探索データでの作業Working with discovery data

適用対象: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Cloud Discovery ダッシュボードは、組織におけるクラウド アプリの利用状況を詳細に理解できるように設計されています。The Cloud Discovery dashboard is designed to give you more insight into how cloud apps are being used in your organization. 使用されているアプリ、未処理のアラート、組織のアプリのリスク レベルをひとめで確認できます。It provides an at-a-glance overview of what kinds of apps are being used, your open alerts, the risk levels of apps in your organization. また、アプリを一番多く使っている人が表示され、アプリの本社が地図で示されます。It also shows you who your top app users are and provides an App Headquarter location map. Cloud Discovery ダッシュボードには、データをフィルター処理するための多くのオプションがあります。The Cloud Discovery Dashboard has many options for filtering the data. フィルター処理では、最も関心のある項目に基づき、特定のビューを生成できます。その際に使用するグラフィックスはわかりやすく、全体像をひとめで把握できます。Filtering allows you to generate specific views depending on what you're most interested in using easy-to-understand graphics to give you the full picture at a glance.

Cloud Discovery ダッシュボード

Cloud Discovery ダッシュボードのレビューReview the Cloud Discovery Dashboard

Cloud Discovery アプリの概要を得るために最初にすべきことは、Cloud Discovery ダッシュボードで次の情報を確認することです。The first thing you should do to get a general picture of your Cloud Discovery apps is review the following information in the Cloud Discovery Dashboard:

  1. 最初に、上のレベルの使用状況概要で所属組織でのクラウド アプリの全体的な使用状況を確認します。First look at the overall cloud app use in your organization in the High-level usage overview.

  2. 次に、1 段階詳細なレベルに下がり、さまざまな使用状況パラメーター別に組織で最も使用されているカテゴリを確認します。Then, dive one level deeper to see which are the top categories used in your org for each of the different use parameters. その中でアプリの使用が許可されている割合を確認できます。You can see how much of this usage is by Sanction apps.

  3. さらに詳細なレベルに進み、 [検出されたアプリ] タブで特定のカテゴリのすべてのアプリを確認します。Go even deeper and see all the apps in a specific category in the Discovered apps tab.

  4. アプリを最も多く使用しているユーザーやソース IP アドレスを表示し、組織でクラウド アプリを最も頻繁に使用しているユーザーを特定できます。You can see the top users and source IP addresses to identify which users are the most dominant users of cloud apps in your organization.

  5. アプリの本社地図では、検出されたアプリの本社が地理的にどのように散らばっているのかを確認できます。Check how the discovered apps spread according to geographic location (according to their HQ) in the App Headquarters map.

  6. 最後に、アプリのリスク概要で検出されたアプリのリスク スコアを確認することを忘れないでください。Finally, don’t forget to review the risk score of the discovered app in the App risk overview. 調査する場合は、検出アラートの状況を調べ、未処理のアラート数を確認します。Check the discovery alerts status to see how many open alerts should you investigate.

エンティティの除外Exclude entities

目立つが興味のないシステム ユーザー、IP アドレス、コンピューター、あるいは関連性の低いアプリケーションがある場合は、分析対象の Cloud Discovery データからこれらのデータを除外することができます。If you have system users, IP addresses, or machines that are noisy but uninteresting or apps that aren't relevant, you may want to exclude their data from the Cloud Discovery data that is analyzed. たとえば、127.0.0.1 またはローカル ホストから送信されたすべての情報を除外するとします。For example, you might want to exclude all information originating from 127.0.0.1 or local host.

除外を作成するには:To create an exclusion:

  1. ポータルで、設定アイコンの下に表示される [Cloud Discovery 設定] を選択します。In the portal, under the settings icon, select Cloud Discovery settings.

  2. [エンティティの除外] タブをクリックします。Click the Exclude entities tab.

  3. [除外されたユーザー][除外された IP アドレス][除外されたマシン] タブのいずれかを選択し、[+] ボタンをクリックして除外対象を追加します。Choose either the Excluded users, Excluded IP addresses, or Excluded machines tab and click the + button to add your exclusion.

  4. ユーザーのエイリアス、IP アドレス、またはコンピューター名を追加します。Add a user alias, IP address, or machine name. 除外した理由についての情報を追加することをお勧めします。We recommend adding information about why the exclusion was made.

    ユーザーを除外するexclude user

継続的レポートの管理Manage continuous reports

カスタムの継続的レポートを使用すると、組織の Cloud Discovery ログ データを詳細に監視できます。Custom continuous reports provide you more granularity when monitoring your organization's Cloud Discovery log data. カスタム レポートを作成すると、特定の地理的な場所、ネットワークとサイト、または組織単位をフィルター処理することができます。By creating custom reports, it's possible to filter on specific geographic locations, networks and sites, or organizational units. 既定では、Cloud Discovery レポート セレクターには次のレポートのみが表示されます。By default, only the following reports appear in your Cloud Discovery report selector:

  • グローバル レポートでは、ログに含まれるすべてのデータ ソースからポータルに収集されたデータが、統合表示されます。The Global report consolidates all the information in the portal from all the data sources you included in your logs. グローバル レポートには、Microsoft Defender ATP からのデータは含まれません。The global report doesn’t include data from Microsoft Defender ATP.

  • データ ソースごとのレポートには、特定のデータ ソースの情報のみが表示されます。The Data source specific report displays only information from a specific data source.

新しい継続的レポートを作成するには:To create a new continuous report:

  1. ポータルで、設定アイコンの下に表示される [Cloud Discovery 設定] を選択します。In the portal, under the settings icon, select Cloud Discovery settings.

  2. [継続的レポート] タブをクリックします。Click the Continuous report tab.

  3. [レポートの作成] ボタンをクリックします。Click the Create report button.

  4. レポート名を入力します。Enter a report name.

  5. 含めるデータ ソースを選択します (全部または一部)。Select the data sources you want to include (all or specific).

  6. データに必要なフィルターを設定します。Set the filters you want on the data. これらのフィルターには、 [ユーザー グループ][IP アドレス タグ][IP アドレスの範囲] があります。These filters can be User groups, IP address tags, or IP address ranges. IP アドレス タグと IP アドレスの範囲の使用方法の詳細については、「Organize the data according to your needs (必要に応じてデータを整理する)」を参照してください。For more information on working with IP address tags and IP address ranges, see Organize the data according to your needs.

    カスタムの継続的レポートを作成する

注意

すべてのカスタム レポートは、圧縮されていないデータで最大 1 GB までに制限されます。All custom reports are limited to a maximum of 1 GB of uncompressed data. 1 GB を超えるデータがある場合は、最初の 1 GB のデータがレポートにエクスポートされます。If there is more than 1 GB of data, the first 1 GB of data will be exported into the report.

Cloud Discovery データの削除Deleting Cloud Discovery data

Cloud Discovery データを削除する理由はいくつかあります。There are a number of reasons why you may want to delete your Cloud Discovery data. 次の場合に削除することをお勧めします。We recommend deleting it in the following cases:

  • ログ ファイルの手動アップロード後、長い時間が経過してから新しいログ ファイルでシステムを更新したが、その結果に古いデータからの影響を与えたくない場合。If you manually uploaded log files and a long time passed before you updated the system with new log files and you don't want old data affecting your results.

  • 新しいカスタム データ ビューを設定した場合、それ以後は新しいデータのみが適用対象となります。When you set a new custom data view, it will apply only to new data from that point forward. そのため、古いデータを消去してから再びログ ファイルをアップロードすることで、そのログ ファイル データ内のイベントのみが取得されるカスタム データ ビューを有効にしたい場合。So, you may want to erase old data and then upload your log files again to enable the custom data view to pick up events in the log file data.

  • 多くのユーザーまたは IP アドレスが、しばらくオフラインであった後に最近作業を開始した際に、それらのアクティビティが異常と識別され、違反の誤検知が発生してしまう場合。If many users or IP addresses recently started working again after being offline for some time, their activity will be identified as anomalous and may give you false positive violations.

Cloud Discovery データを削除するには:To delete Cloud Discovery data:

  1. ポータルで、設定アイコンの下に表示される [Cloud Discovery 設定] を選択します。In the portal, under the settings icon, select Cloud Discovery settings.

  2. [データの削除] タブをクリックします。Click the Delete data tab.

    操作を続行する前に、データを削除しても問題がないことを確認するのが重要です。削除すると元に戻すことはできず、システム内のすべての Cloud Discovery データが削除されてしまうからです。It's important to be sure you want to delete data before continuing - it can't be undone and it deletes all Cloud Discovery data in the system.

  3. [削除] ボタンをクリックします。Click the Delete button.

    データを削除するdelete data

    注意

    すぐには削除されず、削除処理には数分かかります。The deletion process takes a few minutes and is not immediate.

次のステップNext steps

クラウド環境を保護するための日常的な作業Daily activities to protect your cloud environment

Premier サポートをご利用のお客様は、Premier ポータルから直接新しいサポート要求を作成することもできます。Premier customers can also create a new support request directly in the Premier Portal.