検出されたアプリの処理

注意

Microsoft Cloud App Security の名前が変更になりました。 Microsoft Defender for Cloud Apps という名前になりました。 今後数週間以内に、こちらと関連ページのスクリーンショットと手順を更新します。 変更の詳細については、こちらの発表を参照してください。 最近の Microsoft セキュリティ サービスの名前の変更に関する詳細については、Microsoft Ignite のセキュリティに関するブログを参照してください。

Cloud Discovery ダッシュボードは、組織におけるクラウド アプリの利用状況を詳細に理解できるように設計されています。 使用されているアプリの種類、未処理のアラート、組織のアプリのリスク レベルをひとめで確認できます。 また、アプリを一番多く使っている人が表示され、アプリの本社が地図で示されます。 Cloud Discovery ダッシュボードには、データをフィルター処理するためのさまざまなオプションがあります。 フィルター処理を使用すると、わかりやすいグラフィックスを使用してひとめで全体像を把握できるため、ご自分が最も関心のあるものに応じて特定のビューを生成できます。

cloud discovery dashboard.

Cloud Discovery ダッシュボードのレビュー

Cloud Discovery アプリの概要を把握するために最初にするべきことは、Cloud Discovery ダッシュボードで次の情報を確認することです。

  1. まず、 [High-level usage overview](高レベルの使用状況の概要) で、組織内のクラウド アプリの全体的な使用状況を確認します。

  2. 次に、1 段階詳細なレベルに下がり、さまざまな使用状況パラメーター別に組織で最も使用されているカテゴリを確認します。 この使用状況のうちどの程度が承認アプリによるものなのかを確認できます。

  3. さらに詳細なレベルに進むと、 [検出されたアプリ] タブで特定のカテゴリのすべてのアプリを確認できます。

  4. アプリを最も多く使用しているユーザーやソース IP アドレスを表示し、組織でクラウド アプリを最も頻繁に使用しているユーザーを特定できます。

  5. アプリの本社地図では、検出されたアプリの本社が地理的にどのように散らばっているのかを確認できます。

  6. 最後に、 [App risk overview](アプリのリスク概要) で検出されたアプリのリスク スコアを確認することを忘れないでください。 [discovery alerts status](検出アラート状態) を見て、調査する必要がある未処理のアラート数を確認します。

検出されたアプリの詳細情報

Cloud Discovery によって提供されたデータを掘り下げたい場合は、フィルターを使って、危険性の高いアプリやよく使われるアプリを確認します。

たとえば、よく使われる危険性の高いクラウド ストレージ アプリやコラボレーション アプリを識別する場合は、[検出されたアプリ] ページでフィルターを使って該当するアプリを抽出できます。 その後、次のようにして、そのようなアプリを非承認にしてブロックすることができます。

  1. [検出されたアプリ] ページの [カテゴリ別に参照] で、 [クラウド ストレージ][コラボレーション] の両方を選びます。

  2. 次に、[詳細] フィルターを使用し、 [コンプライアンス リスク要因][SOC 2][False] と等しくなるように設定します。

  3. [使用状況] については、[ユーザー] を 50 ユーザーより多く設定し、[トランザクション][使用状況] を 100 より大きく設定します。

  4. [保存データの暗号化][セキュリティ リスク要因][サポートされていない] に等しく設定します。 [リスク スコア] を 6 以下に等しく設定します。

Discovered app filters.

結果をフィルター処理した後は、すべてのアプリを 1 つのアクションで非承認にする一括操作チェック ボックスを使って、アプリを非承認にしてブロックすることができます。 アプリを非承認にした後は、ブロッキング スクリプトを使って、アプリが環境内で使われないようにブロックすることができます。

Cloud Discovery を使用すると、組織のクラウドの使用状況をさらに詳しく調べることができます。 検出されたサブドメインを調査することによって、使用中の特定のインスタンスを識別できます。

たとえば、異なる複数の SharePoint サイトを区別できます。

これは、ターゲット URL データを含むファイアウォールとプロキシでのみサポートされています。 詳細については、「サポートされているファイアウォールとプロキシ」にある、サポートされているアプライアンスの一覧を参照してください。

subdomain information.

リソースとカスタム アプリを検出する

Cloud Discovery では、IaaS と PaaS のリソースをより詳しく調べることができます。 リソースでホストされるプラットフォーム全体のアクティビティを検出したり、Azure、Google Cloud Platform、AWS でホストされているストレージ アカウント、インフラストラクチャ、カスタムアプリを含む、セルフホステッド アプリとリソース全体のデータ アクセスを表示したりできます。 IaaS ソリューションの全体的な使用について確認できるだけでなく、それぞれでホストされている特定のリソースと、リソースの全体的な使用を可視化して、リソースごとのリスクを軽減することができます。

たとえば、大量のデータがアップロードされた場合などに、Defender for Cloud Apps でアクティビティを監視したり、アップロード先のリソースを検出し、アクティビティを実行したユーザーを詳しく調べたりできます。

注意

これは、ターゲット URL データを含むファイアウォールとプロキシでのみサポートされています。 詳細については、「サポートされているファイアウォールとプロキシ」にある、サポートされているアプライアンスの一覧を参照してください。

検出されたリソースを表示するには:

  1. Defender for Cloud Apps ポータル[探索][検出されたリソース] の順に選択します。

    Discovered resources menu.

  2. [Discovered resource](検出されたリソース) のページで、各リソースにドリルダウンして、発生したトランザクションの種類、それにアクセスしたユーザーを確認し、そのユーザーについてさらに詳しく調査することができます。

    Discovery resources.

  3. カスタム アプリの場合、行の末尾の 3 つのボタンをクリックし、 [Add custom app]\(カスタム アプリの追加) を選択します。 これにより、アプリに名前を付けて Cloud Discovery ダッシュボードに追加するための [Add custom app]\(カスタム アプリの追加) ウィンドウが開きます。

Cloud Discovery エグゼクティブ レポートの生成

組織全体でのシャドウ IT の使用に関する概要を把握する最良の方法は、Cloud Discovery エグゼクティブ レポートを生成することです。 このレポートは、潜在的なリスクのうち危険性の高いものを特定しており、解決されるまでリスクを軽減および管理するワークフローを計画するうえで役立ちます。

Cloud Discovery エグゼクティブ レポートを生成するには:

  1. Cloud Discovery ダッシュボードで、ダッシュボードの右上隅にある 3 つのドットをクリックし、 [Cloud Discovery エグゼクティブレポートの生成] を選択します。

  2. 必要に応じて、レポート名を変更します。

  3. [Generate] \(生成) を選択します。

エンティティの除外

ノイズが多く重要ではないシステム ユーザー、IP アドレス、またはデバイス、あるいはシャドウ IT レポートに表示すべきでないエンティティがある場合は、それらのデータを分析対象の Cloud Discovery データから除外することができます。 たとえば、ローカル ホストから送信されたすべての情報を除外するとします。

除外を作成するには:

  1. ポータルで、設定アイコンの下の [設定] を選択します。

  2. [Cloud Discovery] で、 [エンティティの除外] タブを選択します。

  3. [除外されたユーザー][ユーザー グループ][IP アドレス]、または [除外されたデバイス] タブのいずれかを選択し、[+] ボタンを選択して除外を追加します。

  4. ユーザーのエイリアス、IP アドレス、またはデバイス名を追加します。 除外した理由に関する情報を追加することをお勧めします。

    exclude user.

注意

エンティティの除外は、新しく受信したデータに適用されます。 除外されたエンティティの履歴データは、保持期間 (90 日) まで残ります。

継続的レポートの管理

カスタムの継続的レポートを使用すると、組織の Cloud Discovery ログ データを詳細に監視できます。 カスタム レポートを作成すると、特定の地理的な場所、ネットワークとサイト、または組織単位でフィルター処理することができます。 既定では、Cloud Discovery レポート セレクターには次のレポートのみが表示されます。

  • グローバル レポートでは、ログに含まれるすべてのデータ ソースからポータルに収集されたデータが、統合表示されます。 グローバル レポートには、Microsoft Defender for Endpoint からのデータは含まれません。

  • データ ソースごとのレポートには、特定のデータ ソースの情報のみが表示されます。

新しい継続的レポートを作成するには:

  1. ポータルで、設定アイコンの下の [設定] を選択します。

  2. [Cloud Discovery] で、 [継続的レポート] を選択します。

  3. [レポートの作成] ボタンを選択します。

  4. レポート名を入力します。

  5. 含めるデータ ソースを選択します (全部または一部)。

  6. データに対して適用するフィルターを設定します。 これらのフィルターには、 [ユーザー グループ][IP アドレス タグ][IP アドレス範囲] があります。 IP アドレス タグと IP アドレスの範囲の使用方法の詳細については、「Organize the data according to your needs (必要に応じてデータを整理する)」を参照してください。

    create custom continuous report.

注意

すべてのカスタム レポートは、最大 1 GB の圧縮されていないデータに制限されます。 1 GB を超えるデータがある場合は、最初の 1 GB のデータがレポートにエクスポートされます。

Cloud Discovery データの削除

Cloud Discovery データを削除する理由はいくつかあります。 次の場合に削除することをお勧めします。

  • ログ ファイルの手動アップロード後、長い時間が経過してから新しいログ ファイルでシステムを更新したが、その結果に古いデータからの影響を与えたくない場合。

  • 設定した新しいカスタム データ ビューは、その時点以降の新しいデータのみが適用対象となります。 そのため、古いデータを消去してからログ ファイルを再度アップロードすれば、そのログ ファイル データ内のイベントがカスタム データ ビューで取得されるようになります。

  • 多くのユーザーまたは IP アドレスが、しばらくオフラインであった後、最近作業を開始した場合、それらのアクティビティは異常と識別され、擬陽性の違反が発生する可能性があります。

Cloud Discovery データを削除するには:

  1. ポータルで、設定アイコンの下の [設定] を選択します。

  2. [Cloud Discovery] で、 [データの削除] タブを選択します。

    続行する前に、データを削除しても問題ないことを確認することが重要です。元に戻すことはできず、システム内のすべての Cloud Discovery データが削除されます。

  3. [削除] ボタンを選択します。

    delete data.

    注意

    すぐには削除されず、削除処理には数分かかります。

次のステップ