Uso delle app individuate
Il dashboard di Cloud Discovery è progettato per fornire informazioni più dettagliate su come le app cloud vengono usate nell'organizzazione. Offre una panoramica immediata dei tipi di app in uso, degli avvisi aperti e dei livelli di rischio delle app nell'organizzazione. Mostra inoltre come sono i principali utenti delle app e fornisce un mapping di posizione fra le app e la sede centrale. Il dashboard di Cloud Discovery offre molte opzioni per filtrare i dati. L'applicazione di filtri consente di generare visualizzazioni specifiche, a seconda di ciò che interessa, usando grafica di facile comprensione per dare all'utente il quadro completo a colpo d'occhio. Per altre informazioni, vedere Filtri app individuati.
Esaminare il dashboard di Cloud Discovery
La prima cosa da fare per ottenere una panoramica generale delle app di Cloud Discovery è verificare le informazioni seguenti nel dashboard di Cloud Discovery:
Prima di tutto, esaminare l'uso complessivo delle app cloud nell'organizzazione nella panoramica dell'utilizzo generale.
Scendere quindi al livello di dettaglio successivo per verificare quali sono le categorie principali usate nell'organizzazione per ognuno dei diversi parametri di uso È possibile visualizzare la quantità di questo utilizzo da parte delle app approvate.
Scendere ancora più in dettaglio e visualizzare tutte le app di una categoria specifica nella scheda App individuate.
È possibile visualizzare i principali utenti e gli indirizzi IP di origine per identificare quali sono gli utenti più dominanti delle app cloud nell'organizzazione.
Controllare in che modo le app individuate sono distribuite in base alla posizione geografica (la località della sede centrale) nella mappa delle sedi centrali delle app.
Infine, non dimenticare di esaminare il punteggio di rischio dell'app individuata nella panoramica dei rischi dell'app. Controllare lo stato degli avvisi di individuazione per vedere quanti avvisi aperti è necessario esaminare.
Informazioni approfondite sulle app individuate
Per analizzare in modo approfondito i dati generati da Cloud Discovery e verificare quali sono le app soggette a rischi e quali sono quelle comunemente usate, è possibile usare filtri.
Ad esempio, per identificare le app di collaborazione e archiviazione cloud rischiose usate più di frequente, è possibile filtrare le app usando la pagina App individuate. Sarà quindi possibile bloccarle o annullarne l'approvazione come descritto di seguito:
Nell'area Sfoglia per categoria della pagina App individuate selezionare sia Archiviazione cloud che Collaborazione.
Usare quindi i filtri avanzati e impostare Fattore di rischio di conformità su SOC 2 uguale a No.
Per Utilizzo impostare Utenti su più di 50 utenti e transazioni su maggiore di 100.
Impostare Fattore di rischio della sicurezza per Crittografia dei dati inattivi uguale a Non supportato. Impostare quindi Punteggio di rischio su 6 o su un valore inferiore.
Dopo aver filtrato i risultati è possibile bloccarli e annullarne l'approvazione usando la casella di controllo dell'azione in blocco per annullare l'approvazione di tutte le app in un'unica azione. Dopo aver annullato l'approvazione, è possibile usare uno script di blocco per impedire l'uso delle app nel proprio ambiente.
Cloud Discovery consente di approfondire ulteriormente l'utilizzo del cloud dell'organizzazione. È possibile identificare le istanze specifiche in uso analizzando i sottodomini individuati.
Ad esempio, è possibile distinguere tra siti di SharePoint diversi:
Nota
Le immersioni approfondite nelle app individuate sono supportate solo in firewall e proxy che contengono dati URL di destinazione. Per altre informazioni, vedere Firewall e proxy supportati.
Se Defender per il cloud App non può corrispondere al sottodominio rilevato nei log del traffico con i dati archiviati nel Catalogo app, il sottodominio viene contrassegnato come Altro.
Individuare risorse e app personalizzate
Cloud Discovery consente anche di approfondire le risorse IaaS e PaaS. È possibile individuare le attività tra le piattaforme di hosting delle risorse, visualizzando l'accesso ai dati tra app e risorse self-hosted, tra cui account di archiviazione, infrastruttura e app personalizzate ospitate in Azure, Google Cloud Platform e AWS. Non solo è possibile visualizzare l'utilizzo complessivo nelle soluzioni IaaS, ma è possibile ottenere visibilità sulle risorse specifiche ospitate in ognuna e sull'utilizzo complessivo delle risorse, per ridurre il rischio per ogni risorsa.
Ad esempio, dalle app di Defender per il cloud è possibile monitorare le attività, ad esempio se vengono caricati molti dati, è possibile individuare la risorsa caricata ed eseguire il drill-down per vedere chi ha eseguito l'attività.
Nota
Questa azione è supportata solo nei firewall e nei proxy che contengono dati degli URL di destinazione. Per altre informazioni, esaminare l'elenco di appliance supportate in Proxy e firewall supportati.
Per visualizzare le risorse individuate:
In App cloud del portale di Microsoft Defender selezionare Cloud Discovery. Scegliere quindi la scheda Risorse individuate.
Nella pagina Risorsa individuata è possibile eseguire il drill-down in ogni risorsa per visualizzare i tipi di transazioni che si sono verificati, chi ha eseguito l'accesso e quindi eseguire il drill-down per analizzare ulteriormente gli utenti.
Per le app personalizzate, è possibile selezionare i tre pulsanti alla fine della riga e scegliere Aggiungi nuova app personalizzata. Verrà aperta la finestra Aggiungi questa app che consente di assegnare un nome e identificare l'app in modo che possa essere inclusa nel dashboard di Cloud Discovery.
Generare un report esecutivo di Cloud Discovery
Il metodo migliore per ottenere una panoramica d'uso di shadow IT nell'intera organizzazione è la generazione di un report esecutivo di Cloud Discovery. Il report identifica i rischi potenziali principali e consente di pianificare un flusso di lavoro per ridurre e gestire i rischi finché questi non vengono risolti.
Per generare un report esecutivo di Cloud Discovery:
Nel dashboard di Cloud Discovery selezionare Azioni nell'angolo in alto a destra del dashboard e quindi scegliere Genera report esecutivo di Cloud Discovery.
Facoltativamente, modificare il nome del report.
Selezionare Genera.
Escludere le entità
Se si hanno utenti di sistema, indirizzi IP o dispositivi rumorosi ma non interessati o entità che non devono essere presentate nei report Shadow IT, è possibile escludere i dati dai dati di Cloud Discovery analizzati. Ad esempio, è possibile escludere tutte le informazioni provenienti da un host locale.
Per creare un'esclusione:
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
In Cloud Discovery selezionare la scheda Escludi entità .
Scegliere la scheda Utenti esclusi, Gruppi esclusi, Indirizzi IP esclusi o Dispositivi esclusi e selezionare il pulsante +Aggiungi per aggiungere l'esclusione.
Aggiungere un alias utente, un indirizzo IP o un nome del dispositivo. È consigliabile aggiungere informazioni sui motivi dell'esclusione.
Nota
Qualsiasi esclusione di entità si applica ai dati appena ricevuti. I dati cronologici delle entità escluse rimarranno nel periodo di conservazione (90 giorni).
Gestire i report continui
I report continui personalizzati offrono maggiore granularità durante il monitoraggio dei dati di log di Cloud Discovery per l'organizzazione. Creando report personalizzati, è possibile filtrare in base a posizioni geografiche, reti e siti specifici o unità organizzative. Per impostazione predefinita solo i report seguenti vengono visualizzati nel selettore di report di Cloud Discovery:
Il report globale consolida tutte le informazioni nel portale da tutte le origini dati incluse nei log. Il report globale non include i dati di Microsoft Defender per endpoint.
Il report specifico dell'origine dati mostra solo le informazioni relative a un'origine dati specifica.
Per creare un nuovo report continuo:
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
In Cloud Discovery selezionare Report continuo.
Selezionare il pulsante Crea report .
Immettere un nome per il report.
Selezionare l'origine dati da includere (tutte o un'origine specifica).
Impostare i filtri da usare sui dati. Questi filtri possono basarsi su gruppi di utenti, tag di indirizzi IP o intervalli di indirizzi IP. Per altre informazioni sull'uso dei tag di indirizzi IP e degli intervalli di indirizzi IP, vedere Organizzare i dati in base alle esigenze.
Nota
Tutti i report personalizzati sono limitati a un massimo di 1 GB di dati non compressi. In presenza di più di 1 GB di dati, nel report verrà esportato il primo GB di dati.
Eliminazione dei dati di Cloud Discovery
Esistono diversi motivi per cui può essere opportuno eliminare i dati di Cloud Discovery. È consigliabile eliminarli nei casi seguenti:
Se sono stati caricati manualmente i file di log, è passato molto tempo prima che il sistema venisse aggiornato con nuovi file di log e non si vuole che i dati precedenti influenzino i risultati.
Quando si imposta una nuova visualizzazione dati personalizzata, questa viene applicata solo ai nuovi dati da quel momento in poi. È quindi possibile cancellare i dati precedenti e caricare nuovamente i file di log per consentire alla visualizzazione dati personalizzata di acquisire gli eventi presenti nei dati di tali file.
Se numerosi utenti o indirizzi IP sono recentemente tornati in funzione dopo essere stati in modalità offline per un certo periodo di tempo, l'attività di questi sarà identificata come anomala e si potranno ricevere numerose segnalazioni di falsi positivi relativi a violazioni.
Per eliminare i dati di Cloud Discovery:
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
In Cloud Discovery selezionare la scheda Elimina dati .
È importante essere sicuri di voler eliminare i dati prima di continuare. L'operazione non può essere annullata e determina l'eliminazione di tutti i dati di Cloud Discovery nel sistema.
Seleziona il pulsante Elimina.
Nota
Il processo di eliminazione richiede alcuni minuti e non è immediato.