Uso delle app individuate

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Il dashboard di Cloud Discovery è progettato per fornire informazioni più dettagliate su come le app cloud vengono usate nell'organizzazione. Fornisce una panoramica immediata dei tipi di app usate, degli avvisi aperti e dei livelli di rischio delle app nell'organizzazione. Mostra inoltre come sono i principali utenti delle app e fornisce un mapping di posizione fra le app e la sede centrale. Il dashboard di Cloud Discovery offre molte opzioni per filtrare i dati. L'applicazione di filtri consente di generare visualizzazioni specifiche, a seconda di ciò che interessa, usando grafica di facile comprensione per dare all'utente il quadro completo a colpo d'occhio. Per altre informazioni, vedere Filtri delle app individuati.

cloud discovery dashboard.

Osservare il dashboard di Cloud Discovery

La prima cosa da fare per ottenere una panoramica generale delle app di Cloud Discovery è verificare le informazioni seguenti nel dashboard di Cloud Discovery:

  1. Esaminare prima di tutto l'uso complessivo dell'app cloud nell'organizzazione nella panoramica sull'utilizzo di alto livello.

  2. Esaminare quindi un livello più approfondito per vedere quali sono le categorie principali usate nell'organizzazione per ognuno dei diversi parametri d'uso. e qual è la percentuale di utilizzo da parte delle app approvate.

  3. Passare ancora più a fondo e visualizzare tutte le app in una categoria specifica nella scheda App individuate .

  4. È possibile visualizzare gli utenti principali e gli indirizzi IP di origine per identificare quali utenti sono gli utenti più dominanti delle app cloud nell'organizzazione.

  5. Controllare come le app individuate si distribuiscono in base alla posizione geografica (in base al relativo HQ) nella mappa della sede centrale app.

  6. Infine, non dimenticare di esaminare il punteggio di rischio dell'app individuata nella panoramica dei rischi dell'app. Controllare lo stato degli avvisi di individuazione per verificare il numero di avvisi aperti da analizzare.

Informazioni approfondite sulle app individuate

Per analizzare in modo approfondito i dati generati da Cloud Discovery e verificare quali sono le app soggette a rischi e quali sono quelle comunemente usate, è possibile usare filtri.

Ad esempio, per identificare le app di collaborazione e archiviazione cloud rischiose usate più di frequente, è possibile filtrare le app usando la pagina App individuate. Sarà quindi possibile bloccarle o annullarne l'approvazione come descritto di seguito:

  1. Nell'area Sfoglia per categoria della pagina App individuate selezionare sia Archiviazione cloud che Collaborazione.

  2. Usare quindi i filtri avanzati e impostare Fattore di rischio della conformità su SOC 2 uguale a Falso

  3. Per Utilizzo impostare Utenti su più di 50 utenti e utilizzo per transazioni superiori a 100.

  4. Impostare Fattore di rischio della sicurezza per Crittografia dei dati inattivi uguale a Non supportato. Impostare quindi Punteggio di rischio su 6 o su un valore inferiore.

Discovered app filters.

Dopo aver filtrato i risultati è possibile bloccarli e annullarne l'approvazione usando la casella di controllo dell'azione in blocco per annullare l'approvazione di tutte le app in un'unica azione. Dopo aver annullato l'approvazione, è possibile usare uno script di blocco per impedire l'uso delle app nel proprio ambiente.

Cloud Discovery consente di approfondire ulteriormente l'utilizzo del cloud dell'organizzazione. È possibile identificare le istanze specifiche in uso analizzando i sottodomini individuati.

È possibile, ad esempio, distinguere tra i diversi siti di SharePoint.

Questa azione è supportata solo nei firewall e nei proxy che contengono dati degli URL di destinazione. Per altre informazioni, esaminare l'elenco di appliance supportate in Proxy e firewall supportati.

subdomain information.

Individuare le risorse e le app personalizzate

Cloud Discovery consente di analizzare in modo approfondito le risorse IaaS e PaaS. È possibile individuare le attività delle piattaforme che ospitano risorse per visualizzare l'accesso ai dati in tutte le app e le risorse self-hosted, inclusi gli account di archiviazione, l'infrastruttura e le app personalizzate ospitate in Azure, Google Cloud Platform e AWS. Oltre a visualizzare l'utilizzo complessivo nelle soluzioni IaaS, è possibile ottenere visibilità sulle risorse specifiche che sono ospitate in ognuna e sull'utilizzo complessivo di tali risorse, per attenuare i rischi per risorsa.

Ad esempio, dalle app Defender per il cloud è possibile monitorare l'attività, ad esempio se vengono caricati molti dati, è possibile individuare la risorsa caricata e eseguire il drill-down per vedere chi ha eseguito l'attività.

Nota

Questa azione è supportata solo nei firewall e nei proxy che contengono dati degli URL di destinazione. Per altre informazioni, esaminare l'elenco di appliance supportate in Proxy e firewall supportati.

Per visualizzare le risorse individuate:

  1. Nel portale di app Defender per il cloud selezionare Individua e quindi risorse individuate.

    Discovered resources menu.

  2. Nella pagina Risorse individuate è possibile eseguire il drill-down su ogni risorsa per vedere quali tipi di transazione si sono verificati, chi ha avuto accesso e quindi esaminare ulteriormente gli utenti.

    Discovery resources.

  3. Per le app personalizzate, è possibile fare clic sui tre pulsanti alla fine della riga e selezionare Add custom app (Aggiungi app personalizzata). Verrà aperta la finestra Add custom app (Aggiungi app personalizzata) che consente di assegnare un nome e identificare l'app in modo che possa essere inclusa nel dashboard di Cloud Discovery.

Generare un report esecutivo di Cloud Discovery

Il metodo migliore per ottenere una panoramica d'uso di shadow IT nell'intera organizzazione è la generazione di un report esecutivo di Cloud Discovery. Il report identifica i rischi potenziali principali e consente di pianificare un flusso di lavoro per ridurre e gestire i rischi finché questi non vengono risolti.

Per generare un report esecutivo di Cloud Discovery:

  1. Nel dashboard di Cloud Discovery fare clic sui tre punti nell'angolo superiore destro del dashboard e quindi selezionare Genera report esecutivo di Cloud Discovery.

  2. Facoltativamente, modificare il nome del report.

  3. Selezionare Genera.

Escludere le entità

Se si hanno utenti di sistema, indirizzi IP o dispositivi rumorosi ma non interessati o entità che non devono essere presentate nei report SHADOW IT, è possibile escludere i dati dai dati di Cloud Discovery analizzati. Ad esempio, è possibile escludere tutte le informazioni provenienti da un host locale.

Per creare un'esclusione:

  1. Nell'icona impostazioni del portale selezionare Impostazioni.

  2. In Cloud Discovery selezionare la scheda Escludi entità .

  3. Scegliere la scheda Utenti esclusi, Gruppi di utenti, indirizzi IP o Dispositivi esclusi e selezionare il pulsante per aggiungere l'esclusione+.

  4. Aggiungere un alias utente, un indirizzo IP o un nome del dispositivo. È consigliabile aggiungere informazioni sui motivi dell'esclusione.

    exclude user.

Nota

Qualsiasi esclusione di entità si applica ai dati appena ricevuti. I dati cronologici delle entità escluse rimarranno nel periodo di conservazione (90 giorni).

Gestire i report continui

I report continui personalizzati offrono maggiore granularità durante il monitoraggio dei dati di log di Cloud Discovery per l'organizzazione. Creando report personalizzati, è possibile filtrare in posizioni geografiche, reti e siti specifici o unità organizzative. Per impostazione predefinita solo i report seguenti vengono visualizzati nel selettore di report di Cloud Discovery:

  • Il report globale consolida tutte le informazioni nel portale da tutte le origini dati incluse nei log. Il report globale non include dati da Microsoft Defender per endpoint.

  • Il report specifico dell'origine dati mostra solo le informazioni relative a un'origine dati specifica.

Per creare un nuovo report continuo:

  1. Nell'icona impostazioni del portale selezionare Impostazioni.

  2. In Cloud Discovery selezionare Report continuo.

  3. Selezionare il pulsante Crea report .

  4. Immettere un nome per il report.

  5. Selezionare l'origine dati da includere (tutte o un'origine specifica).

  6. Impostare i filtri da usare sui dati. Questi filtri possono essere gruppi di utenti, tag di indirizzi IP o intervalli di indirizzi IP. Per altre informazioni sull'uso dei tag di indirizzi IP e degli intervalli di indirizzi IP, vedere Organizzare i dati in base alle esigenze.

    create custom continuous report.

Nota

Tutti i report personalizzati sono limitati a un massimo di 1 GB di dati non compressi. In presenza di più di 1 GB di dati, nel report verrà esportato il primo GB di dati.

Eliminazione dei dati di Cloud Discovery

Esistono diversi motivi per cui può essere opportuno eliminare i dati di Cloud Discovery. È consigliabile eliminarli nei casi seguenti:

  • Se sono stati caricati manualmente i file di log, è passato molto tempo prima che il sistema venisse aggiornato con nuovi file di log e non si vuole che i dati precedenti influenzino i risultati.

  • Quando si imposta una nuova visualizzazione dati personalizzata, questa viene applicata solo ai nuovi dati da quel momento in poi. È quindi possibile cancellare i dati precedenti e caricare nuovamente i file di log per consentire alla visualizzazione dati personalizzata di acquisire gli eventi presenti nei dati di tali file.

  • Se numerosi utenti o indirizzi IP sono recentemente tornati in funzione dopo essere stati in modalità offline per un certo periodo di tempo, l'attività di questi sarà identificata come anomala e si potranno ricevere numerose segnalazioni di falsi positivi relativi a violazioni.

Per eliminare i dati di Cloud Discovery:

  1. Nell'icona impostazioni del portale selezionare Impostazioni.

  2. In Cloud Discovery selezionare la scheda Elimina dati .

    È importante essere sicuri di voler eliminare i dati prima di continuare. L'operazione non può essere annullata e determina l'eliminazione di tutti i dati di Cloud Discovery nel sistema.

  3. Selezionare il pulsante Elimina.

    delete data.

    Nota

    Il processo di eliminazione richiede alcuni minuti e non è immediato.

Passaggi successivi