BadanieInvestigate

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Po uruchomieniu w środowisku chmury Microsoft Cloud App Security można będzie konieczne przejście etapu nauki i analizowania.After Microsoft Cloud App Security runs in your cloud environment, you'll need a stage of learning and investigating. Dowiedz się lepiej zrozumieć, co się dzieje w Twoim środowisku chmury za pomocą narzędzi Microsoft Cloud App Security.Learn to use the Microsoft Cloud App Security tools to gain a deeper understanding of what's happening in your cloud environment. Na podstawie określonego środowiska i jak jest używany, można zidentyfikować wymagania, aby chronić organizację przed ryzykiem.Based on your particular environment and how it's being used, you can identify the requirements for protecting your organization from risk. W tym artykule opisano sposób wykonywania szczegółowej analizy, lepsze zrozumienie środowiska chmury.This article describes how to do an investigation to get a better understanding of your cloud environment.

Pulpity nawigacyjneDashboards

Poniższe pulpity nawigacyjne pomagają badać aplikacje w środowisku chmury:The following dashboards are available to help you investigate apps in your cloud environment:

Pulpit nawigacyjnyDashboard OpisDescription
Główny pulpit nawigacyjnyMain dashboard Przegląd stanu chmury (użytkowników, plików i działań) oraz wymaganych działań (alertów, naruszeń działań i naruszeń zawartości)Overview of cloud status (users, files, activities) and required actions (alerts, activity violations, and content violations)
Pulpit nawigacyjny aplikacji: ogólneApplication dashboard: overall Przegląd informacji o użyciach aplikacji według lokalizacji, wykresy użycia na liczbę użytkownikówOverview of application usage per location, usage graphs per number of users
Pulpit nawigacyjny aplikacji: szczegółowe informacjeApplication dashboard: insights Analiza danych przechowywanych w aplikacji według typu plików i poziomu udostępniania plikówAnalysis of data stored in the app, broken down by file type and file-sharing level
Pulpit nawigacyjny aplikacji: plikiApplication dashboard: files Przechodzenie do plików. możliwość filtrowania według właściciela, poziomu, udostępniania i uzyskać więcej informacji, wykonaj akcje ładu, takich jak kwarantanny.Drill down into files; ability to filter according to owner, sharing level, and more, Perform governance actions like quarantine.
Pulpit nawigacyjny aplikacji: aplikacje innych firmApplication dashboard: third-party apps Przechodzenie do aplikacji innych firm, które obecnie wdrożona, takich jak usługi G Suite i definiowanie zasad dla nichDrill down into third-party apps currently deployed, like G Suite, and defining policies for them
Pulpit nawigacyjny użytkownikówUser dashboard Pełny przegląd profilu użytkownika w chmurze, łącznie z grupami, lokalizacjami, ostatnimi działaniami, powiązanymi alertami i informacjami o używanych przeglądarkachA complete overview of the user profile in the cloud, including groups, locations, recent activities, related alerts, and browsers used

Tagowanie aplikacji jako oficjalnie zaakceptowanych lub odrzuconychTag apps as sanctioned or unsanctioned

Ważnym krokiem do zrozumienia chmury jest oznaczenie tagami aplikacji jako oficjalnie zaakceptowanych lub odrzuconych.An important step to understanding your cloud is to tag apps as sanctioned or unsanctioned. Po oficjalnym zaakceptowaniu aplikacji można filtrować aplikacje, które nie zostały zaakceptowane, i rozpoczynać ich migrację do oficjalnie zaakceptowanych aplikacji tego samego typu.After you sanction an app, you can filter for apps that aren't sanctioned and start migration to sanctioned apps of the same type.

  • W konsoli usługi Cloud App Security przejdź do katalogu aplikacji lub do odnalezionych aplikacji.In the Cloud App Security console, go to the App catalog or Discovered apps.

  • Na liście aplikacji w wierszu aplikacji, którą chcesz oznaczyć tagami jako oficjalnie zaakceptowaną, wybierz trzy kropki znajdujące się na końcu wiersza Kropki tagowania jako zaakceptowane oficjalnie i wybierz opcję Oznacz jako zaakceptowane oficjalnie.In the list of apps, on the row in which the app you want to tag as sanctioned appears, choose the three dots at the end of the row Tag as sanctioned dots and choose Mark as sanctioned.

    Oznaczanie jako zaakceptowane oficjalnieTag as sanctioned

Korzystanie z narzędzi analitycznychUse the investigation tools

  1. W portalu usługi Cloud App Security przejdź do strony Zbadaj, przejrzyj dziennik aktywności i przefiltruj go według określonej aplikacji.In the Cloud App Security portal, go to Investigate and then look at the Activity log and filter by a specific app. Sprawdź następujące elementy:Check the following items:

    • Kto uzyskuje dostęp do środowiska chmury?Who is accessing your cloud environment?

    • Z jakich zakresów adresów IP?From what IP ranges?

    • Jakie działania wykonuje administrator?What is the admin activity?

    • Z jakich lokalizacji łączą się administratorzy?From what locations are admins connecting?

    • Czy ze środowiskiem chmury łączą się jakieś nieaktualne urządzenia?Are any outdated devices connecting to your cloud environment?

    • Czy próby logowania zakończone niepowodzeniem są wykonywane z oczekiwanych adresów IP?Are failed logins coming from expected IP addresses?

  2. Przejdź do zbadaj i następnie plikii sprawdź następujące elementy:Go to Investigate and then Files, and check the following items:

    • Ile plików jest udostępnianych publicznie tak, że każdy ma do nich dostęp bez linku?How many files are shared publicly so that anyone can access them without a link?

    • Którym partnerom są udostępniane pliki (udostępnianie danych wychodzących)?With which partners are you sharing files (outbound sharing)?

    • Czy jakieś pliki mają poufne nazwy?Do any files have a sensitive name?

    • Czy którekolwiek z tych plików były udostępniane na konto osobiste innego użytkownika?Are any of the files being shared with someone's personal account?

  3. Przejdź do zbadaj i następnie użytkowników i konti sprawdź następujące elementy:Go to Investigate and then Users and accounts, and check the following items:

    • Czy jakieś konta były nieaktywne w konkretnej usłudze przez dłuższy czas?Have any accounts been inactive in a particular service for a long time? Być może można odwołać licencji dla tego użytkownika dla danej usługi.Maybe you can revoke the license for that user to that service.

    • Czy chcesz wiedzieć, którzy użytkownicy pełnią określoną rolę?Do you want to know which users have a specific role?

    • Czy ktoś, kto został zwolniony, ma nadal dostęp do aplikacji i może go wykorzystać do wykradania informacji?Was someone fired but they still have access to an app and can use that access to steal information?

    • Czy chcesz odwołać uprawnienia użytkownika do określonej aplikacji lub zdecydować, że dany użytkownik musi używać uwierzytelniania wieloskładnikowego?Do you want to revoke a user's permission to a specific app or require a specific user to use multi-factor authentication?

    • Możesz przejść na konto użytkownika, klikając trzy kropki na końcu wiersza konta użytkownika i wybierając akcję do wykonania.You can drill down into the user's account by clicking the three dots at the end of the user's account row and selecting an action to take. Wykonania akcji, takich jak Zawieś użytkownika lub Usuń definicje współpracy użytkownika.Take an action such as Suspend user or Remove user's collaborations. Jeśli użytkownik został zaimportowany z usługi Azure Active Directory, możesz również kliknąć ustawienia konta usługi Azure AD uzyskać łatwy dostęp do zaawansowanych użytkownika funkcji zarządzania.If the user was imported from Azure Active Directory, you can also click on Azure AD account settings to get easy access to advanced user management features. Funkcje zarządzania przykłady grupy zarządzania, uwierzytelnianie wieloskładnikowe, szczegóły dotyczące użytkownika logowania i możliwość blokowania logowania.Examples of management features include group management, MFA, details about the user's sign ins, and the ability to block sign in.

  4. Przejdź do zbadaj, a następnie połączone aplikacje następnie wybierz aplikację.Go to Investigate, followed by Connected apps then select an app. Zostanie otwarty pulpit nawigacyjny aplikacji z informacjami i szczegółowymi danymi.The app dashboard opens and gives you information and insights. Do sprawdzenia, można użyć kart u góry:You can use the tabs across the top to check:

    • Jakiego rodzaju urządzeń użytkownicy używają do łączenia się z aplikacją?What kind of devices are your users using to connect to the app?

    • Jakiego typu pliki są zapisywane w chmurze?What types of files are they saving in the cloud?

    • Jakie działanie jest aktualnie wykonywane w aplikacji?What activity is happening in the app right now?

    • Czy ze środowiskiem są połączone jakiekolwiek aplikacje innych firm?Are there any connected third-party apps to your environment?

    • Czy znasz te aplikacje?Are you familiar with these apps?

    • Czy są one autoryzowane na poziomie dostępu, których są one dozwolone?Are they authorized for the level of access they're permitted?

    • Ilu użytkowników je wdrożyło?How many users have deployed them? Jak często spotykane są te aplikacje?How common are these apps in general?

    Pulpit nawigacyjny aplikacjiApp dashboard

  5. Przejdź do pulpit nawigacyjny rozwiązania Cloud Discovery i sprawdź następujące elementy:Go to the Cloud Discovery dashboard and check the following items:

    • Jakie aplikacje w chmurze są używane, w jakim stopniu i przez użytkowników?What cloud apps are being used, to what extent, and by which users?

    • Do jakich celów są one wykorzystywane?For what purposes are they being used?

    • Jak dużo danych jest przekazywanych do tych aplikacji w chmurze?How much data is being uploaded to these cloud apps?

    • W których kategoriach istnieją oficjalnie zaakceptowane aplikacje w chmurze i czy mimo to są używane rozwiązania alternatywne?In which categories do you have sanctioned cloud apps, and yet, users are using alternative solutions?

    • Czy w przypadku tych rozwiązań alternatywnych istnieją aplikacje w chmurze, które mają być oficjalnie odrzucone w organizacji?For the alternative solutions, do you want to unsanction any cloud apps in your organization?

    • Czy istnieją aplikacje, które są używane, ale nie są zgodne z zasadami organizacji?Are there cloud apps that are used but not in compliance with your organization’s policy?

Przykładowa analizaSample investigation

Załóżmy, że do środowiska chmury nie mają dostępu żadne ryzykowne adresy IP.Let's say that you assume you don't have any access to your cloud environment by risky IP addresses. Na przykład załóżmy, że sieci Tor.As an example, let's say Tor. Jednak dla pewności tworzysz zasady dotyczące ryzykownych adresów IP:But you create a policy for risk IPs just to make sure:

  1. W portalu, przejdź do kontroli i wybierz polecenie szablony.In the portal, go to Control and choose Templates.

  2. Wybierz zasady dotyczące działań dla typu.Choose the Activity policy for the Type.

  3. Na koniec logowanie z ryzykownego adresu IP wiersz, wybierz znak plus (+) do tworzenia nowych zasad.At the end of the Logon from a risky IP address row, choose the plus sign (+) to create a new policy.

  4. Zmień nazwę zasad, więc można go zidentyfikować.Change the policy name so you can identify it.

  5. W obszarze działania dopasowane do wszystkich następujących, wybierz + Aby dodać filtr.Under Activities matching all of the following, choose + to add a filter. Przewiń w dół do tag adresu IP, a następnie wybierz Tor.Scroll down to IP tag, and then choose Tor.

    Przykładowe zasady ryzykownych adresów IPExample policy for risky IPs

Teraz, po utworzeniu zasad, z zaskoczeniem zauważasz, że wygenerowany został alert informujący o naruszeniu zasad.Now that you have the policy in place, you're surprised to see that you get an alert that the policy was violated.

  1. Przejdź na stronę Alerty i wyświetl alert o naruszeniu zasad.Go to the Alerts page and view the alert about the policy violation.

  2. Jeśli wygląda na prawdziwe naruszenie, należy zredukować ryzyko lub jego rozwiązania.If you see that it looks like a real violation, you want to contain risk or remediate it.

    Aby zredukować ryzyko, można wysłać do użytkownika powiadomienie z pytaniem o to, czy naruszenie było zamierzone i czy użytkownik był świadomy naruszenia.To contain risk, you can send the user a notification to ask if the violation was intentional and if the user was aware of it.

    Można także zapoznać się ze szczegółami alertu i zawiesić użytkownika do czasu ustalenia zakresu koniecznych działań.You can also drill down into the alert and suspend the user until you can figure out what needs to be done.

  3. Jeśli jest to dozwolone zdarzenie, które prawdopodobnie nie będzie się powtarzać, można odrzucić alert.If it's an allowed event that isn't likely to recur, you can dismiss the alert.

    Jeśli jest to zdarzenie dozwolone, które będzie się powtarzać, można zmienić zasady tak, aby w przyszłości tego typu zdarzenia nie były uznawane za naruszenia.If it's allowed and you expect it to recur, you can change the policy so that this type of event won't be considered a violation in the future.

Następne krokiNext steps

Aby dowiedzieć się, jak kontrolować aplikację w chmurze organizacji, zobacz Ochrona.To learn how to control your organization's cloud app, see Control.

Klienci wersji Premium mogą również utworzyć nowe żądanie pomocy technicznej bezpośrednio w portalu Premium. .Premier customers can also create a new support request directly in the Premier Portal..