Selidiki

  • Artikel
  • 5 menit untuk membaca

Catatan

  • Kami telah mengganti nama Microsoft Cloud App Security. Sekarang disebut Microsoft Defender for Cloud Apps. Dalam beberapa minggu mendatang, kami akan memperbarui cuplikan layar dan instruksi di sini dan di halaman terkait. Untuk informasi selengkapnya tentang perubahan tersebut, lihat pengumuman ini. Untuk mempelajari selengkapnya tentang penggantian nama layanan keamanan Microsoft baru-baru ini, lihat blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps sekarang menjadi bagian dari Pertahanan Microsoft 365. Portal Pertahanan Microsoft 365 memungkinkan admin keamanan untuk melakukan tugas keamanan mereka di satu lokasi. Ini akan menyederhanakan alur kerja, dan menambahkan fungsionalitas layanan Pertahanan Microsoft 365 lainnya. Pertahanan Microsoft 365 akan menjadi rumah bagi pemantauan dan pengelolaan keamanan di seluruh identitas, data, perangkat, aplikasi, dan infrastruktur Microsoft Anda. Untuk informasi selengkapnya tentang perubahan ini, lihat Microsoft Defender for Cloud Apps di Pertahanan Microsoft 365.

Setelah Microsoft Defender for Cloud Apps berjalan di lingkungan cloud, Anda memerlukan tahap pembelajaran dan penyelidikan. Pelajari cara menggunakan alat Microsoft Defender for Cloud Apps untuk mendapatkan pemahaman yang lebih mendalam tentang apa yang terjadi di lingkungan cloud Anda. Berdasarkan lingkungan khusus Anda dan cara penggunaannya, Anda dapat mengidentifikasi persyaratan untuk melindungi organisasi Anda dari risiko. Artikel ini menjelaskan cara melakukan penyelidikan untuk mendapatkan pemahaman yang lebih baik tentang lingkungan cloud Anda.

Dasbor

Dasbor berikut tersedia untuk membantu Anda menyelidiki aplikasi di lingkungan cloud Anda:

Dasbor Deskripsi
Dasbor utama Gambaran umum status cloud (pengguna, file, aktivitas) dan tindakan yang diperlukan (pemberitahuan, pelanggaran aktivitas, dan pelanggaran konten).
Dasbor aplikasi: gambaran umum Gambaran umum penggunaan aplikasi per lokasi, grafik penggunaan per jumlah pengguna.
Dasbor aplikasi: info Informasi tentang detail, keamanan, dan kepatuhan aplikasi.
Dasbor aplikasi: wawasan
Analisis data yang disimpan dalam aplikasi, dipecah berdasarkan jenis file dan tingkat berbagi file.
Dasbor aplikasi: file
Telusuri paling detail file; kemampuan untuk memfilter sesuai dengan pemilik, tingkat berbagi, dan banyak lagi. Lakukan tindakan tata kelola seperti karantina.
Dasbor aplikasi: akun Gambaran umum semua akun/pengguna yang ditautkan ke aplikasi.
Dasbor aplikasi: Aplikasi OAuth
Telusuri paling detail aplikasi OAuth yang saat ini disebarkan, seperti Google Workspace, dan tentukan kebijakan.
Dasbor aplikasi: log aktivitas Telusuri paling detail semua aktivitas aplikasi; kemampuan untuk memfilter sesuai dengan pengguna, alamat ip, dan banyak lagi.
Dasbor aplikasi: pemberitahuan Telusuri paling detail semua pemberitahuan aplikasi; kemampuan untuk memfilter sesuai dengan status, kategori, tingkat keparahan, dan banyak lagi.
Dasbor aplikasi: akun istimewa khusus
Gambaran umum pengguna berdasarkan jenis pengguna istimewa.
Dasbor pengguna Gambaran umum lengkap profil pengguna di cloud, lokasi, aktivitas terbaru, pemberitahuan terkait.

Menandai aplikasi sebagai disetujui atau tidak disetujui

Langkah penting untuk memahami cloud Anda adalah menandai aplikasi sebagai diberi sanksi atau tidak dikenai sanksi. Setelah memberi sanksi pada aplikasi, Anda dapat memfilter aplikasi yang tidak diberi sanksi dan memulai migrasi ke aplikasi yang diberi sanksi dengan jenis yang sama.

  • Di konsol Defender untuk Cloud Apps, buka Katalog aplikasi atau Aplikasi yang ditemukan.

  • Dalam daftar aplikasi, pada baris di mana aplikasi yang ingin Anda beri tag sebagai disetujui muncul, pilih tiga titik di akhir baris Tag as sanctioned dots. dan pilih Tandai sebagai dikenai sanksi.

    Tag as sanctioned.

Menggunakan alat investigasi

  1. Di portal Defender untuk Cloud Apps, buka Menyelidiki lalu lihat Log aktivitas dan filter menurut aplikasi tertentu. Periksa item berikut:

    • Siapa mengakses lingkungan cloud Anda?

    • Dari rentang IP apa?

    • Apa itu aktivitas admin?

    • Dari lokasi apa admin tersambung?

    • Apakah ada perangkat yang sudah kedaluarsa yang terhubung ke lingkungan cloud Anda?

    • Apakah login yang gagal berasal dari alamat IP yang diharapkan?

  2. Buka Selidiki lalu File, dan periksa item berikut ini:

    • Berapa banyak file yang dibagikan secara publik sehingga siapa pun dapat mengaksesnya tanpa tautan?

    • Dengan mitra mana Anda berbagi file (berbagi keluar)?

    • Apakah ada file yang memiliki nama sensitif?

    • Apakah ada file yang dibagikan dengan akun pribadi seseorang?

  3. Buka Selidiki lalu Pengguna dan akun, dan periksa item berikut ini:

    • Apakah ada akun yang tidak aktif dalam layanan tertentu untuk waktu yang lama? Mungkin Anda dapat mencabut lisensi untuk pengguna tersebut ke layanan tersebut.

    • Apakah Anda ingin tahu pengguna mana yang memiliki peran tertentu?

    • Apakah seseorang dipecat tetapi mereka masih memiliki akses ke aplikasi dan dapat menggunakan akses tersebut untuk mencuri informasi?

    • Apakah Anda ingin mencabut izin pengguna ke aplikasi tertentu atau mengharuskan pengguna tertentu untuk menggunakan autentikasi multifaktor?

    • Anda dapat menelusuri paling detail akun pengguna dengan memilih tiga titik di akhir baris akun pengguna dan memilih tindakan yang akan diambil. Ambil tindakan seperti Tangguhkan pengguna atau Hapus kolaborasi pengguna. Jika pengguna diimpor dari Azure Active Directory, Anda juga dapat memilih Azure AD pengaturan akun untuk mendapatkan akses mudah ke fitur manajemen pengguna tingkat lanjut. Contoh fitur manajemen termasuk manajemen grup, MFA, detail tentang masuk pengguna, dan kemampuan untuk memblokir masuk.

  4. Buka Selidiki, diikuti oleh Aplikasi tersambung lalu pilih aplikasi. Dasbor aplikasi terbuka dan memberi Anda informasi dan wawasan. Anda dapat menggunakan tab di bagian atas untuk memeriksa:

    • Jenis perangkat apa yang digunakan pengguna Anda untuk terhubung ke aplikasi?

    • Jenis file apa yang disimpan di cloud?

    • Aktivitas apa yang terjadi di aplikasi saat ini?

    • Apakah ada aplikasi pihak ketiga yang terhubung ke lingkungan Anda?

    • Apakah Anda terbiasa dengan aplikasi ini?

    • Apakah mereka berwenang untuk tingkat akses yang diizinkan?

    • Berapa banyak pengguna yang telah menyebarkannya? Seberapa umum aplikasi ini secara umum?

    App dashboard.

  5. Buka dasbor Cloud Discovery dan periksa item berikut ini:

    • Aplikasi cloud apa yang digunakan, sejauh mana, dan oleh pengguna mana?

    • Untuk tujuan apa mereka digunakan?

    • Berapa banyak data yang diunggah ke aplikasi cloud ini?

    • Dalam kategori mana Anda memiliki aplikasi cloud yang diberi sanksi, namun, pengguna menggunakan solusi alternatif?

    • Untuk solusi alternatif, apakah Anda ingin membatalkan pembatasan aplikasi cloud apa pun di organisasi Anda?

    • Apakah ada aplikasi cloud yang digunakan tetapi tidak mematuhi kebijakan organisasi Anda?

Penyelidikan sampel

Katakanlah Anda menganggap Anda tidak memiliki akses ke lingkungan cloud Anda dengan alamat IP berisiko. Sebagai contoh, katakanlah Tor. Tetapi Anda membuat kebijakan untuk IP risiko hanya untuk memastikan:

  1. Di portal, buka Kontrol dan pilih Templat.

  2. Pilih kebijakan Aktivitas untuk Jenis.

  3. Di akhir Masuk dari baris alamat IP berisiko , pilih tanda plus (+) untuk membuat kebijakan baru.

  4. Ubah nama kebijakan sehingga Anda dapat mengidentifikasinya.

  5. Di bawah Aktivitas yang cocok dengan semua hal berikut ini, pilih + untuk menambahkan filter. Gulir ke bawah ke tag IP, lalu pilih Tor.

    Example policy for risky IPs.

Sekarang setelah Anda memiliki kebijakan, Anda terkejut melihat bahwa Anda mendapatkan pemberitahuan bahwa kebijakan tersebut dilanggar.

  1. Buka halaman Pemberitahuan dan lihat pemberitahuan tentang pelanggaran kebijakan.

  2. Jika Anda melihat bahwa itu terlihat seperti pelanggaran nyata, Anda ingin berisiko atau memulihkannya.

    Untuk berisiko, Anda dapat mengirimi pengguna pemberitahuan untuk menanyakan apakah pelanggaran tersebut disengaja dan apakah pengguna mengetahuinya.

    Anda juga dapat menelusuri paling detail pemberitahuan dan menangguhkan pengguna hingga Anda dapat mengetahui apa yang perlu dilakukan.

  3. Jika ini adalah peristiwa yang diizinkan yang tidak mungkin berulang, Anda dapat menutup pemberitahuan.

    Jika diizinkan dan Anda mengharapkannya berulang, Anda dapat mengubah kebijakan sehingga jenis peristiwa ini tidak akan dianggap sebagai pelanggaran di masa mendatang.

Langkah berikutnya

Untuk mempelajari cara mengontrol aplikasi cloud organisasi Anda, lihat Kontrol.

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, silakan buka tiket dukungan..