Werken met detectiegegevens

Notitie

  • De naam van Microsoft Cloud App Security is gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken werken we de schermafbeeldingen en instructies hier en op gerelateerde pagina's bij. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

  • Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender-services toe. Microsoft 365 Defender is de thuisbasis voor het bewaken en beheren van beveiliging in uw Microsoft-identiteiten, gegevens, apparaten, apps en infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.

Met het Cloud Discovery-dashboard hebt u meer inzicht in de manier waarop cloud-apps in uw organisatie worden gebruikt. Met het dashboard kunt u in één oogopslag een overzicht bekijken van de apps die worden gebruikt, uw openstaande waarschuwingen en de risiconiveaus van de apps in uw organisatie. Daarnaast kunt u zien wie de belangrijkste gebruikers in uw organisatie zijn en wordt een app-hoofdkantoorkaart weergegeven. Het Cloud Discovery-dashboard bevat veel opties voor het filteren van de gegevens. Met filteren kunt u specifieke weergaven genereren, afhankelijk van wat u het meest geïnteresseerd bent in het gebruik van eenvoudig te begrijpen afbeeldingen, zodat u in één oogopslag de volledige afbeelding krijgt.

cloud discovery dashboard.

Het Cloud Discovery-dashboard bekijken

Het eerste wat u moet doen om een algemeen beeld te krijgen van uw Cloud Discovery-apps, is het bekijken van de volgende informatie in het Cloud Discovery-dashboard:

  1. Bekijk eerst het totale gebruik van cloud-apps in uw organisatie in het overzicht van gebruik op hoog niveau.

  2. Duik vervolgens één niveau dieper om te zien welke de belangrijkste categorieën zijn die in uw organisatie worden gebruikt voor elk van de verschillende gebruiksparameters. U kunt zien hoeveel van dit gebruik is door apps goedkeuren.

  3. Ga nog dieper en bekijk alle apps in een specifieke categorie op het tabblad Gedetecteerde apps .

  4. U kunt de belangrijkste gebruikers en bron-IP-adressen zien om te bepalen welke gebruikers de meest dominante gebruikers van cloud-apps in uw organisatie zijn.

  5. Controleer hoe de gedetecteerde apps zich verspreiden op basis van de geografische locatie (op basis van hun HQ) in de kaart van het app-hoofdkantoor.

  6. Vergeet ten slotte niet om de risicoscore van de gedetecteerde app te bekijken in het overzicht van app-risico's. Controleer de status van detectiewaarschuwingen om te zien hoeveel geopende waarschuwingen u moet onderzoeken.

Entiteiten uitsluiten

Als u systeemgebruikers, IP-adressen of apparaten hebt die luidruchtig maar oninteresserend zijn of apps die niet relevant zijn, wilt u mogelijk hun gegevens uitsluiten van de Cloud Discovery-gegevens die worden geanalyseerd. U zou bijvoorbeeld alle gegevens kunnen uitsluiten die afkomstig zijn van 127.0.0.1 of de lokale host.

Een uitzondering aanmaken:

  1. Selecteer in de portal onder het pictogram Instellingen Instellingen voor Cloud Discovery.

  2. Klik op het tabblad Entiteiten uitsluiten.

  3. Kies het tabblad Uitgesloten gebruikers, Uitgesloten IP-adressen of Uitgesloten apparaten en klik op de knop + om uw uitsluiting toe te voegen.

  4. Voeg een gebruikersalias, IP-adres of apparaatnaam toe. We raden u aan informatie toe te voegen over waarom de uitsluiting is gemaakt.

    exclude user.

Doorlopende rapporten beheren

Met aangepaste doorlopende rapporten beschikt u over meer details bij de controle van de Cloud Discovery-logboekgegevens van uw organisatie. Door aangepaste rapporten te maken, is het mogelijk om te filteren op specifieke geografische locaties, netwerken en sites of organisatie-eenheden. Standaard worden alleen de volgende rapporten in de Cloud Discovery-rapportkiezer weergegeven:

  • Met het algemene rapport worden alle gegevens in de portal samengevoegd uit alle gegevensbronnen die u aan de logboeken hebt toegevoegd. Het globale rapport bevat geen gegevens uit Microsoft Defender voor Eindpunt.

  • In het specifieke gegevensbronrapport worden alleen gegevens voor een specifieke gegevensbron weergegeven.

Ga als volgt te werk om een nieuw doorlopend rapport te maken:

  1. Selecteer in de portal onder het pictogram Instellingen Instellingen voor Cloud Discovery.

  2. Klik op het tabblad Doorlopend rapport .

  3. Klik op de knop Rapport maken .

  4. Voer een rapportnaam in.

  5. Selecteer de gegevensbronnen die u wilt opnemen (alle of specifiek).

  6. Stel de gewenste filters in voor de gegevens. Deze filters kunnen gebruikersgroepen, IP-adrestags of IP-adresbereiken zijn. Zie het Engelstalige artikel Organize the data according to your needs (De gegevens organiseren op basis van uw behoeften) voor meer informatie over het werken met IP-adrestags en IP-adresbereiken.

    create custom continuous report.

Notitie

Alle aangepaste rapporten zijn beperkt tot maximaal 1 GB niet-gecomprimeerde gegevens. Als er meer dan 1 GB aan gegevens is, wordt de eerste 1 GB aan gegevens geëxporteerd naar het rapport.

Cloud Discovery-gegevens verwijderen

Er zijn een aantal redenen waarom u uw Cloud Discovery- gegevens zou willen verwijderen. In de volgende gevallen is het raadzaam de gegevens te verwijderen:

  • Als u logboekbestanden handmatig heeft geüpload, er veel tijd is verstreken voordat u het systeem met nieuwe logboekbestanden heeft bijgewerkt en u niet wilt dat oude gegevens uw resultaten beïnvloeden.

  • Wanneer u een nieuwe aangepaste gegevensweergave instelt, is deze alleen van toepassing op nieuwe gegevens vanaf dat moment. U kunt dus oude gegevens wissen en vervolgens uw logboekbestanden opnieuw uploaden om de aangepaste gegevensweergave in te schakelen voor het ophalen van gebeurtenissen in de logboekbestandsgegevens.

  • Als veel gebruikers of IP-adressen onlangs weer begonnen te werken nadat ze enige tijd offline zijn geweest, worden hun activiteiten geïdentificeerd als afwijkend en kunnen er fout-positieve schendingen optreden.

Cloud Discovery-gegevens verwijderen:

  1. Selecteer in de portal onder het pictogram Instellingen Instellingen voor Cloud Discovery.

  2. Klik op het tabblad Gegevens verwijderen.

    Het is belangrijk om er zeker van te zijn dat u gegevens wilt verwijderen voordat u doorgaat, omdat dit niet ongedaan kan worden gemaakt. Alle Cloud Discovery-gegevens in het systeem worden verwijderd.

  3. Klik op de knop Verwijderen.

    delete data.

    Notitie

    De verwijdering duurt een paar minuten en is niet direct.

Volgende stappen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.