Werken met gedetecteerde apps

Met het Cloud Discovery-dashboard hebt u meer inzicht in de manier waarop cloud-apps in uw organisatie worden gebruikt. Het biedt een overzicht van de soorten apps die worden gebruikt, uw geopende waarschuwingen en de risiconiveaus van apps in uw organisatie. Daarnaast kunt u zien wie de belangrijkste gebruikers in uw organisatie zijn en wordt een app-hoofdkantoorkaart weergegeven. Het Cloud Discovery-dashboard bevat veel opties voor het filteren van de gegevens. Met filteren kunt u specifieke weergaven genereren, afhankelijk van wat u het meest geïnteresseerd bent in het gebruik van eenvoudig te begrijpen afbeeldingen, zodat u in één oogopslag de volledige afbeelding krijgt. Zie Gedetecteerde app-filters voor meer informatie.

cloud discovery dashboard.

Het Cloud Discovery-dashboard bekijken

Het eerste wat u moet doen om een algemeen beeld te krijgen van uw Cloud Discovery-apps, is het bekijken van de volgende informatie in het Cloud Discovery-dashboard:

  1. Bekijk eerst het algemene gebruik van cloud-apps in uw organisatie in het overzicht van gebruik op hoog niveau.

  2. Duik vervolgens één niveau dieper om te zien welke de belangrijkste categorieën zijn die in uw organisatie worden gebruikt voor elk van de verschillende gebruiksparameters. U kunt zien hoeveel van dit gebruik wordt gebruikt door opgegeven apps.

  3. Ga nog dieper in en bekijk alle apps in een specifieke categorie op het tabblad Gedetecteerde apps .

  4. U kunt de belangrijkste gebruikers en bron-IP-adressen zien om te bepalen welke gebruikers de meest dominante gebruikers van cloud-apps in uw organisatie zijn.

  5. Controleer hoe de gedetecteerde apps zich verspreiden op basis van geografische locatie (volgens hun HQ) in de kaart van het App-hoofdkantoor.

  6. Vergeet ten slotte niet om de risicoscore van de gedetecteerde app te bekijken in het overzicht van app-risico's. Controleer de status van detectiewaarschuwingen om te zien hoeveel geopende waarschuwingen u moet onderzoeken.

Uitgebreide informatie over gedetecteerde apps

Als u meer wilt weten over de gegevens die Cloud Discovery biedt, gebruikt u de filters om te controleren welke apps riskant zijn en welke vaak worden gebruikt.

Als u bijvoorbeeld veelgebruikte riskante cloudopslag- en samenwerkingsapps wilt identificeren, kunt u de pagina Gedetecteerde apps gebruiken om te filteren op de gewenste apps. Vervolgens kunt u de blokkering opheffen of als volgt blokkeren :

  1. Selecteer op de pagina Gedetecteerde apps onder Bladeren op categorie zowel Cloudopslag als Samenwerking.

  2. Gebruik vervolgens de geavanceerde filters en stel nalevingsrisicofactor in op SOC 2 is gelijk aan Nee.

  3. Stel voor Gebruik gebruikers in op meer dan 50 gebruikers en transacties op meer dan 100.

  4. Stel de beveiligingsrisicofactor in voor data-at-rest-versleuteling is gelijk aan Niet ondersteund. Stel vervolgens de risicoscore in op 6 of lager.

    Discovered app filters.

Nadat de resultaten zijn gefilterd, kunt u de goedkeuring ervan ongedaan maken en blokkeren met behulp van het selectievakje voor bulkacties om ze allemaal in één actie op te heffen. Nadat ze niet zijn opgegeven, kunt u een blokkerend script gebruiken om te voorkomen dat ze in uw omgeving worden gebruikt.

Met Cloud Discovery kunt u nog dieper ingaan op het cloudgebruik van uw organisatie. U kunt specifieke exemplaren identificeren die in gebruik zijn door de gedetecteerde subdomeinen te onderzoeken.

U kunt bijvoorbeeld onderscheid maken tussen verschillende SharePoint-sites:

Subdomain filter.

Notitie

Uitgebreide informatie over gedetecteerde apps wordt alleen ondersteund in firewalls en proxy's die doel-URL-gegevens bevatten. Zie Ondersteunde firewalls en proxy's voor meer informatie.

Als Defender voor Cloud Apps niet overeenkomen met het subdomein dat is gedetecteerd in de verkeerslogboeken met de gegevens die zijn opgeslagen in de app-catalogus, wordt het subdomein gelabeld als Overige.

Resources en aangepaste apps ontdekken

Met Cloud Discovery kunt u ook dieper ingaan op uw IaaS- en PaaS-resources. U kunt activiteiten ontdekken op uw resourcehostingplatformen, toegang tot gegevens bekijken in uw zelf-hostende apps en resources, waaronder opslagaccounts, infrastructuur en aangepaste apps die worden gehost in Azure, Google Cloud Platform en AWS. U kunt niet alleen het algemene gebruik in uw IaaS-oplossingen zien, maar u kunt inzicht krijgen in de specifieke resources die op elk van deze resources worden gehost en het algehele gebruik van de resources, om het risico per resource te beperken.

Vanuit Defender voor Cloud Apps kunt u bijvoorbeeld activiteiten controleren, bijvoorbeeld als er veel gegevens worden geüpload, kunt u ontdekken naar welke resource deze is geüpload en inzoomen om te zien wie de activiteit heeft uitgevoerd.

Notitie

Dit wordt alleen ondersteund in firewalls en proxy's die doel-URL-gegevens bevatten. Zie de lijst met ondersteunde apparaten in ondersteunde firewalls en proxy's voor meer informatie.

Gedetecteerde resources weergeven:

  1. Selecteer clouddetectie in de Microsoft Defender-portal onder Cloud Apps. Kies vervolgens het tabblad Gedetecteerde resources .

    Discovered resources menu.

  2. Op de pagina Gedetecteerde resource kunt u inzoomen op elke resource om te zien welke soorten transacties er zijn opgetreden, wie toegang heeft tot de resource en vervolgens inzoomen om de gebruikers nog verder te onderzoeken.

    Discovery resources.

  3. Voor aangepaste apps kunt u de drie knoppen aan het einde van de rij selecteren en nieuwe aangepaste app toevoegen kiezen. Hiermee opent u het venster Deze app toevoegen waarmee u de app een naam kunt geven en identificeren, zodat deze kan worden opgenomen in het Cloud Discovery-dashboard.

Managementrapport voor Cloud Discovery genereren

De beste manier om een overzicht te krijgen van schaduw-IT-gebruik in uw organisatie is door een Cloud Discovery-leidinggevend rapport te genereren. Dit rapport identificeert de belangrijkste potentiële risico's en helpt u bij het plannen van een werkstroom om risico's te beperken en te beheren totdat ze zijn opgelost.

Een managementrapport voor Cloud Discovery genereren:

  1. Selecteer in het Cloud Discovery-dashboard acties in de rechterbovenhoek van het dashboard en kies vervolgens Het managementrapport van Cloud Discovery genereren.

  2. Wijzig desgewenst de naam van het rapport.

  3. Selecteer Genereren.

Entiteiten uitsluiten

Als u systeemgebruikers, IP-adressen of apparaten hebt die luidruchtig maar oninterest zijn of entiteiten die niet moeten worden weergegeven in de Shadow IT-rapporten, kunt u hun gegevens uitsluiten van de Cloud Discovery-gegevens die worden geanalyseerd. U kunt bijvoorbeeld alle informatie die afkomstig is van een lokale host uitsluiten.

Een uitzondering aanmaken:

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  2. Selecteer onder Cloud Discovery het tabblad Entiteiten uitsluiten.

  3. Kies het tabblad Uitgesloten gebruikers, Uitgesloten groepen, Uitgesloten IP-adressen of Uitgesloten apparaten en selecteer de knop +Toevoegen om uw uitsluiting toe te voegen.

  4. Voeg een gebruikersalias, IP-adres of apparaatnaam toe. We raden u aan informatie toe te voegen over waarom de uitsluiting is gemaakt.

    exclude user.

Notitie

Elke entiteitsuitsluiting is van toepassing op zojuist ontvangen gegevens. Historische gegevens van de uitgesloten entiteiten blijven gedurende de bewaarperiode (90 dagen).

Doorlopende rapporten beheren

Met aangepaste doorlopende rapporten beschikt u over meer details bij de controle van de Cloud Discovery-logboekgegevens van uw organisatie. Door aangepaste rapporten te maken, is het mogelijk om te filteren op specifieke geografische locaties, netwerken en sites of organisatie-eenheden. Standaard worden alleen de volgende rapporten in de Cloud Discovery-rapportkiezer weergegeven:

  • Met het algemene rapport worden alle gegevens in de portal samengevoegd uit alle gegevensbronnen die u aan de logboeken hebt toegevoegd. Het globale rapport bevat geen gegevens uit Microsoft Defender voor Eindpunt.

  • In het specifieke gegevensbronrapport worden alleen gegevens voor een specifieke gegevensbron weergegeven.

Ga als volgt te werk om een nieuw doorlopend rapport te maken:

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  2. Selecteer doorlopend rapport onder Cloud Discovery.

  3. Selecteer de knop Rapport maken.

  4. Voer een rapportnaam in.

  5. Selecteer de gegevensbronnen die u wilt opnemen (alle of specifiek).

  6. Stel de gewenste filters in voor de gegevens. Deze filters kunnen gebruikersgroepen, IP-adrestags of IP-adresbereiken zijn. Zie het Engelstalige artikel Organize the data according to your needs (De gegevens organiseren op basis van uw behoeften) voor meer informatie over het werken met IP-adrestags en IP-adresbereiken.

    create custom continuous report.

Notitie

Alle aangepaste rapporten zijn beperkt tot maximaal 1 GB aan niet-gecomprimeerde gegevens. Als er meer dan 1 GB aan gegevens is, wordt de eerste 1 GB aan gegevens geëxporteerd naar het rapport.

Cloud Discovery-gegevens verwijderen

Er zijn een aantal redenen waarom u uw Cloud Discovery- gegevens zou willen verwijderen. In de volgende gevallen is het raadzaam de gegevens te verwijderen:

  • Als u logboekbestanden handmatig heeft geüpload, er veel tijd is verstreken voordat u het systeem met nieuwe logboekbestanden heeft bijgewerkt en u niet wilt dat oude gegevens uw resultaten beïnvloeden.

  • Wanneer u een nieuwe aangepaste gegevensweergave instelt, is deze alleen van toepassing op nieuwe gegevens vanaf dat moment. U kunt dus oude gegevens wissen en vervolgens uw logboekbestanden opnieuw uploaden om de aangepaste gegevensweergave in te schakelen voor het ophalen van gebeurtenissen in de logboekbestandsgegevens.

  • Als veel gebruikers of IP-adressen onlangs weer werken nadat ze enige tijd offline zijn, worden hun activiteiten geïdentificeerd als afwijkend en kunnen er fout-positieve schendingen optreden.

Cloud Discovery-gegevens verwijderen:

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  2. Selecteer onder Cloud Discovery het tabblad Gegevens verwijderen.

    Het is belangrijk om er zeker van te zijn dat u gegevens wilt verwijderen voordat u doorgaat, omdat dit niet ongedaan kan worden gemaakt. Alle Cloud Discovery-gegevens in het systeem worden verwijderd.

  3. Selecteer de knop Verwijderen.

    delete data.

    Notitie

    De verwijdering duurt een paar minuten en is niet direct.

Volgende stappen