VizsgálatInvestigate

Amikor már fut a Cloud App Security a felhőalapú környezetében, meg kell tanulnia és meg kell vizsgálnia, hogyan használhatja a Cloud App Security eszközeit, hogy jobban megérthesse, hogy pontosan mi is történik a felhőalapú környezetben.After Cloud App Security runs in your cloud environment, you'll need a stage of learning and investigating how to use the tools in Cloud App Security to gain a deeper understanding of what's happening in your cloud environment. Ezt követően az adott környezet és a környezet használatának módja alapján azonosítani tudja azokat a követelményeket, amelyek a szervezet kockázatok elleni védelme érdekében szükségesek.Then, based on your particular environment and how it's being used, you can identify the requirements for protecting your organization from risk.

Ez a témakör a vizsgálat módját ismerteti, amellyel jobban megismerheti a felhőalapú környezetet.This topic describes how to perform an investigation to get a better understanding of your cloud environment.

IrányítópultokDashboards

Az alábbi irányítópultok a felhőalapú környezetben futó alkalmazások vizsgálatában nyújtanak segítséget:The following dashboards are available to help you investigate apps in your cloud environment:

IrányítópultDashboard LeírásDescription
Fő irányítópultMain dashboard A felhő állapotának (felhasználók, fájlok, tevékenységek), illetve a szükséges műveletek (riasztások, tevékenységekkel kapcsolatos szabálysértések és tartalommal kapcsolatos szabálysértések) áttekintéseOverview of cloud status (users, files, activities) and required actions (alerts, activity violations and content violations)
Alkalmazás irányítópult – összesítésApplication dashboard: overall Az alkalmazás használatának hely alapján történő áttekintése; a felhasználók számán alapuló alkalmazáshasználati diagramokOverview of application usage per location, usage graphs per number of users
Alkalmazás irányítópult – elemzésekApplication dashboard: insights Az alkalmazásban tárolt adatok elemzése fájltípus és fájlmegosztási szint szerinti bontásbanAnalysis of data stored in the app, broken down by file type and file-sharing level
Alkalmazás irányítópult – fájlokApplication dashboard: files A fájlok részletesebb adatainak megjelenítése; szűrés tulajdonos, megosztási szint stb. alapján; cégirányítási műveletek elvégzése (például karanténba helyezés)Drill-down into files; ability to filter according to owner, sharing level, etc., as well as perform governance actions (like quarantine)
Alkalmazás irányítópult – külső gyártók alkalmazásaiApplication dashboard: third-party apps A jelenleg telepített, harmadik féltől származó alkalmazások, például a G Suite részletesebb adatainak megjelenítése, és szabályzatok definiálása hozzájukDrill-down into third-party apps currently deployed, like G Suite, and defining policies for them
Felhasználói irányítópultUser dashboard A felhőben lévő felhasználó profil teljes áttekintése, ideértve a csoportokat, a helyeket, a legutóbbi tevékenységeket, a kapcsolódó riasztásokat és a használt böngészőketA complete overview of the user profile in the cloud, including groups, locations, recent activities, related alerts, and browsers used

Alkalmazások címkézése engedélyezettként vagy nem engedélyezettként Tag apps as sanctioned or unsanctioned

Az alkalmazások engedélyezettként vagy nem engedélyezettként történő címkézése fontos lépés a felhő megértéséhez.An important step to understanding your cloud is to tag apps as sanctioned or unsanctioned. Az alkalmazások engedélyezését követően leszűrheti a nem engedélyezett alkalmazásokat, illetve az azonos típusú, engedélyezett alkalmazásokra való áttérést is elindíthatja.After you sanction an app, you can filter for apps that aren't sanctioned and start migration to sanctioned apps of the same type.

  • A Cloud App Security konzolon nyissa meg az Alkalmazáskatalógust vagy a Felfedezett alkalmazásokat.In the Cloud App Security console, go to the App catalog or Discovered apps.

  • Az alkalmazások listájának az engedélyezni kívánt alkalmazást tartalmazó sorában válassza a sor végén található három pontot Engedélyezés ikon, majd válassza a Megjelölés engedélyezettként lehetőséget.In the list of apps, on the row in which the app you want to tag as sanctioned appears, choose the three dots at the end of the row Tag as sanctioned dots and choose Mark as sanctioned.

    Megjelölés engedélyezettkéntTag as sanctioned

A vizsgálati eszközök használataUse the investigation tools

  1. A Cloud App Security portálon lépjen a Vizsgálat részre, majd tekintse meg a Tevékenységnaplót, és szűrjön rá egy adott alkalmazásra.In the Cloud App Security portal, go to Investigate and then look at the Activity log and filter by a specific app. Ellenőrizze a következőket:Check the following:

    • Ki éri el a felhőalapú környezetet?Who is accessing your cloud environment?

    • Milyen IP-címtartományról?From what IP ranges?

    • Milyen rendszergazdai aktivitás tapasztalható?What is the admin activity?

    • A rendszergazdák honnan csatlakoznak?From what locations are admins connecting?

    • Csatlakoznak elavult készülékek a felhőalapú környezethez?Are any outdated devices connecting to your cloud environment?

    • A sikertelen bejelentkezések várt IP-címekről érkeznek?Are failed logins coming from expected IP addresses?

  2. Lépjen a Vizsgálat, majd a Fájlok lapra, majd ellenőrizze a következőket:Go to Investigate and then Files, and check the following:

    • Hány fájl van nyilvánosan megosztva, amelyekhez bárki hivatkozás nélkül is hozzáférhet?How many files are shared publicly so that anyone can access them without a link?

    • Mely partnerekkel oszt meg fájlokat (kimenő megosztás)?With which partners are you sharing files (outbound sharing)?

    • Vannak bizalmas nevű fájlok?Do any files have a sensitive name?

    • Vannak olyan fájlok, amelyeket valakinek a személyes fiókjával osztottak meg?Are any of the files being shared with someone's personal account?

  3. Lépjen a Vizsgálat, majd a Fiókok lapra, majd ellenőrizze a következőket:Go to Investigate and then Accounts, and check the following:

    • Van bizonyos szolgáltatásoknál olyan fiók, amely már régóta inaktív?Have any accounts been inactive in a particular service for a long time? (Lehetséges, hogy vissza tudja vonni a felhasználó erre a szolgáltatásra vonatkozó licencét?)(Maybe you can revoke the license for that user to that service?)

    • Tudni szeretné, hogy mely felhasználók rendelkeznek speciális szerepkörrel?Do you want to know which users have a specific role?

    • Vannak olyan elbocsátott alkalmazottak, akik még mindig hozzáférnek egy-egy alkalmazáshoz, és ezáltal lehetőségük van különböző információk megszerzésére?Was someone fired but they still have access to an app and can use that access to steal information?

    • Szeretné visszavonni egy felhasználónak az egy adott alkalmazás használatára vonatkozó engedélyét, vagy egy adott felhasználót többtényezős hitelesítésre szeretne felkérni?Do you want to revoke a user's permission to a specific app or require a specific user to perform multi-factor authentication?

    • Részletes információkhoz juthat a felhasználó fiókjáról, ha a sor végén látható fogaskerékre kattint, és választ egy műveletet (például Felhasználó felfüggesztése vagy Felhasználó csoportmunkáinak eltávolítása).You can also drill down into the user's account by clicking the cog at the end of the user's account row and selecting an action to take, such as Suspend user or Remove user's collaborations. Ha a felhasználó az Azure Active Directoryból lett importálva, akkor az Azure AD-beli fiókbeállítások hivatkozásra kattintva fejlett felhasználókezelési funkciókat (például a csoportfelügyeletet, az MFA-t, a felhasználó bejelentkezéseinek részleteit vagy a bejelentkezés blokkolásának lehetőségét) érhet el egyszerűen.If the user was imported from Azure Active Directory, you can also click on Azure AD account settings to get easy access to advanced user management features like group management, MFA, details about the user's sign ins and the ability to block sign in.

  4. Lépjen a Vizsgálat menüpontra, majd válasszon ki egy alkalmazást.Go to Investigate and then select an app. Megnyílik az Alkalmazás irányítópult, amely információkat és elemzéseket biztosít.The app dashboard opens and gives you information and insights. A lap felső részén található lapfülekkel ellenőrizheti az alábbiakat:You can use the tabs across the top to check the following:

    Alkalmazás irányítópultApp dashboard

    • Milyen típusú eszközökről csatlakoznak a felhasználók az alkalmazáshoz?What kind of devices are your users using to connect to the app?

    • Milyen fájltípusokat mentenek a felhőbe?What types of files are they saving in the cloud?

    • Milyen tevékenység folyik az alkalmazásban a jelen pillanatban?What activity is happening in the app right now?

    • Harmadik féltől származó alkalmazások is vannak csatlakoztatva a környezethez?Are there any connected third-party apps to your environment?

    • Ismeri ezeket az alkalmazásokat?Are you familiar with these apps?

    • Valóban jogosultak a számukra engedélyezett hozzáférési szintre?Are they authorized for the level of access they are permitted to?

    • Hány felhasználó telepítette őket?How many users have deployed them? Általánosságban mennyire gyakoriak ezek az alkalmazások?How common are these apps in general?

  5. Lépjen a Cloud Discovery irányítópultra, majd ellenőrizze a következőket:Go to the Cloud Discovery dashboard and check the following:

    • Milyen felhőalkalmazások vannak használatban, milyen mértékben és ki használja őket?What cloud apps are being used, to what extent, and by whom?

    • Milyen célból használják őket?For what purposes are they being used?

    • Mennyi adatot töltenek fel ezekbe a felhőalkalmazásokba?How much data is being uploaded to these cloud apps?

    • Mely kategóriák azok, amelyekben engedélyezett felhőalkalmazásokat, de a felhasználók mégis alternatív megoldásokat használnak?In which categories do you have sanctioned cloud apps, and yet, users are using alternative solutions?

    • Az alternatív megoldások olyan felhőalkalmazások, amelyeknek az engedélyét vissza szeretné vonni a szervezeten belül?For the alternative solutions, do you want to unsanction any cloud apps in your organization?

    • Vannak olyan használatban lévő alkalmazások, amelyek nem felelnek meg szervezete szabályzatának?Are there cloud apps that are used but not in compliance with your organization’s policy?

Jelentések használata a kockázatok vizsgálatáhozUse reports to investigate risk

Amikor megpróbálja átvenni az irányítást a felhőalapú környezet felett, előfeltevésekbe bocsátkozik az elvárt eredményeket illetően – hiszen egyelőre még nem igazán ismeri a felhőt.When you start trying to gain control over your cloud environment, you make certain assumptions based on what you expect to find — you don't really know your cloud yet. Az ilyen előfeltevések alapján kell létrehoznia szabályzatokat.Based on these assumptions, you create policies.

Ha a Cloud App Security már fut a felhőalapú környezetében, a beépített jelentések (valamint az egyéni jelentések) segítségével tájékozódhat arról, pontosan mi történik a felhőben.After Cloud App Security runs on your cloud environment, you use the built-in reports (and custom reports) to see what's going on in your cloud. Ennek alapján módosítsa újra szabályzatait, hogy a kivételek is belekerüljenek azokba; így egy idő után a vakriasztások száma meglehetősen alacsony lesz.Based on this, you adjust your policies again to include exceptions so that eventually your policy catches very few false positives.

A beépített jelentések összesített nézetekkel segítik a vizsgálatot.Built-in reports offer you aggregated views for investigation. A beépített jelentésekkel történő munkavégzéshez válassza a Vizsgálat, majd a Beépített jelentések lehetőséget.To work with built-in reports, go to Investigate and then Built-in reports. A különféle beépített jelentésekkel kapcsolatos további információkért olvassa el A beépített jelentések ismertetése című fejezetet.For more information about the different built-in reports, see the Built-in report reference.

MintavizsgálatSample investigation

Tegyük fel például, hogy azt feltételezi, a felhőalapú környezetet nem érik el kockázatos IP-címek (például névtelen proxyk és a Tor).Let's say that you assume you don't have any access to your cloud environment by risky IP addresses (for example, anonymous proxies and Tor). De a biztonság kedvéért mégis készít egy a szabályzatot a kockázatos IP-címekhez:But you create a policy for risk IPs just to make sure:

  1. A portálon lépjen a Vezérlés lapra, majd válassza a Házirendek lehetőséget.In the portal, go to Control and choose Policies.

  2. A Szabályzatközpontban válassza a Sablonok lapfület.In the Policy center, choose the Templates tab.

  3. Az új szabályzat létrehozásához kattintson a Nem kategorizált IP-címről való felhasználói bejelentkezés sor végén található pluszjelre (+).At the end of the User logon from a non-categorized IP address row, choose the plus sign (+) to create a new policy.

  4. A szabályzat könnyebb azonosítása érdekében módosítsa a szabályzat nevét.Change the policy name so you'll be able to identify this policy.

  5. Szűrő felvételéhez a Tevékenységszűrők részben válassza a + lehetőséget.Under Activity filters, choose + to add a filter. Görgessen le az IP-címke részre, majd válassza a Névtelen és a Tor lehetőséget.Scroll down to IP tag, and then choose Anonymous and Tor.

    Mintaszabályzat – kockázatos IP-címekExample policy for risky IPs

A szabályzat elkészítését követően meglepve látja, hogy a rendszer riasztást küld Önnek, miszerint valaki megsértette a szabályzatot.Now that you have the policy in place, you're surprised to see that you get an alert that the policy was violated.

  1. Lépjen az Értesítések lapra, majd tekintse meg a szabályzat megsértésével kapcsolatos riasztást.Go to the Alerts page and view the alert about the policy violation.

  2. Ha úgy látja, hogy valós szabálysértésről van szó, két lehetőség közül választhat: kockázat megfékezése vagy a probléma orvoslása.If you see that it looks like a real violation, you want to contain risk or remediate.

    A kockázat megfékezése érdekében értesítést küldhet a felhasználónak, melyben megkérdezheti, hogy szándékos szabálysértés történt-e, illetve a felhasználó tisztában van-e a szabálysértéssel.To contain risk, you can send the user a notification to ask if the violation was intentional and if the user was aware of it.

    Ezenfelül a riasztás részleteit is megtekintheti, illetve ideiglenesen felfüggesztheti a felhasználót, amíg kitalálja, hogy mit kell tennie.You can also drill down into the alert and suspend the user until you can figure out what needs to be done.

  3. Ha olyan engedélyezett eseményről van szó, amely nagy eséllyel nem következik be újra, abban az esetben elvetheti a riasztást.If it's an allowed event that isn't likely to recur, you can dismiss the alert.

    Ha olyan engedélyezett eseményről van szó, amely nagy eséllyel meg fog ismétlődni, módosíthatja a szabályzatot, ezzel elkerülve, hogy a jövőben az ilyen típusú események szabálysértésnek minősüljenek.If it's allowed and you expect it to recur, you can change the policy so that this type of event won't be considered a violation in the future.

Lásd még:See also

Információ munkahelye felhőalkalmazásainak vezérléséről: Vezérlés.To learn how to control your organization's cloud app, see Control.
Technikai támogatást a Cloud App Security személyes támogatási oldalán kaphat.For technical support, go to the Cloud App Security assisted support page.
A Premier-ügyfelek a Premier portálon közvetlenül is kiválaszthatják a Cloud App Security szolgáltatást.Premier customers can also choose Cloud App Security directly from the Premier portal.