调查

  • 项目

注意

  • 我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客

  • Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的家。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps在云环境中运行后,你将需要一个学习和调查阶段。 了解如何使用Microsoft Defender for Cloud Apps工具更深入地了解云环境中发生的情况。 根据特定的环境及其使用方式,可以辨别出使组织免受风险的要求。 本文介绍如何执行调查以更深入了解云环境。

仪表板

可使用以下仪表板帮助调查云环境中的应用:

仪表板 说明
主仪表板 云状态(用户、文件、活动)和所需操作(警报、活动违规和内容违规)概述
应用仪表板:概述 每个位置的应用使用情况和每个用户的使用情况图概述。
应用仪表板:信息 有关应用详细信息、安全性和符合性的信息。
应用仪表板:见解
分析应用中存储的数据,按文件类型和文件共享级别细分。
应用仪表板:文件
向下钻取到文件;能够根据所有者、共享级别等进行筛选。 执行隔离等管理操作。
应用仪表板:帐户 链接到应用的所有帐户/用户的概述。
应用仪表板:OAuth 应用
向下钻取到当前已部署的 OAuth 应用,如 Google Workspace,并定义策略。
应用仪表板:活动日志 向下钻取到所有应用活动;能够根据用户、IP 地址等进行筛选。
应用仪表板:警报 向下钻取到所有应用警报;能够根据状态、类别、严重性等进行筛选。
应用仪表板:特权帐户
按特权用户类型列出的用户概述。
用户仪表板 云中用户配置文件、位置、最新活动、相关警报的完整概述。

将应用标记为“批准”或“未批准”

了解云的一个重要步骤是将应用标记为“批准”或“未批准”。 批准应用后,可以筛选未批准的应用并启动到相同类型的批准应用的迁移。

  • 在Defender for Cloud应用控制台中,转到“应用目录”或“发现的应用”。

  • 在应用列表中,在要标记为已批准的应用的行中,选择行 Tag as sanctioned dots. 末尾的三个点,然后选择 标记为已批准

    Tag as sanctioned.

使用调查工具

  1. Defender for Cloud应用门户中,转到“调查”,然后查看活动日志并按特定应用进行筛选。 检查下列项目:

    • 谁在访问你的云环境?

    • 来自什么 IP 范围?

    • 对应的管理活动是什么?

    • 管理员从何处连接?

    • 有过期设备连接到你的云环境吗?

    • 失败的登录是否来自预期的 IP 地址?

  2. 依次转到“调查”和“文件”,然后检查以下项目

    • 公开共享了多少个文件?即,所有人无需链接即可访问这些文件。

    • 你在与哪些合作伙伴共享文件(出站共享)?

    • 是否存在具有敏感名称的文件?

    • 有与他人的个人帐户共享的文件吗?

  3. 依次转到“调查”和“用户和帐户”,然后检查以下项目

    • 是否有帐户在特定服务中长期处于非活动状态? 是否可以撤销该用户对该服务的许可证。

    • 你想要了解哪些用户具有特定角色吗?

    • 已解雇某人,但其仍具有对应用的访问权限并可以利用此访问权限窃取信息吗?

    • 想要撤销用户对特定应用的权限或要求特定用户使用多重身份验证吗?

    • 可以通过选择用户帐户行末尾的三个点并选择要执行的操作来向下钻取用户帐户。 执行“挂起用户”或“删除用户协作”等操作。 如果用户是从Azure Active Directory导入的,还可以选择 Azure AD 帐户设置,以便轻松访问高级用户管理功能。 管理功能的示例包括组管理、MFA、用户登录的详细信息和阻止登录的功能。

  4. 依次转到“连接的应用”“调查”,然后选择应用。 应用仪表板将打开,提供信息和见解。 可使用顶部的选项卡检查以下各项:

    • 你的用户在使用何种设备来连接到应用?

    • 用户在云中保存了什么类型的文件?

    • 应用中正在进行什么活动?

    • 有第三方应用连接到你的环境吗?

    • 你了解这些应用吗?

    • 对这些应用允许的访问级别经过授权了吗?

    • 多少用户部署了这些应用? 这些应用大致已普及到什么程度?

    App dashboard.

  5. 转到 Cloud Discovery 仪表板,然后检查以下项目

    • 正在使用什么云应用?使用情况如何?哪些用户在使用?

    • 使用这些应用的目的是什么?

    • 多少数据上载到了这些云应用?

    • 你已将云应用批准为哪些类别?用户在使用替代解决方案吗?

    • 针对替代解决方案,有想要在组织中取消批准的云应用吗?

    • 是否存在使用但不符合组织策略的云应用?

示例调查

如果你假定没有任何有风险的 IP 地址访问你的云环境。 例如,IP 地址 Tor。 但是为了确保万无一失,你为危险 IP 创建了策略:

  1. 在门户中,转到“控制”,然后选择“模板”

  2. 为“类型”选择“活动策略”

  3. 从有风险的 IP 地址行登录结束时,选择加号 (+) 创建新的策略。

  4. 更改策略名称,以便可以识别它。

  5. “活动”下,选择+添加筛选器。 向下滚动到“IP 标记”,然后选择“Tor”

    Example policy for risky IPs.

现在你的策略已准备就绪,策略违规时,你会收到警报,此时你会感到很惊奇。

  1. 转到“警报”页面,查看与策略违规相关的警报。

  2. 如果你认为其属于真正的违规,则要遏制风险或对其进行修正。

    若要缩小风险,可以向用户发送通知,以询问是否是故意违规及用户是否意识到违规。

    还可以深入调查警报,并挂起用户,直至你确定需要采取的措施。

  3. 如果其属于允许的事件,且不可能重复发生,则可以消除警报。

    如果其属于允许的事件,而你预计此事件会重复发生,则可以修改此策略,则此类事件以后将不会被视为违规。

后续步骤

若要了解如何控制组织的云应用,请参阅控制

若遇到任何问题,可随时向我们寻求帮助。 若要获取产品问题的帮助或支持,请 开具支持票证