Werken met gedetecteerde apps

Notitie

  • We hebben de naam van Microsoft Cloud App Security gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken worden de schermafbeeldingen en instructies hier en op gerelateerde pagina's bijgewerkt. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

  • Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender-services toe. Microsoft 365 Defender is de thuisbasis voor het bewaken en beheren van beveiliging in uw Microsoft-identiteiten, gegevens, apparaten, apps en infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.

Met het Cloud Discovery-dashboard hebt u meer inzicht in de manier waarop cloud-apps in uw organisatie worden gebruikt. Het biedt een overzicht van de soorten apps die worden gebruikt, uw geopende waarschuwingen en de risiconiveaus van apps in uw organisatie. Daarnaast kunt u zien wie de belangrijkste gebruikers in uw organisatie zijn en wordt een app-hoofdkantoorkaart weergegeven. Het Cloud Discovery-dashboard heeft veel opties voor het filteren van de gegevens. Met filteren kunt u specifieke weergaven genereren, afhankelijk van wat u het meest geïnteresseerd bent in het gebruik van eenvoudig te begrijpen afbeeldingen om u in één oogopslag de volledige afbeelding te geven. Zie Gedetecteerde app-filters voor meer informatie.

cloud discovery dashboard.

Het Cloud Discovery-dashboard bekijken

Het eerste wat u moet doen om een algemeen beeld te krijgen van uw Cloud Discovery-apps, is de volgende informatie te bekijken in het Cloud Discovery-dashboard:

  1. Bekijk eerst het algemene gebruik van cloud-apps in uw organisatie in het overzicht van gebruik op hoog niveau.

  2. Duik vervolgens een niveau dieper om te zien welke de belangrijkste categorieën zijn die in uw organisatie worden gebruikt voor elk van de verschillende gebruiksparameters. U kunt zien hoeveel van dit gebruik is door Apps goedkeuren.

  3. Ga nog dieper en bekijk alle apps in een specifieke categorie op het tabblad Gedetecteerde apps .

  4. U kunt de belangrijkste gebruikers en bron-IP-adressen zien om te bepalen welke gebruikers de meest dominante gebruikers van cloud-apps in uw organisatie zijn.

  5. Controleer hoe de gedetecteerde apps zich verspreiden op basis van geografische locatie (op basis van hun HQ) in de kaart van het app-hoofdkantoor.

  6. Vergeet ten slotte niet om de risicoscore van de gedetecteerde app te controleren in het overzicht van app-risico's. Controleer de status van detectiewaarschuwingen om te zien hoeveel geopende waarschuwingen u moet onderzoeken.

Uitgebreide informatie over gedetecteerde apps

Als u meer wilt weten over de gegevens die Cloud Discovery biedt, gebruikt u de filters om te controleren welke apps riskant zijn en welke vaak worden gebruikt.

Als u bijvoorbeeld veelgebruikte riskante cloudopslag- en samenwerkingsapps wilt identificeren, kunt u de pagina Gedetecteerde apps gebruiken om te filteren op de gewenste apps. Vervolgens kunt u de blokkering als volgt ongedaan maken of blokkeren :

  1. Selecteer op de pagina Gedetecteerde apps onder Bladeren op categorie zowel Cloudopslag als Samenwerking.

  2. Gebruik vervolgens de geavanceerde filters en stel nalevingsrisicofactor in op SOC 2 is gelijk aan False

  3. Stel voor Gebruikgebruikers in op meer dan 50 gebruikers en het gebruik voor transacties op meer dan 100.

  4. Stel de beveiligingsrisicofactor voor data-at-rest-versleuteling in op Niet ondersteund. Stel vervolgens de risicoscore in op 6 of lager.

Discovered app filters.

Nadat de resultaten zijn gefilterd, kunt u de blokkering ervan ongedaan maken en blokkeren met behulp van het selectievakje voor bulkacties om ze allemaal in één actie op te heffen. Nadat ze niet zijn opgegeven, kunt u een blokkerend script gebruiken om te voorkomen dat ze in uw omgeving worden gebruikt.

Met Cloud Discovery kunt u nog dieper ingaan op het cloudgebruik van uw organisatie. U kunt specifieke exemplaren identificeren die in gebruik zijn door de gedetecteerde subdomeinen te onderzoeken.

U kunt bijvoorbeeld onderscheid maken tussen verschillende SharePoint sites.

Dit wordt alleen ondersteund in firewalls en proxy's die doel-URL-gegevens bevatten. Zie de lijst met ondersteunde apparaten in ondersteunde firewalls en proxy's voor meer informatie.

subdomain information.

Resources en aangepaste apps detecteren

Met Cloud Discovery kunt u ook dieper ingaan op uw IaaS- en PaaS-resources. U kunt activiteiten detecteren op uw platformen voor resourcehosting, toegang tot gegevens bekijken in uw zelf-hostende apps en resources, waaronder opslagaccounts, infrastructuur en aangepaste apps die worden gehost in Azure, Google Cloud Platform en AWS. Niet alleen kunt u het algemene gebruik in uw IaaS-oplossingen zien, maar u kunt inzicht krijgen in de specifieke resources die op elk worden gehost en het totale gebruik van de resources, om risico's per resource te beperken.

Vanuit Defender voor Cloud Apps kunt u bijvoorbeeld de activiteit controleren, bijvoorbeeld als er veel gegevens worden geüpload, kunt u ontdekken naar welke resource deze wordt geüpload en inzoomen om te zien wie de activiteit heeft uitgevoerd.

Notitie

Dit wordt alleen ondersteund in firewalls en proxy's die doel-URL-gegevens bevatten. Zie de lijst met ondersteunde apparaten in ondersteunde firewalls en proxy's voor meer informatie.

Gedetecteerde resources weergeven:

  1. Selecteer in de portal Defender voor Cloud Appsde optie Ontdekken en vervolgens Gedetecteerde resources.

    Discovered resources menu.

  2. Op de pagina Gedetecteerde resource kunt u inzoomen op elke resource om te zien welke soorten transacties er zijn opgetreden, wie deze heeft geopend en vervolgens inzoomen om de gebruikers nog verder te onderzoeken.

    Discovery resources.

  3. Voor aangepaste apps kunt u op de drie knoppen aan het einde van de rij klikken en aangepaste app toevoegen selecteren. Hiermee opent u het venster Aangepaste app toevoegen waarmee u de app een naam kunt geven en identificeren, zodat deze kan worden opgenomen in het Cloud Discovery-dashboard.

Cloud Discovery-managementrapport genereren

De beste manier om een overzicht te krijgen van schaduw-IT-gebruik in uw organisatie is door een Cloud Discovery-managementrapport te genereren. Dit rapport identificeert de belangrijkste potentiële risico's en helpt u bij het plannen van een werkstroom om risico's te beperken en te beheren totdat ze zijn opgelost.

Een Cloud Discovery-executive-rapport genereren:

  1. Klik in het Cloud Discovery-dashboard op de drie puntjes in de rechterbovenhoek van het dashboard en selecteer vervolgens Het managementrapport van Cloud Discovery genereren.

  2. Wijzig desgewenst de naam van het rapport.

  3. Selecteer Genereren.

Entiteiten uitsluiten

Als u systeemgebruikers, IP-adressen of apparaten hebt die luidruchtig maar niet-interessant zijn, of entiteiten die niet moeten worden weergegeven in de Shadow IT-rapporten, kunt u hun gegevens uitsluiten van de clouddetectiegegevens die worden geanalyseerd. U kunt bijvoorbeeld alle informatie uitsluiten die afkomstig is van een lokale host.

Een uitzondering aanmaken:

  1. Selecteer Instellingen in de portal onder het pictogram Instellingen.

  2. Selecteer onder Cloud Discovery het tabblad Entiteiten uitsluiten .

  3. Kies het tabblad Uitgesloten gebruikers, gebruikersgroepen, IP-adressen of uitgesloten apparaten en selecteer de + knop om uw uitsluiting toe te voegen.

  4. Voeg een gebruikersalias, IP-adres of apparaatnaam toe. We raden u aan informatie toe te voegen over waarom de uitsluiting is gemaakt.

    exclude user.

Notitie

Elke entiteitsuitsluiting is van toepassing op zojuist ontvangen gegevens. Historische gegevens van de uitgesloten entiteiten blijven bewaard gedurende de bewaarperiode (90 dagen).

Doorlopende rapporten beheren

Met aangepaste doorlopende rapporten beschikt u over meer details bij de controle van de Cloud Discovery-logboekgegevens van uw organisatie. Door aangepaste rapporten te maken, is het mogelijk om te filteren op specifieke geografische locaties, netwerken en sites of organisatie-eenheden. Standaard worden alleen de volgende rapporten in de Cloud Discovery-rapportkiezer weergegeven:

  • Met het algemene rapport worden alle gegevens in de portal samengevoegd uit alle gegevensbronnen die u aan de logboeken hebt toegevoegd. Het globale rapport bevat geen gegevens uit Microsoft Defender voor Eindpunt.

  • In het specifieke gegevensbronrapport worden alleen gegevens voor een specifieke gegevensbron weergegeven.

Ga als volgt te werk om een nieuw doorlopend rapport te maken:

  1. Selecteer Instellingen in de portal onder het pictogram Instellingen.

  2. Selecteer continu rapport onder Cloud Discovery.

  3. Selecteer de knop Rapport maken .

  4. Voer een rapportnaam in.

  5. Selecteer de gegevensbronnen die u wilt opnemen (alle of specifiek).

  6. Stel de gewenste filters in voor de gegevens. Deze filters kunnen gebruikersgroepen, IP-adrestags of IP-adresbereiken zijn. Zie het Engelstalige artikel Organize the data according to your needs (De gegevens organiseren op basis van uw behoeften) voor meer informatie over het werken met IP-adrestags en IP-adresbereiken.

    create custom continuous report.

Notitie

Alle aangepaste rapporten zijn beperkt tot maximaal 1 GB aan niet-gecomprimeerde gegevens. Als er meer dan 1 GB aan gegevens is, wordt de eerste 1 GB aan gegevens geëxporteerd naar het rapport.

Cloud Discovery-gegevens verwijderen

Er zijn een aantal redenen waarom u uw Cloud Discovery- gegevens zou willen verwijderen. In de volgende gevallen is het raadzaam de gegevens te verwijderen:

  • Als u logboekbestanden handmatig heeft geüpload, er veel tijd is verstreken voordat u het systeem met nieuwe logboekbestanden heeft bijgewerkt en u niet wilt dat oude gegevens uw resultaten beïnvloeden.

  • Wanneer u een nieuwe aangepaste gegevensweergave instelt, is deze alleen van toepassing op nieuwe gegevens vanaf dat moment. U kunt dus oude gegevens wissen en vervolgens uw logboekbestanden opnieuw uploaden om de aangepaste gegevensweergave in te schakelen voor het ophalen van gebeurtenissen in de logboekbestandsgegevens.

  • Als veel gebruikers of IP-adressen onlangs weer begonnen te werken nadat ze enige tijd offline zijn geweest, worden hun activiteiten geïdentificeerd als afwijkend en kunnen er fout-positieve schendingen optreden.

Cloud Discovery-gegevens verwijderen:

  1. Selecteer in de portal onder het pictogram Instellingen Instellingen.

  2. Selecteer onder Cloud Discovery het tabblad Gegevens verwijderen .

    Het is belangrijk om er zeker van te zijn dat u gegevens wilt verwijderen voordat u doorgaat, omdat dit niet ongedaan kan worden gemaakt. Alle Cloud Discovery-gegevens in het systeem worden verwijderd.

  3. Selecteer de knop Verwijderen.

    delete data.

    Notitie

    De verwijdering duurt een paar minuten en is niet direct.

Volgende stappen