查找云应用并计算风险分数
Microsoft Defender for Cloud Apps Cloud 应用目录页面包含超过 31,000 个可发现的云应用。 Defender for Cloud Apps 发现能针对可发现的云应用进行流量日志分析,以便持续了解云使用情况、影子 IT 以及组织遇到的风险。 使用云应用目录,可以识别出适合组织安全要求的应用。
例如:
在云应用目录中,应用的评分是以 90 多个风险因素作为依据。 本文介绍如何识别目录涵盖的应用,以及如何使用并自定义云应用风险分数。
提示
默认情况下,Defender for Cloud Apps 无法发现不在目录中的应用。 要查看当前未收录应用的 Defender for Cloud Apps 数据,建议检查路线图、建议收录新应用或创建自定义应用。
风险评分过程
云应用目录根据规章认证、行业标准和最佳实践对云应用的风险进行评分。 分数代表 Defender for Cloud Apps 该应用的企业使用成熟度评估。
应用的总分由以下风险类别的子分数加权平均而得,这些风险类别同时也影响着Defender for Cloud Apps 对可靠性的评估:
| 风险类别 | 说明 |
|---|---|
| 常规 | 生产应用的公司的基本情况,包括域、成立年份和受欢迎程度。 这些字段旨在在最基本层面上显示公司的稳定性。 |
| 安全性 | 涵盖所有发现应用所使用数据的安全性判断标准,包括多重身份验证、加密、数据分类和数据所有权等字段。 |
| 合规性 | 涵盖由生成应用的公司采用的常见最佳实践合规性标准。 规范列表包括诸如 HIPAA、CSA 和 PCI-DSS 等标准。 |
| 法律信息 | 涵盖所有现有的法规和策略,以确应用数据和用户隐私受到保护,例如GDPR、DMCA 和数据保留策略。 |
每个子分数包含了更多属性。 每个属性接收介于 0 和 10 之间的基本分数,具体取决于值。
- True/False值分别对应 10 或 0。
- 连续属性(如域名年龄)接收范围内的某些值。
每个属性的分数针对类别中所有其他现有字段进行加权,以创建类别的子分数。 如果遇到未评分的应用,它通常指示其属性未知,因此未评分。
风险分数使用以下源进行更新:
- 云应用自动提取的数据,用于SOC 2 合规性、服务条款、登录 URL、隐私策略和 HQ 位置等属性。
- 使用高级 Defender for Cloud App 算法自动提取的数据,用于 HTTP 安全标头等属性。
- Defender for Cloud Apps 分析团队的持续分析,用于静态加密等属性)。
- 客户请求更改云应用目录。 所有请求都由云分析师团队根据情况进行审阅和更新。 有关详细信息,请参阅 请求风险分数更新。
风险评分的计划更改
Microsoft Defender for Cloud Apps 正在对云应用目录进行一些更改,以提高应用风险评分。
更改包括:
- 从目录中删除以下无关和冗余的指示器:
- 消费者受欢迎度索引
- 安全港
- 杰里科论坛十诫
- 心出血修补
- 抵御 DROWN 攻击
- ISO 27002
- PCI-DSS 指示器的以下值:1、2、3、3.1 和 3.2
- 从默认分数计算中删除以下指示器。 这些指标将继续显示在目录中,可以通过配置评分指标包含在评分计算中:
- 成立时间
- Holding
- 域注册
- FedRAMP 级别
- FISMA
由于上面详细介绍了这些更改:
- 如果已基于应用总分数或任何已删除的指示器创建了发现策略,则某些应用的风险分数可能会更改,并且可能会触发新的警报。
- 将禁用基于已删除指示器创建的任何现有策略。
我们计划从 2024 年晚些时候开始逐步推出对云应用目录的更改。 建议查看现有策略并对其进行修改或根据需要创建新策略。
确认云应用安全风险
检查云应用目录,确保组织使用的应用符合组织的安全要求。 例如,你可能希望定期确认组织使用中的 CRM 应用已足够安全。 在这种情况下,可以使用以下步骤来标识应用:
登录到 Microsoft Defender XDR,选择“云应用”>“云应用目录”。
在“按类别浏览”列表中,选择“CRM”。 可以根据需要使用搜索框查找类别。
选择“高级筛选器”切换开关,以配置以下高级筛选器:
合规性风险因素>SOC 2>等于“是”>
- 合规性风险因素>ISO 27001>等于“是”>
- 安全风险因素>静态数据加密方法>不等于>“不支持”,NA
- 安全风险因素>管理员审核线索>等于“是”>
- 安全风险因素>用户审核线索>等于“是”>
例如:
查看网格中筛选出的应用,并检查使用中应用是否具有适当的组织风险分数。 选择一个应用以查看更多详细信息。
建议在对应用评分时,查看风险因素和风险类别的权重。 在展开的应用详细信息中,向下滚动并悬停在风险因素名称旁边的“i”按钮,以了解详细信息。 例如:
自定义风险评分
默认情况下,参与计算的所有参数具有相等的权重。 如果某些参数对组织的重要性更高或更低,请按照需要修改。
例如:
登录到 Microsoft Defender XDR 并选择“设置”>“云应用”>“Cloud Discovery”>“分数指标”。
滑动字段或风险类别的“重要性”滑块,以更改字段或风险类别的权重。 重要性可设置为“忽略”、“低”、“中”、“高”或“非常高”。
选择“N/A 值”复选框,以定义某个值在分数计算中是否为不可用或不适用。 当包括时,N/A 值对计算所得的分数的贡献为负。
替代风险评分
你可能希望替代某个应用的风险评分而不更改权重,以便立即为组织获取结果。 例如,如果你的应用风险评分为 8,但应用已得到组织的批准和支持,这时你可能想要只将该应用的风险评分更改为 10。
替代特定应用的风险评分:
登录到 Microsoft Defender XDR。 在“Cloud discovery””或“云应用目录”页中找到替代的应用。
选择三点菜单,然后选择“替代应用分数”。
在“替代评分”对话框中,选择要应用的风险评分,然后选择“保存”。
添加含有业务理由详细信息“App note”以向其他管理员说明变化的原因。
请求风险分数更新
你可能想要请求 Defender for Cloud Apps 安全分析团队审核新的风险因素、分数更新或过期的应用数据。
请求更改风险评分:
登录到 Microsoft Defender XDR,选择“云应用”>“云应用目录”,找到要更新的应用。
在“云应用目录”页你想要更新的应用行中,选择行末尾的三个点并选择“请求分数更新”。 例如:
在“建议改进”弹出窗口中,选择要请求分数更新、建议新的风险因素还是更新应用数据。
我们建议选择“允许与我联系”选项,可以在分析完成后收到通知,或为团队提供更多信息。
建议更改云应用目录
如果在环境中发现未经 Defender for Cloud Apps 评分的新应用,可以请求对该应用进行评审。 此外,还可以请求对新的风险因素、分数更新或过期的应用数据进行评审。
建议一个新应用:
在“Cloud Discovery””页上的“发现的应用”选项卡上,选择“操作”,然后选择“建议新应用”。
在“推荐新的云应用”弹出窗口中,填写有关新的云应用的详细信息。 包括名称和应用域。
建议选择复选框,以便在需要提供有关应用的其他信息时 Cloud App Security 分析师可以与你联系。
支持的筛选器和类别
“云应用目录”页面顶部列出的下拉菜单里有基本筛选器。 要使用高级筛选器,请打开右上角的“高级筛选器。
高级筛选器包括:
| Filter | 说明 |
|---|---|
| 应用标记 | 选择“已批准”、“未批准”,或创建自定义标记以在自定义筛选器中使用。 |
| 应用和域 | 筛选能够在特定域中使用的特定应用。 |
| 类别 | 按照“云应用目录”页面左侧列出的应用类别进行筛选。 有关详细信息,请参阅支持的云应用类别。 |
| 合规性风险因素 | 筛选应用可能符合的特定标准、认证和合规性。 例如,HIPAA、ISO 27001、SOC 2 和 PCI-DSS。 |
| 常规风险因素 | 筛选常规风险因素,例如客户欢迎程度、数据中心所在地等。 |
| 法律风险因素 | 根据所有法律法规和策略进行筛选,以实现数据保护和保证用户隐私。 例如,DMCA 和数据保留策略。 |
| 风险评分 | 按风险分数筛选,例如仅查看有风险的应用。 |
| 安全风险因素 | 根据特定安全措施(例如静态加密、多重身份验证等)进行筛选。 |
支持的云应用目录类别
下表列出了云应用目录支持的类别:
| 类别 | 说明 |
|---|---|
| 会计和财务 | 提供金融服务的云应用,例如保险服务、银行、股票等。 |
| 广告 | 提供广告工具和广告平台的云应用。 |
| 商业智能 | 帮助组织做出数据驱动的业务决策并创建基于数据的报表和仪表板的云应用。 |
| 商业管理 | 提供基于企业资源规划(ERP)的业务管理解决方案的云应用。 |
| CRM | 提供客户关系管理工具的云应用,让组织与客户建立更稳固的关系,增加互动并提高收入。 |
| 云计算平台 | 提供用于云存储、虚拟计算、网络、分析等的云计算平台的云应用。 |
| 云存储 | 提供数据存储的云应用,包括上传、下载和共享。 |
| 代码托管 | 允许开发人员创建、运行、存储、编辑和共享代码项目的云应用。 |
| 协作 | 多个用户或组织可以使用共享数据参与共享活动的云应用。 |
| 通信 | 提供通信服务的云应用,包括电信服务。 |
| 内容管理 | 可为组织提供组织、搜索和分析内容的工具的云应用。 |
| 内容共享 | 允许用户上传、下载和公开与他人共享内容的云应用。 |
| 客户支持 | 为客户问题跟踪、支持人员和产品用户实时聊天提供工具的云应用。 |
| 数据分析 | 提供用于操作和转换数据的工具,在此基础上运行复杂算法和逻辑的云应用。 |
| 开发工具 | 提供帮助个人创建新应用、网站和联机服务工具的云应用。 |
| 电子商务 | 提供买卖产品的电子商务平台和工具的云应用。 |
| 教育 | 提供教育工具和平台的云应用,例如培训、测试、知识库、知识检查和个人和组织学习过程管理。 |
| 论坛 | 提供论坛和博客的云应用,帮助共享知识和维护社区。 |
| 健康产业 | 提供健康服务的云应用,例如健身产品、医疗保险、医生预约计划、实验室服务等。 |
| 托管服务 | 提供托管服务的云应用,例如服务器和网站托管。 |
| 人力资源管理 | 用于处理和管理人力资源和业务流程相关数据的云应用。 |
| 生成式 AI | 利用生成式 AI 模型生成数字媒体内容(如文本、图像、视频等)的云应用。 |
| IT 服务 | 用于管理组织 IT 过程和操作的云应用。 |
| 物联网 | 用于收集和管理连接到 Internet 的智能物理设备数据的云应用。 |
| Marketing | 企业管理产品营销策略和运营的云应用。 |
| 新闻和娱乐 | 提供新闻和娱乐信息的云应用。 |
| 线上会议 | 用于在线音视频会议的云应用。 |
| 操作管理 | 管理组织内部流程和过程的业务实践的云应用。 |
| 个人即时消息 | 使用在线聊天提供非商业实时文本通信的云应用。 |
| 产品设计 | 提供产品草图和原型制作工具的云应用。 |
| 生产力 | 用于创建、生成和修改信息和媒体的云应用。 |
| 项目管理 | 用于项目规划、项目计划和项目资源管理的云应用。 |
| 物业管理 | 用于管理业务的物理资源和清单的云应用。 |
| 销售 | 用于跟踪、优化和简化销售业务产品生命周期的云应用。 |
| 安全性 | 用于识别、阻止、停止和修复网络或终结点设备上其他人造成的损坏的云应用。 |
| 社交网络 | 通过发布和共享信息、评论、消息和媒体,让兴趣相似者能够交流的云应用。 |
| 供应链与物流 | 用于执行供应链运营和管理供应商关系的云应用。 |
| 旅行和运输 | 用于创建、跟踪和管理个人或商务旅行和运输查询和订单的云应用。 |
| 供应商管理系统 | 允许企业管理和采购人员配备和安置服务,以及外部承包或临时劳动力的云应用。 |
| Web Analytics | 用于分析网站访问者的使用模式和行为的云应用。 借助此类应用,可以优化和获得洞察,吸引更多访问者并改进网站体验。 |
| 网络邮件 | 用于通过 Web 浏览器访问电子邮件的云应用。 |
| 网站监视 | 用于记录网站访问者、性能和操作,保证网站按预期运行,及时处理和解决问题的云应用 |
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。