検出されたアプリの処理

  • [アーティクル]

Cloud Discovery ダッシュボードは、組織におけるクラウド アプリの利用状況を詳細に理解できるように設計されています。 組織内で使用されているアプリの種類、未解決のアラート、アプリのリスク レベルの概要が一目でわかるようになります。 また、アプリを一番多く使っている人が表示され、アプリの本社が地図で示されます。 Cloud Discovery ダッシュボードには、データをフィルター処理するための多くのオプションがあります。 フィルター処理では、最も関心のある項目に基づき、特定のビューを生成できます。その際に使用するグラフィックスはわかりやすく、全体像をひとめで把握できます。 詳しくは、「検出されたアプリのフィルター」をご覧ください。

cloud discovery dashboard.

Cloud Discovery ダッシュボードのレビュー

Cloud Discovery アプリの概要を得るために最初にすべきことは、Cloud Discovery ダッシュボードで次の情報を確認することです。

  1. 最初に、組織でのクラウド アプリの全体的な使用状況を、使用状況の概要で確認します。

  2. 次に、1 段階詳細なレベルに下がり、さまざまな使用状況パラメーター別に組織で最も使用されているカテゴリを確認します。 承認されたアプリによって、この使用量がどれだけあるかを確認できます。

  3. さらに詳細なレベルに進み、[検出されたアプリ] タブで特定のカテゴリのすべてのアプリを確認します。

  4. 上位のユーザーと送信元 IP アドレスを確認して、組織内でクラウド アプリの最も支配的なユーザーを特定できます。

  5. アプリの本社地図で、検出されたアプリが地理的な場所 (本社による) に従ってどのように広がっているかを確認します。

  6. 最後に、アプリのリスクの概要で、検出されたアプリのリスク スコアを確認することを忘れないでください。 検出アラートの状態をチェックして、調査する必要がある未解決のアラートの数を確認します。

検出されたアプリの詳細情報

Cloud Discovery によって提供されるデータを掘り下げたい場合は、フィルターを使って、危険性の高いアプリやよく使われるアプリを確認します。

たとえば、よく使われる危険性の高いクラウド ストレージ アプリやコラボレーション アプリを識別する場合は、[検出されたアプリ] ページでフィルターを使って該当するアプリを抽出できます。 その後、次のようにして、そのようなアプリを非承認またはブロックすることができます。

  1. [検出されたアプリ] ページの [カテゴリ別に参照] で、[クラウド ストレージ][コラボレーション] の両方を選びます。

  2. 次に、高度なフィルターを使用して、[コンプライアンス リスク要因] を [SOC 2 equals No] ([SOC 2] が [いいえ] に等しい) に設定します。

  3. [使用状況] については、[ユーザー] を 50 ユーザーより多くなるように設定します。さらに [トランザクション] を 100 より多くなるように設定します。

  4. [セキュリティ リスク要因] については、[保存データの暗号化][サポートされていません] に設定します。 次に、[リスク スコア] を 6 以下に設定します。

    Discovered app filters.

結果をフィルター処理した後は、すべてのアプリを 1 つのアクションで非承認にする一括操作チェック ボックスを使って、アプリを非承認にしてブロックすることができます。 アプリを非承認にした後は、ブロッキング スクリプトを使って、アプリが環境内で使われないようにブロックすることができます。

Cloud Discovery を使用すると、組織のクラウドの使用状況をさらに深く調べることができます。 検出されたサブドメインを調査して、使用されている特定のインスタンスを識別できます。

たとえば、異なる SharePoint サイトを区別することができます。

Subdomain filter.

Note

検出されたアプリの詳細な調査は、ターゲット URL データが含まれているファイアウォールとプロキシにおいてのみサポートされます。 詳細については、「サポートされているファイアウォールとプロキシ」を参照してください。

データがアプリ カタログに格納された状態で、Defender for Cloud Apps がトラフィック ログで検出されたサブドメインと一致しない場合、サブドメインメインは [その他] としてタグ付けされます。

リソースとカスタム アプリを検出する

Cloud Discovery を使用すると、IaaS および PaaS リソースを詳しく調べることもできます。 リソース ホスティング プラットフォーム全体のアクティビティを検出し、Azure、Google Cloud Platform、AWS でホストされているストレージ アカウント、インフラストラクチャ、カスタム アプリなどのセルフホスト アプリとリソースにわたるデータへのアクセスを表示できます。 IaaS ソリューションの全体的な使用状況を確認できるだけでなく、それぞれでホストされている特定のリソースとリソースの全体的な使用状況を可視化して、リソースごとのリスクを軽減することができます。

たとえば、大量のデータがアップロードされた場合などに、Defender for Cloud Apps でアクティビティを監視したり、アップロード先のリソースを検出し、アクティビティを実行したユーザーを詳しく調べたりできます。

Note

これは、ターゲット URL データが含まれているファイアウォールとプロキシにおいてのみサポートされます。 詳細については、「サポートされているファイアウォールとプロキシ」でサポートされているアプライアンスの一覧をご覧ください。

検出されたリソースを表示するには:

  1. Microsoft Defender ポータルの [クラウド アプリ] で、[Cloud Discovery] を選択します。 次に、[検出されたリソース] タブを選択します。

    Discovered resources menu.

  2. [検出されたリソース] ページで、各リソースにドリルダウンして、発生したトランザクションの種類、リソースにアクセスしたユーザーを確認し、ドリルダウンしてユーザーをさらに調査できます。

    Discovery resources.

  3. カスタム アプリの場合は、行の末尾にある 3 つのボタンを選択し、[新しいカスタム アプリの追加] を選択できます。 これで、[このアプリを追加] ウィンドウが開き、Cloud Discovery ダッシュボードに含まれるようにアプリに名前を付けることができます。

Cloud Discovery エグゼクティブ レポートの生成

組織全体でのシャドウ IT の使用の概要を得る最良の方法が、Cloud Discovery エグゼクティブ レポートを生成することです。 このレポートでは上位の潜在的なリスクが特定され、そのリスクが解決されるまでリスクの軽減と管理を行うためのワークフローを計画するのに役立ちます。

Cloud Discovery エグゼクティブ レポートを生成するには:

  1. Cloud Discovery ダッシュボードから、ダッシュボードの右上隅にある [アクション] をクリックし、[Cloud Discovery エグゼクティブ レポートの生成] を選択します。

  2. 必要に応じて、レポート名を変更します。

  3. 生成を選択します。

エンティティの除外

ノイズは多いが興味のないシステム ユーザー、IP アドレス、デバイス、またはシャドウ IT レポートに表示すべきでないエンティティがある場合は、分析される Cloud Discovery データからそれらのデータを除外することができます。 たとえば、ローカル ホストから発信されるすべての情報を除外したい場合があります。

除外を作成するには:

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  2. [Cloud Discovery] で、[エンティティの除外] タブを選択します。

  3. [除外されたユーザー][除外されたグループ][除外された IP アドレス]、または [除外されたデバイス] タブのいずれかを選択し、[+追加] ボタンをクリックして除外対象を追加します。

  4. ユーザー エイリアス、IP アドレス、またはデバイス名を追加します。 除外した理由についての情報を追加することをお勧めします。

    exclude user.

Note

エンティティの除外は、新しく受信したデータに適用されます。 除外されたエンティティの履歴データは、保持期間 (90 日) まで残ります。

継続的レポートの管理

カスタムの継続的レポートを使用すると、組織の Cloud Discovery ログ データを詳細に監視できます。 カスタム レポートを作成すると、特定の地理的場所、ネットワーク、サイト、または組織単位でフィルターをかけることができます。 既定では、Cloud Discovery レポート セレクターには次のレポートのみが表示されます。

  • グローバル レポートでは、ログに含まれるすべてのデータ ソースからポータルに収集されたデータが、統合表示されます。 グローバル レポートには、Microsoft Defender for Endpoint からのデータは含まれません。

  • データ ソースごとのレポートには、特定のデータ ソースの情報のみが表示されます。

新しい継続的レポートを作成するには:

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  2. [Cloud Discovery] で、[継続的レポート] を選択します。

  3. 次に、レポート作成 ボタンを選択します。

  4. レポート名を入力します。

  5. 含めるデータ ソースを選択します (全部または一部)。

  6. データに必要なフィルターを設定します。 これらのフィルターには、[ユーザー グループ][IP アドレス タグ][IP アドレスの範囲] があります。 IP アドレス タグと IP アドレスの範囲の使用方法の詳細については、「Organize the data according to your needs (必要に応じてデータを整理する)」を参照してください。

    create custom continuous report.

Note

すべてのカスタム レポートは、圧縮されていないデータで最大 1 GB までに制限されます。 1 GB を超えるデータがある場合は、最初の 1 GB のデータがレポートにエクスポートされます。

Cloud Discovery データの削除

Cloud Discovery データを削除する理由はいくつかあります。 次の場合に削除することをお勧めします。

  • ログ ファイルの手動アップロード後、長い時間が経過してから新しいログ ファイルでシステムを更新したが、その結果に古いデータからの影響を与えたくない場合。

  • 新しいカスタム データ ビューを設定した場合、それ以後は新しいデータのみが適用対象となります。 そのため、古いデータを消去してから再びログ ファイルをアップロードすることで、そのログ ファイル データ内のイベントのみが取得されるカスタム データ ビューを有効にしたい場合。

  • 多くのユーザーまたは IP アドレスが、しばらくオフラインであった後に最近作業を開始した際に、それらのアクティビティが異常と識別され、違反の誤検知が発生してしまう場合。

Cloud Discovery データを削除するには:

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  2. [Cloud Discovery] で、[データの削除] タブを選択します。

    続行する前に、データを削除しても問題ないことを確認することが重要です。元に戻すことはできず、システム内のすべての Cloud Discovery データが削除されます。

  3. 削除 ボタンを選択します。

    delete data.

    Note

    すぐには削除されず、削除処理には数分かかります。

次のステップ

Cloud Discovery のスナップショット レポートを作成する

継続的なレポートのために自動ログ アップロードを構成する

Cloud Discovery データでの作業

Microsoft Defender for Endpoint の統合を使用してアプリを検出する