BadanieInvestigate

Po uruchomieniu usługi Cloud App Security w środowisku chmury będzie konieczne przejście etapu nauki i analizowania narzędzi usługi Cloud App Security, aby lepiej zrozumieć, co się dzieje w środowisku chmury.After Cloud App Security runs in your cloud environment, you'll need a stage of learning and investigating how to use the tools in Cloud App Security to gain a deeper understanding of what's happening in your cloud environment. Następnie można będzie zidentyfikować wymagania dotyczące określonego środowiska i sposobów jego używania, które trzeba spełnić, aby chronić organizację przed ryzykiem.Then, based on your particular environment and how it's being used, you can identify the requirements for protecting your organization from risk.

W tym temacie opisano sposoby przeprowadzania szczegółowej analizy, która pozwoli lepiej zrozumieć to, co się dzieje w środowisku chmury.This topic describes how to perform an investigation to get a better understanding of your cloud environment.

Pulpity nawigacyjneDashboards

Poniższe pulpity nawigacyjne pomagają badać aplikacje w środowisku chmury:The following dashboards are available to help you investigate apps in your cloud environment:

Pulpit nawigacyjnyDashboard OpisDescription
Główny pulpit nawigacyjnyMain dashboard Przegląd stanu chmury (użytkowników, plików i działań) oraz wymaganych działań (alertów, naruszeń działań i naruszeń zawartości)Overview of cloud status (users, files, activities) and required actions (alerts, activity violations and content violations)
Pulpit nawigacyjny aplikacji: ogólneApplication dashboard: overall Przegląd informacji o użyciach aplikacji według lokalizacji, wykresy użycia na liczbę użytkownikówOverview of application usage per location, usage graphs per number of users
Pulpit nawigacyjny aplikacji: szczegółowe informacjeApplication dashboard: insights Analiza danych przechowywanych w aplikacji według typu plików i poziomu udostępniania plikówAnalysis of data stored in the app, broken down by file type and file-sharing level
Pulpit nawigacyjny aplikacji: plikiApplication dashboard: files Szczegóły dotyczące plików, możliwość filtrowania według właściciela, poziomu udostępniania itp., a także możliwość wykonywania akcji nadzoru (takich jak kwarantanny)Drill-down into files; ability to filter according to owner, sharing level, etc., as well as perform governance actions (like quarantine)
Pulpit nawigacyjny aplikacji: aplikacje innych firmApplication dashboard: third-party apps Szczegółowe informacje o obecnie wdrożonych aplikacjach innych firm, takich jak aplikacje pakietu G Suite, i możliwość definiowania dla nich zasadDrill-down into third-party apps currently deployed, like G Suite, and defining policies for them
Pulpit nawigacyjny użytkownikówUser dashboard Pełny przegląd profilu użytkownika w chmurze, łącznie z grupami, lokalizacjami, ostatnimi działaniami, powiązanymi alertami i informacjami o używanych przeglądarkachA complete overview of the user profile in the cloud, including groups, locations, recent activities, related alerts, and browsers used

Tagowanie aplikacji jako oficjalnie zaakceptowanych lub odrzuconychTag apps as sanctioned or unsanctioned

Ważnym krokiem do zrozumienia chmury jest oznaczenie tagami aplikacji jako oficjalnie zaakceptowanych lub odrzuconych.An important step to understanding your cloud is to tag apps as sanctioned or unsanctioned. Po oficjalnym zaakceptowaniu aplikacji można filtrować aplikacje, które nie zostały zaakceptowane, i rozpoczynać ich migrację do oficjalnie zaakceptowanych aplikacji tego samego typu.After you sanction an app, you can filter for apps that aren't sanctioned and start migration to sanctioned apps of the same type.

  • W konsoli usługi Cloud App Security przejdź do katalogu aplikacji lub do odnalezionych aplikacji.In the Cloud App Security console, go to the App catalog or Discovered apps.

  • Na liście aplikacji w wierszu aplikacji, którą chcesz oznaczyć tagami jako oficjalnie zaakceptowaną, wybierz trzy kropki znajdujące się na końcu wiersza Kropki tagowania jako zaakceptowane oficjalnie i wybierz opcję Oznacz jako zaakceptowane oficjalnie.In the list of apps, on the row in which the app you want to tag as sanctioned appears, choose the three dots at the end of the row Tag as sanctioned dots and choose Mark as sanctioned.

    Oznaczanie jako zaakceptowane oficjalnieTag as sanctioned

Korzystanie z narzędzi analitycznychUse the investigation tools

  1. W portalu usługi Cloud App Security przejdź do strony Zbadaj, przejrzyj dziennik aktywności i przefiltruj go według określonej aplikacji.In the Cloud App Security portal, go to Investigate and then look at the Activity log and filter by a specific app. Sprawdź następujące informacje:Check the following:

    • Kto uzyskuje dostęp do środowiska chmury?Who is accessing your cloud environment?

    • Z jakich zakresów adresów IP?From what IP ranges?

    • Jakie działania wykonuje administrator?What is the admin activity?

    • Z jakich lokalizacji łączą się administratorzy?From what locations are admins connecting?

    • Czy ze środowiskiem chmury łączą się jakieś nieaktualne urządzenia?Are any outdated devices connecting to your cloud environment?

    • Czy próby logowania zakończone niepowodzeniem są wykonywane z oczekiwanych adresów IP?Are failed logins coming from expected IP addresses?

  2. Przejdź do strony Zbadaj, a następnie kliknij pozycję Pliki i sprawdź następujące informacje:Go to Investigate and then Files, and check the following:

    • Ile plików jest udostępnianych publicznie tak, że każdy ma do nich dostęp bez linku?How many files are shared publicly so that anyone can access them without a link?

    • Którym partnerom są udostępniane pliki (udostępnianie danych wychodzących)?With which partners are you sharing files (outbound sharing)?

    • Czy jakieś pliki mają poufne nazwy?Do any files have a sensitive name?

    • Czy którekolwiek z tych plików były udostępniane na konto osobiste innego użytkownika?Are any of the files being shared with someone's personal account?

  3. Przejdź do strony Zbadaj, a następnie kliknij pozycję Konta i sprawdź następujące informacje:Go to Investigate and then Accounts, and check the following:

    • Czy jakieś konta były nieaktywne w konkretnej usłudze przez dłuższy czas?Have any accounts been inactive in a particular service for a long time? (Może możesz odebrać licencję na tę usługę temu użytkownikowi?)(Maybe you can revoke the license for that user to that service?)

    • Czy chcesz wiedzieć, którzy użytkownicy pełnią określoną rolę?Do you want to know which users have a specific role?

    • Czy ktoś, kto został zwolniony, ma nadal dostęp do aplikacji i może go wykorzystać do wykradania informacji?Was someone fired but they still have access to an app and can use that access to steal information?

    • Czy chcesz odwołać uprawnienia użytkownika do określonej aplikacji lub zdecydować, że dany użytkownik musi wykonywać uwierzytelnianie wieloskładnikowe?Do you want to revoke a user's permission to a specific app or require a specific user to perform multi-factor authentication?

    • Możesz także przejść do szczegółów konta użytkownika, klikając koło zębate na końcu wiersza konta użytkownika i wybierając akcję do wykonania, taką jak Wstrzymaj użytkownika lub Usuń definicje współpracy użytkownika.You can also drill down into the user's account by clicking the cog at the end of the user's account row and selecting an action to take, such as Suspend user or Remove user's collaborations. Jeśli użytkownik został zaimportowany z usługi Azure Active Directory, możesz również kliknąć opcję Ustawienia konta usługi Azure AD, aby uzyskać łatwy dostęp do zaawansowanych funkcji zarządzania użytkownikami, takich jak grupy zarządzania, uwierzytelnianie wieloskładnikowe, szczegóły dotyczące logowania użytkownika i możliwość blokowania logowania.If the user was imported from Azure Active Directory, you can also click on Azure AD account settings to get easy access to advanced user management features like group management, MFA, details about the user's sign ins and the ability to block sign in.

  4. Przejdź do strony Zbadaj, a następnie wybierz aplikację.Go to Investigate and then select an app. Zostanie otwarty pulpit nawigacyjny aplikacji z informacjami i szczegółowymi danymi.The app dashboard opens and gives you information and insights. Możesz użyć kart u góry, aby sprawdzić następujące informacje:You can use the tabs across the top to check the following:

    Pulpit nawigacyjny aplikacjiApp dashboard

    • Jakiego rodzaju urządzeń użytkownicy używają do łączenia się z aplikacją?What kind of devices are your users using to connect to the app?

    • Jakiego typu pliki są zapisywane w chmurze?What types of files are they saving in the cloud?

    • Jakie działanie jest aktualnie wykonywane w aplikacji?What activity is happening in the app right now?

    • Czy ze środowiskiem są połączone jakiekolwiek aplikacje innych firm?Are there any connected third-party apps to your environment?

    • Czy znasz te aplikacje?Are you familiar with these apps?

    • Czy są one autoryzowane na poziomie dostępu, który jest dla nich dozwolony?Are they authorized for the level of access they are permitted to?

    • Ilu użytkowników je wdrożyło?How many users have deployed them? Jak często spotykane są te aplikacje?How common are these apps in general?

  5. Przejdź do pulpitu nawigacyjnego odnajdywania w chmurze i sprawdź następujące informacje:Go to the Cloud Discovery dashboard and check the following:

    • Jakie aplikacje w chmurze są używane, w jakim stopniu i przez kogo?What cloud apps are being used, to what extent, and by whom?

    • Do jakich celów są one wykorzystywane?For what purposes are they being used?

    • Jak dużo danych jest przekazywanych do tych aplikacji w chmurze?How much data is being uploaded to these cloud apps?

    • W których kategoriach istnieją oficjalnie zaakceptowane aplikacje w chmurze i czy mimo to są używane rozwiązania alternatywne?In which categories do you have sanctioned cloud apps, and yet, users are using alternative solutions?

    • Czy w przypadku tych rozwiązań alternatywnych istnieją aplikacje w chmurze, które mają być oficjalnie odrzucone w organizacji?For the alternative solutions, do you want to unsanction any cloud apps in your organization?

    • Czy istnieją aplikacje, które są używane, ale nie są zgodne z zasadami organizacji?Are there cloud apps that are used but not in compliance with your organization’s policy?

Używanie raportów do badania ryzykaUse reports to investigate risk

Podczas prób zapanowania nad środowiskiem chmury przyjmujesz pewne założenia, które opierają się na oczekiwaniach dotyczących tego, co można w niej znaleźć, ponieważ jeszcze nie znasz używanej chmury.When you start trying to gain control over your cloud environment, you make certain assumptions based on what you expect to find — you don't really know your cloud yet. Na podstawie tych założeń są tworzone zasady.Based on these assumptions, you create policies.

Po uruchomieniu usługi Cloud App Security w swoim środowisku chmury używasz wbudowanych raportów (i raportów niestandardowych) do sprawdzania, co się dzieje w chmurze.After Cloud App Security runs on your cloud environment, you use the built-in reports (and custom reports) to see what's going on in your cloud. Na tej podstawie ponownie dostosowujesz swoje zasady, uwzględniając w nich wyjątki, tak aby ostatecznie Twoje zasady wychwytywały niewielką liczbę wyników fałszywie dodatnich.Based on this, you adjust your policies again to include exceptions so that eventually your policy catches very few false positives.

Wbudowane raporty zawierają zagregowane widoki przydatne podczas analiz.Built-in reports offer you aggregated views for investigation. Aby rozpocząć pracę z wbudowanymi raportami, przejdź do strony Zbadaj, a następnie kliknij pozycję Raporty wbudowane.To work with built-in reports, go to Investigate and then Built-in reports. Aby uzyskać więcej informacji o różnych raportach wbudowanych, zapoznaj się z dokumentacją raportów wbudowanych.For more information about the different built-in reports, see the Built-in report reference.

Przykładowa analizaSample investigation

Załóżmy, że do środowiska chmury nie mają dostępu żadne ryzykowne adresy IP (na przykład anonimowe serwery proxy i Tor).Let's say that you assume you don't have any access to your cloud environment by risky IP addresses (for example, anonymous proxies and Tor). Jednak dla pewności tworzysz zasady dotyczące ryzykownych adresów IP:But you create a policy for risk IPs just to make sure:

  1. W portalu przejdź do strony Kontrola i wybierz pozycję Zasady.In the portal, go to Control and choose Policies.

  2. W Centrum zasad wybierz kartę Szablony.In the Policy center, choose the Templates tab.

  3. Na końcu wiersza Logowanie użytkownika z adresu IP bez kategorii wybierz znak plus (+), aby utworzyć nowe zasady.At the end of the User logon from a non-categorized IP address row, choose the plus sign (+) to create a new policy.

  4. Zmień nazwę zasad tak, aby można było je zidentyfikować.Change the policy name so you'll be able to identify this policy.

  5. W obszarze Filtry działań wybierz znak +, aby dodać filtr.Under Activity filters, choose + to add a filter. Przewiń w dół do pola Tag adresu IP, a następnie wybierz wartości Anonimowe i Tor.Scroll down to IP tag, and then choose Anonymous and Tor.

    Przykładowe zasady ryzykownych adresów IPExample policy for risky IPs

Teraz, po utworzeniu zasad, z zaskoczeniem zauważasz, że wygenerowany został alert informujący o naruszeniu zasad.Now that you have the policy in place, you're surprised to see that you get an alert that the policy was violated.

  1. Przejdź na stronę Alerty i wyświetl alert o naruszeniu zasad.Go to the Alerts page and view the alert about the policy violation.

  2. Jeśli naruszenie wygląda na prawdziwe, należy zredukować ryzyko lub wprowadzić korektę.If you see that it looks like a real violation, you want to contain risk or remediate.

    Aby zredukować ryzyko, można wysłać do użytkownika powiadomienie z pytaniem o to, czy naruszenie było zamierzone i czy użytkownik był świadomy naruszenia.To contain risk, you can send the user a notification to ask if the violation was intentional and if the user was aware of it.

    Można także zapoznać się ze szczegółami alertu i zawiesić użytkownika do czasu ustalenia zakresu koniecznych działań.You can also drill down into the alert and suspend the user until you can figure out what needs to be done.

  3. Jeśli jest to dozwolone zdarzenie, które prawdopodobnie nie będzie się powtarzać, można odrzucić alert.If it's an allowed event that isn't likely to recur, you can dismiss the alert.

    Jeśli jest to zdarzenie dozwolone, które będzie się powtarzać, można zmienić zasady tak, aby w przyszłości tego typu zdarzenia nie były uznawane za naruszenia.If it's allowed and you expect it to recur, you can change the policy so that this type of event won't be considered a violation in the future.

Zobacz teżSee also

Aby dowiedzieć się, jak kontrolować aplikację w chmurze organizacji, zobacz Ochrona.To learn how to control your organization's cloud app, see Control.

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier portal.