在 Microsoft Defender for Cloud Apps 中发现的应用筛选器和查询

  • 项目

当拥有大量已发现的应用时,会发现筛选和查询它们非常有用。 本文介绍了可用的筛选器以及如何查询已发现的应用。

发现的应用筛选器

可通过两种方法筛选已发现的应用。 基本筛选器包括此图像中找到的筛选器:

Discovered apps.

打开高级筛选器后,会显示可用筛选器的列表,其中包括:

  • 应用标记:选择应用是已批准、未批准还是未标记。 此外,还可以为应用创建自定义标记,然后使用该标记来筛选特定类型的应用。
  • 应用和域:使你能够搜索特定应用或特定域中使用的应用。
  • 类别:通过页面左侧的类别筛选器,可以根据应用类别搜索应用类型。 示例类别包括社交网络应用、云存储应用和托管服务。 可以一次选择多个类别,也可以选择单个类别,然后在类别的基础上应用基本筛选器和高级筛选器。
  • 合规性风险因素:允许搜索应用可能符合的特定标准、认证和合规性(HIPAA、ISO 27001、SOC 2 和 PCI-DSS 等)。
  • 一般风险因素:允许搜索一般风险因素,例如消费者欢迎程度和数据中心区域设置等。
  • 风险评分:允许按照风险评分筛选应用,以便你可以专注于仅评审高风险应用等任务。 还可以替代 Defender for Cloud Apps 设置的风险评分。 有关详细信息,请参阅使用风险评分
  • 安全风险因素:使你能够基于特定安全措施(例如静态加密和多重身份验证等)进行筛选。
  • 使用情况:允许基于此应用的使用情况统计信息进行筛选。 使用情况筛选依据包括:小于或超过指定数量的数据上传的应用,具有多于或少于指定数量的用户的应用等
    • 事务:两台设备间的一个日志使用情况行。
  • 法律风险因素:允许基于所有现行法规和策略进行筛选,以确保数据保护和应用程序用户的隐私。 示例包括 GDPR 就绪云应用、DMCA,以及数据保留策略。

创建和管理自定义应用标记

可以创建自定义应用标记。 然后可以将这些标记用作筛选器,更加深入地了解要调查的应用的特定类型。 例如,自定义监视列表,分配到特定的业务单位或自定义审批,如“法律批准”。 应用标签还可以在筛选器中的应用发现策略中使用,也可以通过将标签应用于应用以作为策略治理操作的一部分。

创建自定义应用标记:

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“Cloud Discovery”下,选择“应用标记”。 然后选择“+ 添加的应用标记”

    create custom app tag.

  2. 可以使用“应用标记”表来查看当前哪些应用标记有每个应用标记,并可以删除未使用的应用标记

  3. 要应用应用标签,请在“发现的应用”选项卡中,选择应用名称最右侧的三个点。 选择要应用的应用标记。

注意

还可以通过在选择任何所选应用右侧的三个点后选择“创建应用标记”,直接在“发现的应用”表中创建新的应用标记。 从发现的应用中创建标记时,可以将其应用于该应用。 还可以通过选择角落中的“管理标记”链接来访问“应用标记”屏幕。 create custom app tag from app.

发现的应用查询

为了使调查更简单,可以创建自定义查询并将其保存以供将来使用。

  1. 在“发现的应用”页上,根据需要使用上述筛选器深入了解应用

  2. 获得所需结果后,选择筛选器上方的“另存为”按钮。

  3. 在“保存查询”弹出窗口中,为查询命名。

    new query.

  4. 要在将来再次使用此查询,请在“查询”下,向下滚动到“保存的查询”,然后选择查询

    open query.

Defender for Cloud Apps 还可提供建议查询,并且你可以保存经常使用的自定义查询。 “建议查询”通过使用以下可选的建议查询,推荐筛选发现的应用的调查途径:

  • 允许匿名使用的云应用 - 筛选所有发现的应用,只显示由于不需要用户身份验证并允许用户上传数据而存在安全风险的应用。

  • 获得 CSA STAR 认证的云应用 - 筛选所有发现的应用,只显示通过自我评估、认证、证明或持续监视获得 CSA STAR 认证的应用。

  • 符合 FedRAMP 的云应用 - 筛选所有发现的应用,只显示 FedRAMP 合规性风险因素高、中或低的应用。

  • 拥有用户数据的云存储和协作应用 - 筛选所有发现的应用,只显示由于不允许用户拥有数据所有权,但其本身保留用户数据而存在风险的应用。

  • 有风险且不符合要求的云存储应用 - 筛选所有发现的应用,只显示不符合 SOC 2 或 HIPAA 要求、不支持 PCI DSS 版本、风险分数为 5 或更低的应用。

  • 采用弱身份验证的企业云应用 - 筛选发现的所有应用,只显示不支持 SAML、没有密码策略和未启用 MFA 的应用。

  • 采用弱加密的企业云应用 - 筛选所有发现的应用,只显示由于不加密静态数据且不支持任何加密协议而存在风险的应用。

  • 符合 GDPR 的云应用 - 筛选所有已发现的应用,仅显示符合 GDPR 的应用。 GDPR 合规性是头等大事,此查询可帮助你轻松地识别 GDPR 就绪的应用,并评估未就绪应用的风险以便缓解威胁。

query discovered apps.

此外,可以使用建议查询作为新查询的基础。 首先,选择一个建议查询。 然后,根据需要进行更改,最后单击“另存为”,创建新的“已保存查询”

后续步骤

创建快照 Cloud Discovery 报表

为连续报表配置自动上传日志

使用 Cloud Discovery 数据