検出されたアプリの処理Working with discovered apps

適用対象:Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Cloud Discovery ダッシュボードは、組織におけるクラウド アプリの利用状況を詳細に理解できるように設計されています。The Cloud Discovery dashboard is designed to give you more insight into how cloud apps are being used in your organization. ここでは、使用されているアプリの種類、開いているアラート、組織内のアプリのリスクレベルの概要を一目で確認できます。It provides an at-a-glance overview of what kinds of apps are being used, your open alerts, and the risk levels of apps in your organization. また、アプリを一番多く使っている人が表示され、アプリの本社が地図で示されます。It also shows you who your top app users are and provides an App Headquarter location map. Cloud Discovery ダッシュボードには、データをフィルター処理するための多くのオプションがあります。The Cloud Discovery Dashboard has many options for filtering the data. フィルター処理では、最も関心のある項目に基づき、特定のビューを生成できます。その際に使用するグラフィックスはわかりやすく、全体像をひとめで把握できます。Filtering allows you to generate specific views depending on what you're most interested in using easy-to-understand graphics to give you the full picture at a glance.

Cloud Discovery ダッシュボード

Cloud Discovery ダッシュボードのレビューReview the Cloud Discovery Dashboard

Cloud Discovery アプリの概要を得るために最初にすべきことは、Cloud Discovery ダッシュボードで次の情報を確認することです。The first thing you should do to get a general picture of your Cloud Discovery apps is review the following information in the Cloud Discovery Dashboard:

  1. 最初に、上のレベルの使用状況概要で所属組織でのクラウド アプリの全体的な使用状況を確認します。First look at the overall cloud app use in your organization in the High-level usage overview.

  2. 次に、1 段階詳細なレベルに下がり、さまざまな使用状況パラメーター別に組織で最も使用されているカテゴリを確認します。Then, dive one level deeper to see which are the top categories used in your org for each of the different use parameters. その中でアプリの使用が許可されている割合を確認できます。You can see how much of this usage is by Sanction apps.

  3. さらに詳細なレベルに進み、 [検出されたアプリ] タブで特定のカテゴリのすべてのアプリを確認します。Go even deeper and see all the apps in a specific category in the Discovered apps tab.

  4. アプリを最も多く使用しているユーザーやソース IP アドレスを表示し、組織でクラウド アプリを最も頻繁に使用しているユーザーを特定できます。You can see the top users and source IP addresses to identify which users are the most dominant users of cloud apps in your organization.

  5. アプリの本社地図では、検出されたアプリの本社が地理的にどのように散らばっているのかを確認できます。Check how the discovered apps spread according to geographic location (according to their HQ) in the App Headquarters map.

  6. 最後に、アプリのリスク概要で検出されたアプリのリスク スコアを確認することを忘れないでください。Finally, don’t forget to review the risk score of the discovered app in the App risk overview. 調査する場合は、検出アラートの状況を調べ、未処理のアラート数を確認します。Check the discovery alerts status to see how many open alerts should you investigate.

検出されたアプリの詳細情報Deep dive into Discovered apps

Cloud Discovery によって提供されるデータを掘り下げたい場合は、フィルターを使って、危険性の高いアプリやよく使われるアプリを確認します。If you want to deep dive into the data Cloud Discovery provides, use the filters to review which apps are risky and which are commonly used.

たとえば、よく使われる危険性の高いクラウド ストレージ アプリやコラボレーション アプリを識別する場合は、[検出されたアプリ] ページでフィルターを使って該当するアプリを抽出できます。For example, if you want to identify commonly used risky cloud storage and collaboration apps, you can use the Discovered apps page to filter for the apps you want. その後、次のようにして、そのようなアプリを非承認またはブロックすることができます。Then you can unsanction or block them as follows:

  1. [検出されたアプリ] ページの [カテゴリ別に参照] で、 [クラウド ストレージ][コラボレーション] の両方を選びます。In the Discovered apps page, under Browse by category select both Cloud storage and Collaboration.

  2. 次に、詳細フィルターを使用して、 [コンプライアンス リスク要因][SOC 2][False] に設定します。Then, use the Advanced filters and set Compliance risk factor to SOC 2 equals False

  3. [使用状況] については、 [ユーザー] を 50 ユーザーより多くなるように設定します。さらに [使用状況] を、 [トランザクション] を 100 より多くなるように設定します。For Usage, set Users to greater than 50 users and Usage for Transactions to greater than 100.

  4. [セキュリティ リスク要因] については、 [保存データの暗号化][サポートされていません] に設定します。Set the Security risk factor for Data at rest encryption equals Not supported. 次に、 [リスク スコア] を 6 以下に設定します。Then set Risk score equals 6 or lower.

検出されたアプリのフィルター

結果をフィルター処理した後は、すべてのアプリを 1 つのアクションで非承認にする一括操作チェック ボックスを使って、アプリを非承認にしてブロックすることができます。After the results are filtered, you can unsanction and block them by using the bulk action checkbox to unsanction them all in one action. アプリを非承認にした後は、ブロッキング スクリプトを使って、アプリが環境内で使われないようにブロックすることができます。After they're unsanctioned, you can use a blocking script to block them from being used in your environment.

Cloud Discovery では、組織のクラウドの使用状況をさらに詳しく調べることができます。Cloud discovery enables you to dive even deeper into your organization’s cloud usage. 検出されたサブドメインを調査して、使用されている特定のインスタンスを識別できます。You can identify specific instances that are in use by investigating the discovered subdomains.

たとえば、異なる SharePoint サイトを区別することができます。For example, you can differentiate between different SharePoint sites.

これは、ターゲット URL データが含まれているファイアウォールとプロキシにおいてのみサポートされます。This is supported only in firewalls and proxies that contain target URL data. 詳細については、「サポートされているファイアウォールとプロキシ」でサポートされているアプライアンスの一覧をご覧ください。For more information, see the list of supported appliances in Supported firewalls and proxies.

サブドメインの情報

リソースとカスタム アプリを検出するDiscover resources and custom apps

Cloud Discovery では、IaaS と PaaS のリソースをより詳しく調べることができます。Cloud Discovery also enables you to deep dive into your IaaS and PaaS resources. リソースでホストされるプラットフォーム全体のアクティビティを検出したり、Azure、Google Cloud Platform、AWS でホストされているストレージ アカウント、インフラストラクチャ、カスタムアプリを含む、セルフホステッド アプリとリソース全体のデータ アクセスを表示したりできます。You can discover activity across your resource-hosting platforms, viewing access to data across your self-hosted apps and resources including storage accounts, infrastructure and custom apps hosted on Azure, Google Cloud Platform, and AWS. IaaS ソリューションの全体的な使用について確認できるだけでなく、それぞれでホストされている特定のリソースと、リソースの全体的な使用を可視化して、リソースごとのリスクを軽減することができます。Not only can you see overall usage in your IaaS solutions, but you can get visibility into the specific resources that are hosted on each, and the overall usage of the resources, to help mitigate risk per resource.

たとえば、大量のデータがアップロードされた場合などに、Cloud App Security でアクティビティを監視したり、アップロードされたリソースを検出し、アクティビティを実行したユーザーを詳しく調べたりできます。For example, from Cloud App Security you can monitor activity such as if a lot of data is uploaded, you can discover what resource it is uploaded to and drill down to see who performed the activity.

注意

これは、ターゲット URL データが含まれているファイアウォールとプロキシにおいてのみサポートされます。This is supported only in firewalls and proxies that contain target URL data. 詳細については、「サポートされているファイアウォールとプロキシ」でサポートされているアプライアンスの一覧をご覧ください。For more information, see the list of supported appliances in Supported firewalls and proxies.

検出されたリソースを表示するには:To view discovered resources:

  1. Cloud App Security ポータルで [探索][Discovered resources](検出されたリソース) の順に選択します。In the Cloud App Security portal, select Discover and then Discovered resources.

    検出されたリソースのメニュー

  2. [Discovered resource](検出されたリソース) のページで、各リソースにドリルダウンして、発生したトランザクションの種類、それにアクセスしたユーザーを確認し、そのユーザーについてさらに詳しく調査することができます。In the Discovered resource page, you can drill down into each resource to see what kinds of transactions occurred, who accessed it, and then drill down to investigate the users even further.

    検出リソース

  3. カスタム アプリの場合、行の末尾の 3 つのボタンをクリックし、 [Add custom app](カスタム アプリの追加) を選択します。For custom apps, you can click the three buttons at the end of the row and select Add custom app. これにより、アプリに名前を付けて Cloud Discovery ダッシュボードに追加するための [Add custom app](カスタム アプリの追加) ウィンドウが開きます。This will open the Add custom app window that lets you name and identify the app so it can be included in the Cloud Discovery dashboard.

Cloud Discovery エグゼクティブ レポートの生成Generate Cloud Discovery executive report

組織全体でのシャドウ IT の使用の概要を得る最良の方法が、Cloud Discovery エグゼクティブ レポートを生成することです。The best way to get an overview of Shadow IT use across your organization is by generating a Cloud Discovery executive report. このレポートでは上位の潜在的なリスクが特定され、そのリスクが解決されるまでリスクの軽減と管理を行うためのワークフローを計画するのに役立ちます。This report identifies the top potential risks and helps you plan a workflow to mitigate and manage risks until they're resolved.

Cloud Discovery エグゼクティブ レポートを生成するには:To generate a Cloud Discovery executive report:

Cloud Discovery ダッシュボードで、メニューの右上隅にある 3 つのドットをクリックし、 [Cloud Discovery エグゼクティブ レポートの生成] を選択します。From the Cloud Discovery dashboard, click the three dots in the upper right corner of the menu and select Generate Cloud Discovery executive report.

エンティティの除外Exclude entities

目立つが興味のないシステム ユーザー、IP アドレス、コンピューター、あるいは関連性の低いアプリケーションがある場合は、分析対象の Cloud Discovery データからこれらのデータを除外することができます。If you have system users, IP addresses, or machines that are noisy but uninteresting or apps that aren't relevant, you may want to exclude their data from the Cloud Discovery data that is analyzed. たとえば、127.0.0.1 またはローカル ホストから送信されたすべての情報を除外するとします。For example, you might want to exclude all information originating from 127.0.0.1 or local host.

除外を作成するには:To create an exclusion:

  1. ポータルで、設定アイコンの下に表示される [Cloud Discovery 設定] を選択します。In the portal, under the settings icon, select Cloud Discovery settings.

  2. [エンティティの除外] タブをクリックします。Click the Exclude entities tab.

  3. [除外されたユーザー][除外された IP アドレス][除外されたマシン] タブのいずれかを選択し、[+] ボタンをクリックして除外対象を追加します。Choose either the Excluded users, Excluded IP addresses, or Excluded machines tab and click the + button to add your exclusion.

  4. ユーザーのエイリアス、IP アドレス、またはコンピューター名を追加します。Add a user alias, IP address, or machine name. 除外した理由についての情報を追加することをお勧めします。We recommend adding information about why the exclusion was made.

    ユーザーを除外するexclude user

継続的レポートの管理Manage continuous reports

カスタムの継続的レポートを使用すると、組織の Cloud Discovery ログ データを詳細に監視できます。Custom continuous reports provide you more granularity when monitoring your organization's Cloud Discovery log data. カスタム レポートを作成すると、特定の地理的な場所、ネットワークとサイト、または組織単位をフィルター処理することができます。By creating custom reports, it's possible to filter on specific geographic locations, networks and sites, or organizational units. 既定では、Cloud Discovery レポート セレクターには次のレポートのみが表示されます。By default, only the following reports appear in your Cloud Discovery report selector:

  • グローバル レポートでは、ログに含まれるすべてのデータ ソースからポータルに収集されたデータが、統合表示されます。The Global report consolidates all the information in the portal from all the data sources you included in your logs. グローバル レポートには、Microsoft Defender ATP からのデータは含まれません。The global report doesn’t include data from Microsoft Defender ATP.

  • データ ソースごとのレポートには、特定のデータ ソースの情報のみが表示されます。The Data source specific report displays only information from a specific data source.

新しい継続的レポートを作成するには:To create a new continuous report:

  1. ポータルで、設定アイコンの下に表示される [Cloud Discovery 設定] を選択します。In the portal, under the settings icon, select Cloud Discovery settings.

  2. [継続的レポート] タブをクリックします。Click the Continuous report tab.

  3. [レポートの作成] ボタンをクリックします。Click the Create report button.

  4. レポート名を入力します。Enter a report name.

  5. 含めるデータ ソースを選択します (全部または一部)。Select the data sources you want to include (all or specific).

  6. データに必要なフィルターを設定します。Set the filters you want on the data. これらのフィルターには、 [ユーザー グループ][IP アドレス タグ][IP アドレスの範囲] があります。These filters can be User groups, IP address tags, or IP address ranges. IP アドレス タグと IP アドレスの範囲の使用方法の詳細については、「Organize the data according to your needs (必要に応じてデータを整理する)」を参照してください。For more information on working with IP address tags and IP address ranges, see Organize the data according to your needs.

    カスタムの継続的レポートを作成する

注意

すべてのカスタム レポートは、圧縮されていないデータで最大 1 GB までに制限されます。All custom reports are limited to a maximum of 1 GB of uncompressed data. 1 GB を超えるデータがある場合は、最初の 1 GB のデータがレポートにエクスポートされます。If there is more than 1 GB of data, the first 1 GB of data will be exported into the report.

Cloud Discovery データの削除Deleting Cloud Discovery data

Cloud Discovery データを削除する理由はいくつかあります。There are a number of reasons why you may want to delete your Cloud Discovery data. 次の場合に削除することをお勧めします。We recommend deleting it in the following cases:

  • ログ ファイルの手動アップロード後、長い時間が経過してから新しいログ ファイルでシステムを更新したが、その結果に古いデータからの影響を与えたくない場合。If you manually uploaded log files and a long time passed before you updated the system with new log files and you don't want old data affecting your results.

  • 新しいカスタム データ ビューを設定した場合、それ以後は新しいデータのみが適用対象となります。When you set a new custom data view, it will apply only to new data from that point forward. そのため、古いデータを消去してから再びログ ファイルをアップロードすることで、そのログ ファイル データ内のイベントのみが取得されるカスタム データ ビューを有効にしたい場合。So, you may want to erase old data and then upload your log files again to enable the custom data view to pick up events in the log file data.

  • 多くのユーザーまたは IP アドレスが、しばらくオフラインであった後に最近作業を開始した際に、それらのアクティビティが異常と識別され、違反の誤検知が発生してしまう場合。If many users or IP addresses recently started working again after being offline for some time, their activity will be identified as anomalous and may give you false positive violations.

Cloud Discovery データを削除するには:To delete Cloud Discovery data:

  1. ポータルで、設定アイコンの下に表示される [Cloud Discovery 設定] を選択します。In the portal, under the settings icon, select Cloud Discovery settings.

  2. [データの削除] タブをクリックします。Click the Delete data tab.

    操作を続行する前に、データを削除しても問題がないことを確認するのが重要です。削除すると元に戻すことはできず、システム内のすべての Cloud Discovery データが削除されてしまうからです。It's important to be sure you want to delete data before continuing - it can't be undone and it deletes all Cloud Discovery data in the system.

  3. [削除] ボタンをクリックします。Click the Delete button.

    データを削除するdelete data

    注意

    すぐには削除されず、削除処理には数分かかります。The deletion process takes a few minutes and is not immediate.

次の手順Next steps

Cloud Discovery のスナップショット レポートを作成するCreate snapshot Cloud Discovery reports

継続的なレポートのために自動ログ アップロードを構成するConfigure automatic log upload for continuous reports

Cloud Discovery データでの作業Working with Cloud Discovery data