Felderített alkalmazások használata

Megjegyzés

Átneveztük Microsoft Cloud App Security. Most Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben itt és a kapcsolódó oldalakon frissítjük a képernyőképeket és az utasításokat. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. A Microsoft biztonsági szolgáltatásainak legutóbbi átnevezéséről a Microsoft Ignite Security blogban talál további információt.

A Cloud Discovery-irányítópult kialakításának köszönhetően nagyobb betekintést kaphat a felhőalapú alkalmazásoknak a szervezetén belüli használatába. Áttekintést nyújt a használt alkalmazások típusairól, a nyitott riasztásokról és a szervezeten belüli alkalmazások kockázati szintjeiről. Az irányítópult megjeleníti továbbá, hogy kik az alkalmazás legaktívabb felhasználói, és egy térképen az alkalmazás földrajzi eloszlását is megjelöli. A Cloud Discovery irányítópultján számos lehetőség áll rendelkezésre az adatok szűrésére. A szűréssel meghatározott nézeteket hozhat létre attól függően, hogy mit szeretne a leginkább érdekelni a könnyen érthető grafikus elemek használatával, így egy pillantással teljes képet kaphat.

cloud discovery dashboard.

A Cloud Discovery irányítópultjának áttekintése

A Cloud Discovery-alkalmazások általános áttekintéséhez először tekintse át az alábbi információkat a Cloud Discovery irányítópultján:

  1. A magas szintű használat áttekintésében először tekintse meg a felhőalkalmazások általános használatát a szervezetben.

  2. Ezután merüljön el egy szinttel mélyebben, és nézze meg, hogy mely kategóriákat használják a szervezetében az egyes használati paraméterekhez. Láthatja, hogy ennek a használatnak mekkora részét használják az szankciós alkalmazások.

  3. Lépjen még mélyebbre, és tekintse meg az adott kategóriába tartozó összes alkalmazást a Felderített alkalmazások lapon.

  4. Láthatja a legfontosabb felhasználókat és a forrás IP-címeket , hogy azonosítsa, mely felhasználók a felhőalkalmazások legmeghatározóbb felhasználói a szervezetben.

  5. Az alkalmazásközpont térképén ellenőrizze, hogy a felderített alkalmazások hogyan terjednek a földrajzi helyük alapján (a központjuk szerint).

  6. Végül ne felejtse el áttekinteni a felderített alkalmazás kockázati pontszámát az Alkalmazáskockázatok áttekintésében. Ellenőrizze a felderítési riasztások állapotát , és ellenőrizze, hogy hány nyitott riasztást kell megvizsgálnia.

A felderített alkalmazások részletes bemutatása

Ha szeretné részletesen áttekinteni a Cloud Discovery által biztosított adatokat, a szűrőkkel áttekintheti, hogy mely alkalmazások kockázatosak és melyek a leggyakrabban használt alkalmazások.

Ha például azonosítani szeretné a gyakran használt kockázatos felhőalapú tároló- és együttműködési alkalmazásokat, a Felderített alkalmazások lapon szűrheti a kívánt alkalmazásokat. Ezután az alábbiak szerint visszavonhatja vagy letilthatja őket:

  1. A Felderített alkalmazások lapon a Tallózás kategória alatt válassza ki a Felhőbeli tárolás és az Együttműködés lehetőséget.

  2. Ezután használja a Speciális szűrőket, és állítsa a megfelelőségi kockázati tényezőta SOC 2 értéke False (Hamis) értékre

  3. A Használat beállításnál állítsa a Felhasználók beállítást 50-nél több felhasználóra, a tranzakciókhasználati adatait pedig 100-nál nagyobbra.

  4. Állítsa be az inaktív adatok titkosításánakbiztonsági kockázati tényezőjeként a Nem támogatott értéket. Ezután állítsa be a kockázati pontszámot 6-os vagy alacsonyabb értékre.

Discovered app filters.

Az eredmények szűrése után visszavonhatja és letilthatja őket a tömeges művelet jelölőnégyzetével, hogy az összeset egyetlen műveletben törölje. A letiltásuk után blokkoló szkripttel letilthatja őket a környezetben való használatuktól.

A Cloud Discovery lehetővé teszi, hogy még mélyebbre ássa a szervezet felhőhasználatát. A felderített altartományok vizsgálatával azonosíthatja a használatban lévő konkrét példányokat.

Megkülönböztetheti például a különböző SharePoint webhelyeket.

Ez csak a cél URL-adatokat tartalmazó tűzfalakban és proxykban támogatott. További információkért tekintse meg a támogatott tűzfalak és proxyk támogatott berendezéseinek listáját.

subdomain information.

Erőforrások és egyéni alkalmazások felfedezése

A Cloud Discovery lehetővé teszi az IaaS- és PaaS-erőforrások részletes megismerését is. Felfedezheti a tevékenységeket az erőforrás-üzemeltetési platformokon, és megtekintheti az adatokhoz való hozzáférést a saját üzemeltetésű alkalmazásokban és erőforrásokban, beleértve a tárfiókokat, az infrastruktúrát és az Azure-ban, a Google Cloud Platformon és az AWS-en üzemeltetett egyéni alkalmazásokat. Nemcsak az IaaS-megoldások általános használatát láthatja, hanem az egyes erőforrásokon üzemeltetett konkrét erőforrásokat és az erőforrások általános használatát is, így mérsékelheti az erőforrásonkénti kockázatokat.

Az Felhőhöz készült Defender-alkalmazásokból például figyelheti a tevékenységeket, például ha sok adat van feltöltve, felfedezheti, hogy milyen erőforrásba van feltöltve, és lehatolással megtekintheti, hogy ki hajtotta végre a tevékenységet.

Megjegyzés

Ez csak a cél URL-adatokat tartalmazó tűzfalakban és proxykban támogatott. További információkért tekintse meg a támogatott tűzfalak és proxyk támogatott berendezéseinek listáját.

Felderített erőforrások megtekintése:

  1. Az Felhőhöz készült Defender Alkalmazások portálon válassza az Erőforrások felderítése, majd a Felderített erőforrások lehetőséget.

    Discovered resources menu.

  2. A Felderített erőforrás oldalon részletezheti az egyes erőforrásokat, hogy lássa, milyen típusú tranzakciók történtek, ki fért hozzá, majd lehatolást végezhet a felhasználók további vizsgálatához.

    Discovery resources.

  3. Egyéni alkalmazások esetén kattintson a sor végén található három gombra, és válassza az Egyéni alkalmazás hozzáadása lehetőséget. Ekkor megnyílik az Egyéni alkalmazás hozzáadása ablak, amely lehetővé teszi az alkalmazás elnevezését és azonosítását, hogy szerepelhessenek a Cloud Discovery irányítópultján.

Cloud Discovery vezetői jelentés létrehozása

A cloud discovery vezetői jelentés létrehozásával a legjobban úgy kaphat áttekintést az árnyék-informatikai részleg használatáról a szervezetben. Ez a jelentés azonosítja a leggyakoribb lehetséges kockázatokat, és segít megtervezni egy munkafolyamatot, amely mérsékli és kezeli a kockázatokat, amíg meg nem oldja őket.

Cloud Discovery-vezetői jelentés létrehozása:

  1. A Cloud Discovery irányítópultján kattintson az irányítópult jobb felső sarkában található három pontra, majd válassza a Cloud Discovery-vezető jelentés létrehozása lehetőséget.

  2. Szükség esetén módosíthatja a jelentés nevét.

  3. Válassza a Létrehozás lehetőséget.

Entitások kizárása

Ha olyan rendszerfelhasználókkal, IP-címekkel vagy eszközökkel rendelkezik, amelyek zajosak, de érdektelenek, vagy olyan entitásokkal rendelkezik, amelyeket nem szabad megjeleníteni az árnyék-informatikai jelentésekben, érdemes lehet kizárni az adataikat az elemzett Cloud Discovery-adatokból. Előfordulhat például, hogy ki szeretné zárni a helyi gazdagépről származó összes információt.

Kizárás létrehozása:

  1. A portál beállítások ikonja alatt válassza a Gépház lehetőséget.

  2. A Cloud Discovery alatt válassza az Entitások kizárása lapot.

  3. Válassza a Kizárt felhasználók, Felhasználói csoportok, IP-címek vagy Kizárt eszközök lapot, és válassza ki a + kizárás hozzáadásához szükséges gombot.

  4. Adjon meg egy felhasználói aliast, IP-címet vagy eszköznevet. Javasoljuk, hogy adjon meg információkat arról, hogy miért történt a kizárás.

    exclude user.

Megjegyzés

Az entitások kizárása az újonnan fogadott adatokra vonatkozik. A kizárt entitások előzményadatai a megőrzési időszakon (90 nap) belül maradnak.

Folyamatos jelentések kezelése

Az egyéni folyamatos jelentések segítségével részletesebben követheti nyomon szervezete Cloud Discovery-naplóadatait. Egyéni jelentések létrehozásával adott földrajzi helyekre, hálózatokra és webhelyekre, illetve szervezeti egységekre szűrhet. Alapértelmezés szerint csak az alábbi jelentések jelennek meg a Cloud Discovery jelentésválasztójában:

  • A Global report (Globális jelentés) a naplókban szerepeltetett adatforrásokból származó, a portálon található összes információt tartalmazza. A globális jelentés nem tartalmazza Végponthoz készült Microsoft Defender adatait.

  • Az Data source specific report (Adatforrás-specifikus jelentés) csak az adott adatforrásból származó információkat jeleníti meg.

Új folyamatos jelentés létrehozása:

  1. A portál beállítások ikonja alatt válassza a Gépház lehetőséget.

  2. A Cloud Discovery területen válassza a Folyamatos jelentés lehetőséget.

  3. Válassza a Jelentés létrehozása gombot.

  4. Adja meg a jelentés nevét.

  5. Válassza ki a felvenni kívánt adatforrásokat (mind vagy adott források).

  6. Állítsa be a kívánt szűrőket az adatokon. Ezek a szűrők lehetnek felhasználói csoportok, IP-címcímkék vagy IP-címtartományok. Az IP-címek címkéivel és az IP-címtartományokkal kapcsolatos munkavégzés további leírását az Adatok rendezése igény szerint című részben tekintheti meg.

    create custom continuous report.

Megjegyzés

Minden egyéni jelentés legfeljebb 1 GB tömörítetlen adatra korlátozható. Ha 1 GB-nál több adat van, a rendszer az első 1 GB adatot exportálja a jelentésbe.

Cloud Discovery-adatok törlése

A Cloud Discovery-adatok törlését számos tényező indokolhatja. A következő esetekben ajánljuk az adatok törlését:

  • Ha manuálisan töltött fel naplófájlokat, és sok idő telt el a rendszer új naplófájlokkal való frissítése óta, nem szerencsés, ha a régi adatok is hatással vannak az eredményekre.

  • Amikor beállít egy új egyéni adatnézetet, az csak az adott pontból származó új adatokra lesz érvényes. Ezért érdemes lehet törölni a régi adatokat, majd újra feltölteni a naplófájlokat, hogy az egyéni adatnézet képes legyen felvenni a naplófájladatokban lévő eseményeket.

  • Ha a közelmúltban sok felhasználó vagy IP-cím kezdett újra működni, miután egy ideig offline állapotban volt, a tevékenység rendellenesként lesz azonosítva, és téves pozitív szabálysértéseket okozhat.

A Cloud Discovery-adatok törlése:

  1. A portál beállítások ikonja alatt válassza a Gépház lehetőséget.

  2. A Cloud Discovery alatt válassza az Adatok törlése lapot.

    Fontos, hogy a folytatás előtt teljesen biztos legyen abban, hogy törölni szeretné az adatokat – a művelet nem vonható vissza, és a rendszerben található összes Cloud Discovery-adatot törli.

  3. Válassza a Törlés gombot.

    delete data.

    Megjegyzés

    A törlési folyamat néhány percet vesz igénybe, nem azonnal történik meg.

Következő lépések