Praca z odnalezionymi aplikacjami

  • Artykuł

Pulpit nawigacyjny rozwiązania Cloud Discovery został zaprojektowany, aby umożliwiał lepszy wgląd w sposób używania aplikacji w chmurze w organizacji. Zapewnia on błyskawiczny przegląd rodzajów używanych aplikacji, otwartych alertów i poziomów ryzyka aplikacji w organizacji. Przedstawia on również głównych użytkowników aplikacji i udostępnia mapę lokalizacji centrum aplikacji. Pulpit nawigacyjny rozwiązania Cloud Discovery ma wiele opcji filtrowania danych. Filtrowanie umożliwia generowanie określonych widoków w zależności od tego, co najbardziej cię interesuje, korzystając z łatwej do zrozumienia grafiki, aby uzyskać pełny obraz na pierwszy rzut oka. Aby uzyskać więcej informacji, zobacz Odnalezione filtry aplikacji.

cloud discovery dashboard.

Przegląd pulpitu nawigacyjnego rozwiązania Cloud Discovery

Pierwszą czynnością, którą należy wykonać, aby uzyskać ogólny obraz aplikacji rozwiązania Cloud Discovery, zapoznaj się z następującymi informacjami na pulpicie nawigacyjnym rozwiązania Cloud Discovery:

  1. Najpierw zapoznaj się z ogólnym użyciem aplikacji w chmurze w organizacji w przeglądzie wysokiego poziomu użycia.

  2. Następnie zapoznaj się z jednym poziomem bardziej szczegółowo, aby sprawdzić, które kategorie są głównymi kategoriami używanymi w organizacji dla każdego z różnych parametrów użycia. Zobaczysz, ile z tego użycia ma aplikacja zaakceptowana przez zaakceptowane sankcje.

  3. Przejdź jeszcze bardziej szczegółowo i zobacz wszystkie aplikacje w określonej kategorii na karcie Odnalezione aplikacje .

  4. Możesz zobaczyć najlepszych użytkowników i źródłowe adresy IP, aby zidentyfikować użytkowników, którzy są najbardziej dominującymi użytkownikami aplikacji w chmurze w organizacji.

  5. Sprawdź, jak odnalezione aplikacje rozprzestrzeniają się zgodnie z lokalizacją geograficzną (zgodnie z ich siedzibą) na mapie Centrala aplikacji.

  6. Na koniec nie zapomnij przejrzeć oceny ryzyka odnalezionej aplikacji w przeglądzie ryzyka aplikacji. Sprawdź stan alertów odnajdywania, aby zobaczyć, ile otwartych alertów należy zbadać.

Szczegółowe omówienie odnalezionych aplikacji

Jeśli chcesz szczegółowo zapoznać się z danymi zapewniane przez usługę Cloud Discovery, użyj filtrów, aby sprawdzić, które aplikacje są ryzykowne i które są powszechnie używane.

Jeśli na przykład chcesz zidentyfikować często używane ryzykowne aplikacje magazynu w chmurze i współpracy, możesz użyć strony Odnalezione aplikacje, aby filtrować żądane aplikacje. Następnie można je usunąć lub zablokować w następujący sposób:

  1. Na stronie Odnalezione aplikacje w obszarze Przeglądaj według kategorii wybierz pozycję Magazyn w chmurze i Współpraca.

  2. Następnie użyj filtrów Zaawansowanych i ustaw współczynnik ryzyka zgodności na SOC 2 równy Nr.

  3. W obszarze Użycie ustaw wartość Użytkownicy na większą niż 50 użytkowników i transakcje na większą niż 100.

  4. Ustaw współczynnik ryzyka zabezpieczeń dla szyfrowania danych magazynowanych jest równy Nieobsługiwane. Następnie ustaw wskaźnik ryzyka równy 6 lub niższy.

    Discovered app filters.

Po przefiltrowanym działaniu wyników możesz je usunąć i zablokować za pomocą pola wyboru akcji zbiorczej, aby usunąć je wszystkie w jednej akcji. Po ich usunięciu możesz użyć skryptu blokującego, aby zablokować ich używanie w środowisku.

Usługa Cloud Discovery umożliwia jeszcze bardziej szczegółowe omówienie użycia chmury w organizacji. Możesz zidentyfikować określone wystąpienia, które są używane, badając odnalezione poddomeny.

Można na przykład rozróżniać różne witryny programu SharePoint:

Subdomain filter.

Uwaga

Szczegółowe informacje na temat odnalezionych aplikacji są obsługiwane tylko w zaporach i serwerach proxy, które zawierają docelowe dane adresu URL. Aby uzyskać więcej informacji, zobacz Obsługiwane zapory i serwery proxy.

Jeśli Defender dla Chmury Apps nie może pasować do poddomeny wykrytej w dziennikach ruchu z danymi przechowywanymi w katalogu aplikacji, poddomena zostanie oznaczona jako Inna.

Odnajdywanie zasobów i aplikacji niestandardowych

Usługa Cloud Discovery umożliwia również szczegółowe omówienie zasobów IaaS i PaaS. Możesz odnajdywać działania na platformach hostingu zasobów, wyświetlając dostęp do danych w aplikacjach i zasobach hostowanych samodzielnie, w tym na kontach magazynu, infrastrukturze i aplikacjach niestandardowych hostowanych na platformie Azure, platformie Google Cloud Platform i na platformie AWS. Nie tylko widzisz ogólne użycie w rozwiązaniach IaaS, ale możesz uzyskać wgląd w konkretne zasoby hostowane na poszczególnych zasobach i ogólne użycie zasobów, aby zmniejszyć ryzyko na zasób.

Na przykład w usłudze Defender dla Chmury Apps możesz monitorować aktywność, na przykład w przypadku przekazania dużej ilości danych, możesz dowiedzieć się, do jakiego zasobu został przekazany, i przejść do szczegółów, aby zobaczyć, kto wykonał działanie.

Uwaga

Jest to obsługiwane tylko w zaporach i serwerach proxy, które zawierają docelowe dane adresu URL. Aby uzyskać więcej informacji, zobacz listę obsługiwanych urządzeń w temacie Obsługiwane zapory i serwery proxy.

Aby wyświetlić odnalezione zasoby:

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze wybierz pozycję Odnajdywanie w chmurze. Następnie wybierz kartę Odnalezione zasoby .

    Discovered resources menu.

  2. Na stronie Odnaleziony zasób możesz przejść do szczegółów poszczególnych zasobów, aby zobaczyć, jakie rodzaje transakcji wystąpiły, kto do niego uzyskiwał dostęp, a następnie przejść do szczegółów, aby dokładniej zbadać użytkowników.

    Discovery resources.

  3. W przypadku aplikacji niestandardowych możesz wybrać trzy przyciski na końcu wiersza i wybrać pozycję Dodaj nową aplikację niestandardową. Spowoduje to otwarcie okna Dodawanie tej aplikacji , które umożliwia nadanie nazwy i zidentyfikowanie aplikacji, aby można było ją uwzględnić na pulpicie nawigacyjnym rozwiązania Cloud Discovery.

Generowanie raportu wykonawczego rozwiązania Cloud Discovery

Najlepszym sposobem uzyskania przeglądu użycia niezatwierdzonych zasobów IT w całej organizacji jest wygenerowanie raportu wykonawczego rozwiązania Cloud Discovery. Ten raport identyfikuje najważniejsze potencjalne zagrożenia i pomaga zaplanować przepływ pracy w celu ograniczenia ryzyka i zarządzania nimi do momentu ich rozwiązania.

Aby wygenerować raport wykonawczy rozwiązania Cloud Discovery:

  1. Na pulpicie nawigacyjnym rozwiązania Cloud Discovery wybierz pozycję Akcje w prawym górnym rogu pulpitu nawigacyjnego, a następnie wybierz pozycję Generuj raport wykonawczy rozwiązania Cloud Discovery.

  2. Opcjonalnie zmień nazwę raportu.

  3. Wybierz Generuj.

Wykluczanie jednostek

Jeśli masz użytkowników systemu, adresy IP lub urządzenia, które są hałaśliwe, ale nieinteresujące, lub jednostki, które nie powinny być prezentowane w raportach IT w tle, możesz wykluczyć ich dane z analizowanych danych usługi Cloud Discovery. Możesz na przykład wykluczyć wszystkie informacje pochodzące z hosta lokalnego.

Aby utworzyć wykluczenie:

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  2. W obszarze Cloud Discovery wybierz kartę Wyklucz jednostki .

  3. Wybierz kartę Wykluczone użytkownicy, Wykluczone grupy, Wykluczone adresy IP lub Wykluczone urządzenia, a następnie wybierz przycisk +Dodaj, aby dodać wykluczenie.

  4. Dodaj alias użytkownika, adres IP lub nazwę urządzenia. Zalecamy dodanie informacji o tym, dlaczego zostało wykonane wykluczenie.

    exclude user.

Uwaga

Każde wykluczenie jednostki ma zastosowanie do nowo odebranych danych. Historyczne dane wykluczonych jednostek pozostaną w okresie przechowywania (90 dni).

Zarządzanie raportami ciągłymi

Niestandardowe raporty ciągłe zapewniają większą szczegółowość podczas monitorowania danych dziennika w rozwiązaniu Cloud Discovery. Tworząc raporty niestandardowe, można filtrować według określonych lokalizacji geograficznych, sieci i lokacji lub jednostek organizacyjnych. Domyślnie w selektorze raportów rozwiązania Cloud Discovery wyświetlane są tylko następujące raporty:

  • Raport globalny zawiera wszystkie informacje w portalu pochodzące ze wszystkich źródeł danych, które zostały zawarte w dziennikach. Raport globalny nie zawiera danych z Ochrona punktu końcowego w usłudze Microsoft Defender.

  • Raport specyficzny dla źródła danych zawiera tylko informacje z określonego źródła danych.

Aby utworzyć nowy raport ciągły:

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  2. W obszarze Cloud Discovery wybierz pozycję Ciągły raport.

  3. Wybierz przycisk Utwórz raport.

  4. Wprowadź nazwę raportu.

  5. Wybierz źródła danych, które chcesz dołączyć (wszystkie lub tylko określone).

  6. Ustaw filtry, które mają być na danych. Te filtry mogą być grupami użytkowników, tagami adresów IP lub zakresami adresów IP. Aby uzyskać więcej informacji o pracy z tagami i zakresami adresów IP, zobacz Organizowanie danych zgodnie z potrzebami.

    create custom continuous report.

Uwaga

Wszystkie raporty niestandardowe są ograniczone do maksymalnie 1 GB nieskompresowanych danych. Jeśli istnieje więcej niż 1 GB danych, pierwsze 1 GB danych zostanie wyeksportowanych do raportu.

Usuwanie danych rozwiązania Cloud Discovery

Istnieje wiele możliwych powodów, dla których może być konieczne usunięcie danych rozwiązania Cloud Discovery. Zalecamy usuwanie ich w następujących przypadkach:

  • Jeśli ręcznie przekazano pliki dzienników, a następnie zaktualizowano je nowymi plikami dzienników po długim czasie, przez co stare dane mogą wpływać na nowe wyniki, a nie jest to pożądane.

  • Po ustawieniu nowego niestandardowego widoku danych będzie ona stosowana tylko do nowych danych z tego punktu. Dlatego możesz chcieć wymazać stare dane, a następnie ponownie przekazać pliki dziennika, aby umożliwić widokowi danych niestandardowych pobieranie zdarzeń w danych pliku dziennika.

  • Jeśli wielu użytkowników lub adresów IP ostatnio zaczęło działać ponownie po przejściu do trybu offline przez jakiś czas, ich działanie zostanie zidentyfikowane jako nietypowe i może spowodować fałszywe naruszenia dodatnie.

Aby usunąć dane rozwiązania Cloud Discovery:

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  2. W obszarze Cloud Discovery wybierz kartę Usuń dane .

    Przed kontynuowaniem koniecznie upewnij się, że chcesz usunąć dane — tej operacji nie można cofnąć, a usuwane są wszystkie dane rozwiązania Cloud Discovery w systemie.

  3. Wybierz przycisk Usuń.

    delete data.

    Uwaga

    Proces usuwania zajmuje kilka minut i nie jest procesem natychmiastowym.

Następne kroki

Tworzenie raportów migawek usługi Cloud Discovery

Konfigurowanie automatycznego przekazywania dzienników na potrzeby raportów ciągłych

Praca z danymi funkcji Cloud Discovery

Odnajdywanie aplikacji przy użyciu integracji Ochrona punktu końcowego w usłudze Microsoft Defender