden nur Informationen für eine bestimmte Datenquelle angezeigt.The Data source specific report displays only information from a specific data source.

So erstellen Sie einen neuen fortlaufenden Bericht:To create a new continuous report:

  1. Wählen Sie im Portal unter dem Einstellungensymbol Cloud Discovery-Einstellungen.In the portal, under the settings icon, select Cloud Discovery settings.

  2. Klicken Sie auf die Registerkarte Kontinuierlicher Bericht.Click the Continuous report tab.

  3. Klicken Sie auf die Schaltfläche Bericht erstellen.Click the Create report button.

  4. Geben Sie einen Berichtsnamen ein.Enter a report name.

  5. Wählen Sie die Datenquellen aus, die Sie einbeziehen möchten (alle oder bestimmte).Select the data sources you want to include (all or specific).

  6. Legen Sie die gewünschten Filter auf die Daten fest.Set the filters you want on the data. Bei diesen Filtern kann es sich um Benutzergruppen, IP-Adresstags oder IP-Adressbereiche handeln.These filters can be User groups, IP address tags, or IP address ranges. Weitere Informationen zum Arbeiten mit IP-Adress-Tags und IP-Bereichen finden Sie unter Strukturieren der Daten gemäß Ihren Anforderungen.For more information on working with IP address tags and IP address ranges, see Organize the data according to your needs.

    Erstellen eines benutzerdefinierten kontinuierlichen Berichts

Hinweis

Alle benutzerdefinierten Berichte sind auf maximal 1 GB nicht komprimierter Daten beschränkt.All custom reports are limited to a maximum of 1 GB of uncompressed data. Wenn mehr als 1 GB Daten vorhanden sind, werden die ersten 1 GB Daten in den Bericht exportiert.If there is more than 1 GB of data, the first 1 GB of data will be exported into the report.

Löschen von Cloud Discovery-DatenDeleting Cloud Discovery data

Es gibt eine Reihe möglicher Gründen zum Löschen Ihrer Cloud Discovery-Daten.There are a number of reasons why you may want to delete your Cloud Discovery data. Das Löschen wird in den folgenden Fällen empfohlen:We recommend deleting it in the following cases:

  • Wenn Sie Protokolldateien manuell hochgeladen haben, und viel Zeit vergangen ist, bevor Sie das System mit neuen Protokolldateien aktualisiert haben, und Sie nicht möchten, dass alte Daten Ihre Ergebnisse beeinflussen.If you manually uploaded log files and a long time passed before you updated the system with new log files and you don't want old data affecting your results.

  • Wenn Sie eine neue benutzerdefinierte Datenansicht festlegen, gilt sie nur ab diesem Punkt für neue Daten.When you set a new custom data view, it will apply only to new data from that point forward. Sie sollten also alte Daten löschen und anschließend Ihre Protokolldateien erneut hochladen, um der benutzerdefinierten Datenansicht zu ermöglichen, den Protokolldateidaten Ereignisse zu entnehmen.So, you may want to erase old data and then upload your log files again to enable the custom data view to pick up events in the log file data.

  • Wenn viele Benutzer oder IP-Adressen vor kurzem wieder aktiv geworden sind, nachdem sie einige Zeit lang offline waren, wird ihre Aktivität als anormal identifiziert, und Sie erhalten möglicherweise viele falsch positive Verstoßmeldungen.If many users or IP addresses recently started working again after being offline for some time, their activity will be identified as anomalous and may give you false positive violations.

So löschen Sie Cloud Discovery-Daten:To delete Cloud Discovery data:

  1. Wählen Sie im Portal unter dem Einstellungensymbol Cloud Discovery-Einstellungen.In the portal, under the settings icon, select Cloud Discovery settings.

  2. Klicken Sie auf die Registerkarte Daten löschen.Click the Delete data tab.

    Bevor Sie fortfahren, müssen Sie sicher sein, dass Sie Daten löschen möchten – dies kann nicht rückgängig gemacht werden, und alle Cloud Discovery-Daten im System werden gelöscht.It's important to be sure you want to delete data before continuing - it can't be undone and it deletes all Cloud Discovery data in the system.

  3. Klicken Sie auf die Schaltfläche Löschen.Click the Delete button.

    Löschen von Datendelete data

    Hinweis

    Der Löschvorgang dauert einige Minuten und erfolgt nicht sofort.The deletion process takes a few minutes and is not immediate.

Nächste SchritteNext steps