Share via

Обнаруженные фильтры и запросы приложений в приложениях Microsoft Defender для облака

  • Статья

Если у вас есть большое количество обнаруженных приложений, будет полезно применить к ним фильтрацию и (или) запросы. В этой статье описывается, какие доступны фильтры и как создать запрос по обнаруженным приложениям.

Фильтры обнаруженных приложений

Существует два способа фильтрации обнаруженных приложений. Базовый фильтр включает фильтры, найденные на этом изображении:

Discovered apps.

При включении расширенных фильтров вы увидите список возможных фильтров, включая следующие:

  • Тег приложения: укажите, было ли приложение санкционировано, было ли его санкционирование отменено или оно не было помечено. Кроме того, можно создать пользовательский тег и использовать его для фильтрации приложений определенных типов.
  • Приложения и домены: позволяет искать определенные приложения или приложения, используемые в определенных доменах.
  • Категории: фильтр категорий, расположенный в левой части страницы, позволяет искать приложения определенных типов в соответствии с их категориями. В качестве примеров категорий можно назвать приложения социальных сетей, приложения облачного хранилища и службы размещения. Вы можете выбрать сразу несколько категорий или только одну категорию и применить к ним базовые и расширенные фильтры.
  • Фактор риска соответствия: позволяет искать приложения по стандартам, сертификатам и требованиям, которым они соответствуют (HIPAA, ISO 27001, SOC 2, PCI-DSS и другие).
  • Общий фактор риска: позволяет выполнять поиск по общим факторам риска, таким как популярность среди пользователей, местонахождение центра обработки данных и многое другое.
  • Оценка риска: позволяет фильтровать приложения по оценке риска, например, сосредоточиться только на самых ненадежных приложениях. Можно также переопределить оценку риска, заданную Defender для облака Apps. Дополнительные сведения: Работа с оценкой рисков.
  • Фактор риска безопасности: позволяет выполнять фильтрацию в соответствии с применяемыми мерами безопасности (такими как шифрование неактивных данных, многофакторная проверка подлинности и т. д.).
  • Использование: позволяет фильтровать таблицу по статистике использования приложения. Использование позволяет выделить приложения, у которых число операций отправки данных или пользователей больше (или меньше) заданного значения.
    • Транзакция: одна строка использования журнала между двумя устройствами.
  • Юридические факторы риска: позволяет выполнять фильтрацию на основе всех нормативных требований и политик, используемых для защиты данных и обеспечения конфиденциальности пользователей приложения. Примерами являются облачные приложения, готовые к GDPR, DMCA и политики хранения данных.

Создание пользовательских тегов приложений и управление ими

Вы можете создавать пользовательские теги приложений. Их можно использовать как фильтры для более глубокого анализа определенных типов приложений. Например, настраиваемый список часов, назначение определенному бизнес-подразделению или пользовательские утверждения, например "утвержденные юридическими". Теги приложений также можно использовать в политиках обнаружения приложений в фильтрах или путем применения тегов к приложениям в рамках действий управления политиками.

Чтобы создать пользовательский тег приложения, выполните указанные ниже действия.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". В разделе Cloud Discovery выберите теги приложений. Затем выберите тег приложения +Addd.

    create custom app tag.

  2. В таблице Теги приложений можно просмотреть, каким приложениям в настоящее время назначен тот или иной тег, а также удалить ненужные теги приложений.

  3. Чтобы применить тег приложения, на вкладке "Обнаруженные приложения " выберите три точки в правом углу имени приложения. Выберите тег приложения, который вы хотите применить.

Примечание.

Вы также можете создать новый тег приложения непосредственно в таблице "Обнаруженные приложения", выбрав "Создать тег приложения" после выбора трех точек справа от любого выбранного приложения. При создании тега из обнаруженных приложений его можно сразу применить к приложению. Вы также можете получить доступ к экрану тегов приложений, выбрав ссылку "Управление тегами" в углу. create custom app tag from app.

Запросы обнаруженных приложений

Чтобы сделать исследование еще проще, можно создать настраиваемые запросы и сохранить их для последующего использования.

  1. На странице Обнаруженные приложения используйте фильтры описанным выше образом, чтобы детализировать приложения по мере необходимости.

  2. После достижения нужных результатов нажмите кнопку "Сохранить как" над фильтрами.

  3. Во всплывающем запустите запрос "Сохранить" и присвойте запросу имя.

    new query.

  4. Чтобы снова воспользоваться этим запросом в будущем, в разделе Запросы прокрутите вниз до пункта Сохраненные запросы и выберите нужный запрос.

    open query.

Defender для облака Приложения также предоставляют вам Предлагаемые запросы и позволяют сохранять пользовательские запросы, которые часто используются. Функция предлагаемых запросов обозначает рекомендуемые направления для анализа, отфильтровывая обнаруженные приложения с помощью следующих необязательных предлагаемых запросов.

  • Облачные приложения, допускающие анонимное использование — фильтрует все обнаруженные приложения, чтобы отображались только те, которые представляют угрозу для безопасности, так как не требуют проверки подлинности и позволяют пользователям отправлять данные.

  • Облачные приложения с сертификацией CSA STAR — фильтрует все обнаруженные приложения, чтобы отображались только те, которые имеют сертификацию CSA STAR, полученную в рамках самостоятельной оценки, сертификации, аттестации или непрерывного мониторинга.

  • Облачные приложения, соответствующие требованиям FedRAMP — фильтрует все обнаруженные приложения, чтобы отображались только те, у которых фактор риска соответствия FedRAMP имеет высокое, среднее или низкое значение.

  • Облачные приложения для хранения данных и совместной работы, являющиеся владельцами пользовательских данных — фильтрует все обнаруженные приложения, чтобы отображались только те, которые являются рискованными, так как хранят ваши данные, но не позволяют вам владеть ими.

  • Облачные приложения для хранения данных, которые являются ненадежными и несоответствующими — фильтрует все обнаруженные приложения, чтобы отображались только те, которые не соответствуют акту HIPAA или SOC 2, не поддерживают версию PCI DSS и имеют оценку риска 5 или ниже.

  • Корпоративные облачные приложения с ненадежной проверкой подлинности — фильтрует все обнаруженные приложения, чтобы отображались только те, которые не поддерживают SAML, не имеют политики паролей и не включают MFA.

  • Корпоративные облачные приложения с ненадежным шифрованием — фильтрует все обнаруженные приложения, чтобы отображались только те, которые являются рискованными, так как не шифруют неактивные данные и не поддерживают протоколов шифрования.

  • Облачные приложения, соответствующие GDPR — фильтрует все обнаруженные приложения, чтобы отображались только те, которые соответствуют GDPR. Так как соответствие GDPR является главным приоритетом, этот запрос помогает легко определять приложения, готовые к GDPR и устраняя угрозы, оценивая риск тех, кто не является.

query discovered apps.

Кроме того, предлагаемые запросы можно использовать в качестве отправной точки для создания запроса. Сначала выберите один из предлагаемых запросов. Затем внесите изменения по мере необходимости и нажмите кнопку "Сохранить как ", чтобы создать новый сохраненный запрос.

Следующие шаги

Создание отчетов о снимках Cloud Discovery

Настройка автоматической отправки журналов для непрерывных отчетов

Работа с данными Cloud Discovery