Felderített alkalmazások használata

  • Cikk
  • 6 perc alatt elolvasható

Megjegyzés

  • Átneveztük Microsoft Cloud App Security. Most már Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben frissítjük a képernyőképeket és az utasításokat itt és a kapcsolódó oldalakon. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. Ha többet szeretne megtudni a Microsoft biztonsági szolgáltatásainak átnevezéséről, tekintse meg a Microsoft Ignite Security blogot.

  • Microsoft Defender for Cloud Apps Microsoft 365 Defender része. A Microsoft 365 Defender portálon a biztonsági rendszergazdák egy helyen hajthatják végre biztonsági feladataikat. Ez leegyszerűsíti a munkafolyamatokat, és hozzáadja a többi Microsoft 365 Defender szolgáltatás funkcióit. Microsoft 365 Defender lesz a microsoftos identitások, adatok, eszközök, alkalmazások és infrastruktúra biztonságának monitorozása és kezelése. Ezekről a változásokról a Microsoft 365 Defender Microsoft Defender for Cloud Apps című témakörben talál további információt.

A Cloud Discovery-irányítópult kialakításának köszönhetően nagyobb betekintést kaphat a felhőalapú alkalmazásoknak a szervezetén belüli használatába. Áttekintést nyújt a használt alkalmazások típusairól, a nyitott riasztásokról és a szervezeten belüli alkalmazások kockázati szintjeiről. Az irányítópult megjeleníti továbbá, hogy kik az alkalmazás legaktívabb felhasználói, és egy térképen az alkalmazás földrajzi eloszlását is megjelöli. A Cloud Discovery irányítópultja számos lehetőséget kínál az adatok szűrésére. A szűrés lehetővé teszi, hogy adott nézeteket hozzon létre attól függően, hogy mit szeretne a leginkább érdekelni a könnyen érthető ábrák használatával, hogy egy pillantással teljes képet kapjon. További információ: Felderített alkalmazásszűrők.

cloud discovery dashboard.

A Cloud Discovery irányítópultjának áttekintése

A Cloud Discovery-alkalmazások általános képének megtekintéséhez először tekintse át a következő információkat a Cloud Discovery irányítópultján:

  1. A magas szintű használat áttekintésében először tekintse meg a felhőalkalmazások szervezeten belüli általános használatát.

  2. Ezután merüljön el egy szinttel részletesebben, és nézze meg, hogy mely kategóriákat használja a szervezet az egyes használati paraméterekhez. Láthatja, hogy ebből a használatból mekkora része van a Sanction alkalmazásoknak.

  3. A Felderített alkalmazások lapon még mélyebbre léphet, és megtekintheti az adott kategóriába tartozó összes alkalmazást.

  4. Láthatja a legfontosabb felhasználókat és a forrás IP-címeket , hogy megállapítsa, mely felhasználók a felhőalkalmazások legmeghatározóbb felhasználói a szervezetben.

  5. Ellenőrizze, hogy a felderített alkalmazások hogyan terjednek a földrajzi helyük szerint (a HQ-juknak megfelelően) az Alkalmazásközpont térképén.

  6. Végül ne felejtse el áttekinteni a felderített alkalmazás kockázati pontszámát az Alkalmazáskockázatok áttekintésében. Ellenőrizze a felderítési riasztások állapotát , és ellenőrizze, hogy hány nyitott riasztást kell megvizsgálnia.

A felderített alkalmazások részletes bemutatása

Ha részletesen szeretné áttekinteni a Cloud Discovery által biztosított adatokat, a szűrőkkel áttekintheti, hogy mely alkalmazások kockázatosak és melyek a gyakran használt alkalmazások.

Ha például a gyakran használt kockázatos felhőalapú tároló- és együttműködési alkalmazásokat szeretné azonosítani, a Felderített alkalmazások lapon szűrheti a kívánt alkalmazásokat. Ezután az alábbiak szerint visszavonhatja vagy letilthatja őket:

  1. A Felderített alkalmazások lapon a Tallózás kategória alatt válassza ki a Felhőbeli tárolás és az Együttműködés lehetőséget.

  2. Ezután használja a Speciális szűrőket, és állítsa a megfelelőségi kockázati tényezőta SOC 2 értéke False (Hamis) értékre

  3. A Használat beállításnál állítsa a Felhasználók beállítást 50-nél több felhasználóra, a tranzakciókhasználati értéke pedig 100-nál nagyobbra.

  4. Állítsa be a biztonsági kockázati tényezőt az inaktív adatok titkosítása eseténa Nem támogatott értékekkel. Ezután állítsa be a kockázati pontszámot 6-os vagy alacsonyabb értékre.

Discovered app filters.

Az eredmények szűrése után feloldhatja és letilthatja azokat a tömeges művelet jelölőnégyzetével, hogy az összeset egyetlen művelettel törölje. A feloldásuk után letiltó szkripttel letilthatja azokat a környezetben.

A Cloud Discovery lehetővé teszi, hogy még mélyebbre ássa a szervezet felhőhasználatát. A felderített altartományok vizsgálatával azonosíthatja a használt példányokat.

Különbséget tehet például a különböző SharePoint helyek között.

Ez csak a cél URL-adatokat tartalmazó tűzfalakban és proxykban támogatott. További információt a támogatott tűzfalak és proxyk támogatott berendezéseinek listájában talál.

subdomain information.

Erőforrások és egyéni alkalmazások felderítése

A Cloud Discovery lehetővé teszi az IaaS- és PaaS-erőforrások részletes megismerését is. Felfedezheti a tevékenységeket az erőforrás-üzemeltetési platformokon, megtekintheti az adatokhoz való hozzáférést a saját üzemeltetésű alkalmazásokban és erőforrásokban, beleértve a tárfiókokat, az infrastruktúrát és az Azure-ban, a Google Cloud Platformon és az AWS-en üzemeltetett egyéni alkalmazásokat. Az IaaS-megoldásokban nem csak az általános használat látható, hanem az egyes erőforrásokon üzemeltetett konkrét erőforrások és az erőforrások általános használata is látható az erőforrásonkénti kockázat mérséklése érdekében.

Az Felhőhöz készült Defender-alkalmazásokból például figyelheti a tevékenységeket, például ha sok adat van feltöltve, felfedezheti, hogy milyen erőforrásra van feltöltve, és részletezheti, hogy ki végezte el a tevékenységet.

Megjegyzés

Ez csak a cél URL-adatokat tartalmazó tűzfalakban és proxykban támogatott. További információt a támogatott tűzfalak és proxyk támogatott berendezéseinek listájában talál.

Felderített erőforrások megtekintése:

  1. Az Felhőhöz készült Defender Alkalmazások portálon válassza a Felderítés, majd a Felderített erőforrások lehetőséget.

    Discovered resources menu.

  2. A Felderített erőforrás lapon részletezheti az egyes erőforrásokat, és megtekintheti, hogy milyen típusú tranzakciók történtek, ki fért hozzá, majd lehatolást végezhet a felhasználók további vizsgálatához.

    Discovery resources.

  3. Egyéni alkalmazások esetén kattintson a sor végén található három gombra, és válassza az Egyéni alkalmazás hozzáadása lehetőséget. Ekkor megnyílik az Egyéni alkalmazás hozzáadása ablak, amely lehetővé teszi az alkalmazás elnevezését és azonosítását, hogy bekerüljön a Cloud Discovery irányítópultjába.

A Cloud Discovery vezetői jelentésének létrehozása

A cloud discovery vezetői jelentés létrehozásával a legjobb módja annak, hogy áttekintést kapjon a szervezet árnyék informatikáról. Ez a jelentés azonosítja a leggyakoribb lehetséges kockázatokat, és segít megtervezni egy munkafolyamatot a kockázatok enyhítésére és kezelésére, amíg azok meg nem oldódnak.

Cloud Discovery-vezetői jelentés létrehozása:

  1. A Cloud Discovery irányítópultján kattintson az irányítópult jobb felső sarkában található három pontra, majd válassza a Cloud Discovery-vezető jelentés létrehozása lehetőséget.

  2. Ha szeretné, módosítsa a jelentés nevét.

  3. Válassza a Létrehozás lehetőséget.

Entitások kizárása

Ha olyan rendszerfelhasználókkal, IP-címekkel vagy eszközökkel rendelkezik, amelyek zajosak, de érdektelenek, vagy olyan entitásokkal rendelkezik, amelyeket nem szabad megjeleníteni az árnyék informatikai jelentésekben, érdemes lehet kizárni az adataikat az elemzett Cloud Discovery-adatokból. Előfordulhat például, hogy ki szeretné zárni a helyi gazdagépről származó összes információt.

Kizárás létrehozása:

  1. A portál beállítások ikonja alatt válassza a Gépház lehetőséget.

  2. A Cloud Discovery alatt válassza az Entitások kizárása lapot.

  3. Válassza a Kizárt felhasználók, Felhasználói csoportok, IP-címek vagy Kizárt eszközök lapot, és válassza ki a + kizárás hozzáadásához szükséges gombot.

  4. Adjon hozzá egy felhasználói aliast, IP-címet vagy eszköznevet. Javasoljuk, hogy adjon meg információkat arról, hogy miért történt a kizárás.

    exclude user.

Megjegyzés

Az entitások kizárása az újonnan fogadott adatokra vonatkozik. A kizárt entitások előzményadatai a megőrzési időszakon (90 nap) keresztül maradnak.

Folyamatos jelentések kezelése

Az egyéni folyamatos jelentések segítségével részletesebben követheti nyomon szervezete Cloud Discovery-naplóadatait. Egyéni jelentések létrehozásával adott földrajzi helyekre, hálózatokra és helyekre, illetve szervezeti egységekre szűrhet. Alapértelmezés szerint csak az alábbi jelentések jelennek meg a Cloud Discovery jelentésválasztójában:

  • A Global report (Globális jelentés) a naplókban szerepeltetett adatforrásokból származó, a portálon található összes információt tartalmazza. A globális jelentés nem tartalmazza Végponthoz készült Microsoft Defender adatait.

  • Az Data source specific report (Adatforrás-specifikus jelentés) csak az adott adatforrásból származó információkat jeleníti meg.

Új folyamatos jelentés létrehozása:

  1. A portál beállítások ikonja alatt válassza a Gépház lehetőséget.

  2. A Cloud Discovery alatt válassza a Folyamatos jelentés lehetőséget.

  3. Válassza a Jelentés létrehozása gombot.

  4. Adja meg a jelentés nevét.

  5. Válassza ki a felvenni kívánt adatforrásokat (mind vagy adott források).

  6. Állítsa be a kívánt szűrőket az adatokon. Ezek a szűrők lehetnek felhasználói csoportok, IP-címcímkék vagy IP-címtartományok. Az IP-címek címkéivel és az IP-címtartományokkal kapcsolatos munkavégzés további leírását az Adatok rendezése igény szerint című részben tekintheti meg.

    create custom continuous report.

Megjegyzés

Minden egyéni jelentés legfeljebb 1 GB tömörítetlen adatra korlátozódik. Ha több mint 1 GB adat található, a rendszer az első 1 GB adatot exportálja a jelentésbe.

Cloud Discovery-adatok törlése

A Cloud Discovery-adatok törlését számos tényező indokolhatja. A következő esetekben ajánljuk az adatok törlését:

  • Ha manuálisan töltött fel naplófájlokat, és sok idő telt el a rendszer új naplófájlokkal való frissítése óta, nem szerencsés, ha a régi adatok is hatással vannak az eredményekre.

  • Amikor beállít egy új egyéni adatnézetet, az csak az adott pontból származó új adatokra lesz érvényes. Ezért érdemes lehet törölni a régi adatokat, majd újra feltölteni a naplófájlokat, hogy az egyéni adatnézet képes legyen felvenni a naplófájladatokban lévő eseményeket.

  • Ha a közelmúltban sok felhasználó vagy IP-cím kezdett újra működni, miután egy ideig offline állapotban volt, a tevékenység rendellenesként lesz azonosítva, és téves pozitív szabálysértéseket okozhat.

A Cloud Discovery-adatok törlése:

  1. A portál beállítások ikonja alatt válassza a Gépház lehetőséget.

  2. A Cloud Discovery alatt válassza az Adatok törlése lapot.

    Fontos, hogy a folytatás előtt teljesen biztos legyen abban, hogy törölni szeretné az adatokat – a művelet nem vonható vissza, és a rendszerben található összes Cloud Discovery-adatot törli.

  3. Válassza a Törlés gombot.

    delete data.

    Megjegyzés

    A törlési folyamat néhány percet vesz igénybe, nem azonnal történik meg.

Következő lépések

Cloud Discovery pillanatkép-jelentések készítése

Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez

Cloud Discovery-adatok használata

Alkalmazások felfedezése Végponthoz készült Microsoft Defender integrációjával