使用探索到的應用程式
Cloud Discovery 儀表板的設計目的是讓您深入了解如何在組織中使用雲端應用程式。 它提供一目了然的概觀,說明正在使用的應用程式類型、開啟的警示,以及組織中應用程式的風險層級。 它也會示範誰是最上層應用程式使用者,並提供 App Headquarter 位置圖。 Cloud Discovery 儀表板具有許多用於篩選資料的選項。 篩選可讓您使用容易了解的圖形,根據最感興趣的項目來產生特定檢視,讓您一目瞭然。 如需詳細資訊,請參閱 探索到的應用程式篩選。
檢閱 Cloud Discovery 儀表板
了解 Cloud Discovery 應用程式的首要之務,就是檢閱 Cloud Discovery 儀表板中的下列資訊:
首先,在高階使用概觀中查看組織中的整體雲端應用程式使用方式。
接著,深入探討以查看組織中每個不同使用參數所使用的前幾個類別。 您可以看到此使用量有多少是由獲批准的應用程式使用。
進一步探討並查看 [探索到的應用程式] 索引標籤中特定類別的所有應用程式。
您可以查看前幾個使用者和來源 IP 位址,以識別哪些使用者是組織中雲端應用程式的最主要使用者。
根據 App Headquarters 地圖中的地理位置 (根據應用程式總部),查看探索到的應用程式如何分佈。
最後,別忘了在應用程式風險概觀中檢閱探索到應用程式的風險分數。 檢查探索警示狀態來查看您應該調查未解決警示的數目。
深入探討探索到的應用程式
如果您想要深入探討 Cloud Discovery 所提供的資料,請使用篩選來檢閱具風險且常用的應用程式。
例如,如果您想要識別常用且具風險的雲端儲存體和共同作業應用程式,您可以使用 [探索到的應用程式] 頁面來篩選所需的應用程式。 然後,您可以不批准或封鎖這些應用程式,如下所示:
在 [探索到的應用程式] 頁面的 [依類別瀏覽] 下,同時選取 [雲端儲存體] 和 [共同作業]。
然後,使用 [進階篩選] 並將 [合規性風險因素] 設定為SOC 2等於 [否]。
針對 [使用量],將 [使用者] 設定為大於 50 個使用者,並將 [交易] 設定為大於 100。
將 [安全性風險因素] 設定為 [待用資料加密] 等於 [不支援]。 然後設定 [風險分數] 等於或小於 6。
篩選結果之後,您可以不批准並封鎖這些應用程式,方法是使用 [大量動作] 核取方塊以一個動作不批准所有應用程式。 當應用程式處於待批准狀態之後,您可以使用封鎖指令碼以防止在環境中使用這些應用程式。
Cloud Discovery 可讓您更深入地深入了解組織的雲端使用量。 您可以透過調查探索到的子網域來識別使用中的特定執行個體。
例如,您可以區分不同的SharePoint網站:
注意
只有包含目標 URL 資料的防火牆和 Proxy 才支援深入探討探索到的應用程式。 如需詳細資訊,請參閱 支援的防火牆和 Proxy。
如果 適用於雲端的 Defender 應用程式無法比對流量記錄中偵測到的子域與儲存在 App Directory 中的數據,則子域會標記為 [其他]。
探索資源和自定義應用程式
Cloud Discovery 也可讓您深入探討 IaaS 和 PaaS 資源。 您可以在資源裝載平臺上探索活動,檢視您自我裝載應用程式和資源的存取權,包括 Azure 上裝載的記憶體帳戶、基礎結構和自定義應用程式、Google Cloud Platform 和 AWS 上裝載的數據。 您不僅可以看到 IaaS 解決方案的整體使用量,還可以查看裝載於每個解決方案的特定資源,以及資源的整體使用量,以協助降低每個資源的風險。
例如,從 適用於雲端的 Defender Apps,您可以監視活動,例如上傳大量數據,您可以探索上傳至哪些資源,並向下切入以查看誰執行活動。
注意
不過只有包含目標 URL 資料的防火牆與 Proxy 才支援此功能。 如需詳細資訊,請參閱支援的防火牆和 Proxy 中支援的設備清單。
若要檢視探索到的資源:
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [雲端探索]。 然後選擇 [ 探索到的資源] 索引 標籤。
在 [探索到的資源] 頁面中,您可以向下切入到每個資源,以查看發生的交易種類、存取者,然後向下切入以進一步調查使用者。
針對自訂應用程式,您可以選取資料列結尾的三個按鈕,然後選擇 [ 新增自定義應用程式]。 這會開啟 [ 新增此應用程式 ] 視窗,讓您命名並識別應用程式,使其可以包含在 Cloud Discovery 儀錶板中。
產生 Cloud Discovery 執行報告
要取得影子 IT 在組織中使用情形的概覽,最好的辦法是產生 Cloud Discovery 執行報告。 這份報告會找出最高的潛在風險,並協助您規劃工作流程以降低風險,並在風險解決之前加以管控。
產生 Cloud Discovery 執行報告:
從 Cloud Discovery 儀錶板中,選取 儀錶板右上角的 [動作 ],然後選擇 [ 產生 Cloud Discovery 執行報告]。
或者,變更報表名稱。
選取產生。
排除實體
如果您有系統使用者、IP 位址或裝置,這些裝置在陰影 IT 報告中不應顯示,或不應該顯示在陰影 IT 報告中的裝置,您可能會想要從分析的 Cloud Discovery 數據中排除其數據。 例如,您可能想要排除源自本機主機的所有資訊。
建立一個排除項目︰
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
在 [Cloud Discovery] 底下,選取 [排除實體] 索引卷標。
選擇 [ 排除的使用者]、 [排除的群組]、 [排除的IP 位址] 或 [排除的裝置 ] 索引標籤,然後選取 [ +新增 ] 按鈕以新增排除專案。
新增用戶別名、IP 位址或裝置名稱。 建議您新增為何排除這些內容的相關資訊。
注意
任何實體排除都會套用至新接收的數據。 排除實體的歷史數據將持續到保留期間(90 天)。
管理連續報告
監視組織的 Cloud Discovery 記錄資料時,自訂連續報告提供更細微的資訊。 藉由建立自定義報表,可以篩選特定地理位置、網路和網站或組織單位。 Cloud Discovery 報告選擇器預設只會顯示下列報告︰
全域報告將記錄檔所含全部資料來源的所有資訊合併在入口網站中。 全域報表不包含來自 適用於端點的 Microsoft Defender 的數據。
資料來源特定報告只顯示特定資料來源的資訊。
建立新的連續報告:
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
在 [Cloud Discovery] 底下,選取 [連續報告]。
選取 [ 建立報表] 按鈕。
輸入報告名稱。
選取您要包含的資料來源 (全部或特定)。
設定要對資料執行的篩選。 這些篩選可以是使用者群組、IP 位址標籤或 IP 位址範圍。 如需使用 IP 位址標記和 IP 位址範圍的詳細資訊,請參閱根據需求組織資料。
注意
所有的自訂報告都有 1 GB 未壓縮資料的上限。 如果資料量超過 1 GB,則前 1 GB 的資料將會輸出至報告。
刪除 Cloud Discovery 資料
有數個原因讓您想要刪除 Cloud Discovery 資料。 我們建議您有下列情況時刪除︰
如果您手動上傳記錄檔,而且長時間才以新記錄檔更新系統,卻不希望舊資料影響結果。
當您設定新的自訂資料檢視時,它只會從該時點開始套用至新的資料。 因此,您可能想要清除舊資料,然後再次上傳記錄檔,以便自訂資料檢視可取得記錄檔資料中的事件。
如果多個使用者或 IP 位址在離線一段時間後,最近又開始活動,則其活動會被識別為異常,且可能會提供您許多誤判違規。
刪除 Cloud Discovery 資料︰
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
在 [Cloud Discovery] 底下,選取 [刪除數據] 索引標籤。
請務必確認您要刪除資料再繼續 - 此動作無法復原,且會刪除系統中的所有 Cloud Discovery 資料。
選取刪除按鈕。
注意
刪除程序需要幾分鐘,不會立即完成。