Utilizzo dei dati di Cloud Discovery

  • Articolo
  • 5 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Il dashboard di Cloud Discovery è progettato per fornire informazioni più dettagliate su come le app cloud vengono usate nell'organizzazione. Fornisce una panoramica rapida dei tipi di app in uso, degli avvisi aperti e dei livelli di rischio delle app nell'organizzazione. Mostra inoltre come sono i principali utenti delle app e fornisce un mapping di posizione fra le app e la sede centrale. Il dashboard di Cloud Discovery offre molte opzioni per filtrare i dati. L'applicazione di filtri consente di generare visualizzazioni specifiche, a seconda di ciò che interessa, usando grafica di facile comprensione per dare all'utente il quadro completo a colpo d'occhio.

cloud discovery dashboard.

Osservare il dashboard di Cloud Discovery

La prima cosa da fare per ottenere una panoramica generale delle app di Cloud Discovery è verificare le informazioni seguenti nel dashboard di Cloud Discovery:

  1. Per prima cosa, esaminare l'uso complessivo delle app cloud nell'organizzazione nella panoramica sull'utilizzo di alto livello.

  2. Quindi, approfondire un livello per vedere quali sono le categorie principali usate nell'organizzazione per ognuno dei diversi parametri d'uso. e qual è la percentuale di utilizzo da parte delle app approvate.

  3. Andare ancora più a fondo e visualizzare tutte le app in una categoria specifica nella scheda App individuate .

  4. È possibile visualizzare gli utenti principali e gli indirizzi IP di origine per identificare quali utenti sono gli utenti più dominanti delle app cloud nell'organizzazione.

  5. Controllare come le app individuate si distribuiscono in base alla posizione geografica (in base alla relativa sede centrale) nella mappa della sede centrale dell'app.

  6. Infine, non dimenticare di esaminare il punteggio di rischio dell'app individuata nella panoramica dei rischi dell'app. Controllare lo stato degli avvisi di individuazione per verificare il numero di avvisi aperti da analizzare.

Escludere le entità

Se si hanno utenti di sistema, indirizzi IP o dispositivi rumorosi ma non interessanti o app non pertinenti, è possibile escludere i dati dai dati di Cloud Discovery analizzati. È possibile ad esempio escludere tutte le informazioni provenienti da 127.0.0.1 o dall'host locale.

Per creare un'esclusione:

  1. Nel portale, sotto l'icona delle impostazioni, selezionare Impostazioni di Cloud Discovery.

  2. Fare clic sulla scheda Escludi entità.

  3. Scegliere la scheda Utenti esclusi, Indirizzi IP esclusi o Dispositivo escluso e fare clic sul pulsante + per aggiungere l'esclusione.

  4. Aggiungere un alias utente, un indirizzo IP o un nome del dispositivo. È consigliabile aggiungere informazioni sui motivi dell'esclusione.

    exclude user.

Gestire i report continui

I report continui personalizzati offrono maggiore granularità durante il monitoraggio dei dati di log di Cloud Discovery per l'organizzazione. Tramite la creazione di report personalizzati è possibile applicare filtri in base a posizioni geografiche, reti e siti o unità organizzative specifiche. Per impostazione predefinita solo i report seguenti vengono visualizzati nel selettore di report di Cloud Discovery:

  • Il report globale consolida tutte le informazioni nel portale da tutte le origini dati incluse nei log. Il report globale non include i dati di Microsoft Defender per endpoint.

  • Il report specifico dell'origine dati mostra solo le informazioni relative a un'origine dati specifica.

Per creare un nuovo report continuo:

  1. Nel portale, sotto l'icona delle impostazioni, selezionare Impostazioni di Cloud Discovery.

  2. Fare clic sulla scheda Report continuo.

  3. Fare clic sul pulsante Crea report .

  4. Immettere un nome per il report.

  5. Selezionare l'origine dati da includere (tutte o un'origine specifica).

  6. Impostare i filtri da usare sui dati. Questi filtri possono essere gruppi di utenti, tag di indirizzi IP o intervalli di indirizzi IP. Per altre informazioni sull'uso dei tag di indirizzi IP e degli intervalli di indirizzi IP, vedere Organizzare i dati in base alle esigenze.

    create custom continuous report.

Nota

Tutti i report personalizzati sono limitati a un massimo di 1 GB di dati non compressi. In presenza di più di 1 GB di dati, nel report verrà esportato il primo GB di dati.

Eliminazione dei dati di Cloud Discovery

Esistono diversi motivi per cui può essere opportuno eliminare i dati di Cloud Discovery. È consigliabile eliminarli nei casi seguenti:

  • Se sono stati caricati manualmente i file di log, è passato molto tempo prima che il sistema venisse aggiornato con nuovi file di log e non si vuole che i dati precedenti influenzino i risultati.

  • Quando si imposta una nuova visualizzazione dati personalizzata, questa viene applicata solo ai nuovi dati da quel momento in poi. È quindi possibile cancellare i dati precedenti e caricare nuovamente i file di log per consentire alla visualizzazione dati personalizzata di acquisire gli eventi presenti nei dati di tali file.

  • Se numerosi utenti o indirizzi IP sono recentemente tornati in funzione dopo essere stati in modalità offline per un certo periodo di tempo, l'attività di questi sarà identificata come anomala e si potranno ricevere numerose segnalazioni di falsi positivi relativi a violazioni.

Per eliminare i dati di Cloud Discovery:

  1. Nel portale, sotto l'icona delle impostazioni, selezionare Impostazioni di Cloud Discovery.

  2. Fare clic sulla scheda Elimina i dati.

    È importante essere sicuri di voler eliminare i dati prima di continuare. L'operazione non può essere annullata e determina l'eliminazione di tutti i dati di Cloud Discovery nel sistema.

  3. Fare clic sul pulsante Elimina.

    delete data.

    Nota

    Il processo di eliminazione richiede alcuni minuti e non è immediato.

Passaggi successivi

Attività quotidiane per la protezione dell'ambiente cloud

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.