Zobrazení zjištěných aplikací pomocí řídicího panelu Cloud Discovery
Stránka Cloud Discovery nabízí řídicí panel navržený tak, aby vám poskytl lepší přehled o tom, jak se cloudové aplikace používají ve vaší organizaci. Řídicí panel poskytuje rychlý přehled o typech používaných aplikací, otevřených upozorněních a úrovních rizika aplikací ve vaší organizaci. Také ukazuje, kdo jsou vaši nejčastější uživatelé aplikace, a poskytuje mapu umístění hlavního sídla aplikace .
Vyfiltrujte data Cloud Discovery a vygenerujte konkrétní zobrazení v závislosti na tom, co vás zajímá nejvíce. Další informace najdete v tématu Filtry zjištěných aplikací.
Požadavky
Informace o požadovaných rolích najdete v tématu Správa přístupu správce.
Kontrola řídicího panelu Cloud Discovery
Tento postup popisuje, jak na řídicím panelu Cloud Discovery získat počáteční obecný přehled o aplikacích cloud discovery.
Na portálu Microsoft Defender vyberte Cloudové aplikace > Cloud Discovery.
Příklady:
Mezi podporované aplikace patří aplikace pro Windows a macOS, které jsou uvedené ve streamu Defender – spravované koncové body .
Projděte si následující informace:
Pomocí přehledu využití na vysoké úrovni porozumíte celkovému využití cloudových aplikací ve vaší organizaci.
Ponořte se o jednu úroveň hlouběji, abyste porozuměli hlavním kategoriím používaným ve vaší organizaci pro každý z různých parametrů použití. Všimněte si, jak velkou část tohoto využití mají schválené aplikace.
Pomocí karty Zjištěné aplikace můžete jít ještě hlouběji a zobrazit všechny aplikace v konkrétní kategorii.
Zkontrolujte nejčastější uživatele a zdrojové IP adresy a zjistěte, kteří uživatelé jsou nejdomnějšími uživateli cloudových aplikací ve vaší organizaci.
Pomocí mapy ústředí aplikací můžete zkontrolovat, jak se zjištěné aplikace šíří podle zeměpisné polohy podle jejich ústředí.
V přehledu rizik aplikací můžete zjistit skóre rizik zjištěných aplikací a zkontrolovat stav upozornění zjišťování , abyste zjistili, kolik otevřených výstrah byste měli prozkoumat.
Podrobné informace o zjištěných aplikacích
Pokud se chcete hlouběji seznámit s daty cloud discovery, použijte filtry ke kontrole rizikových nebo běžně používaných aplikací.
Pokud například chcete identifikovat běžně používané rizikové cloudové úložiště a aplikace pro spolupráci, použijte stránku Zjištěné aplikace a vyfiltrujte požadované aplikace. Pak je zrušte nebo zablokujte následujícím způsobem:
Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery. Pak zvolte kartu Zjištěné aplikace .
Na kartě Zjištěné aplikace v části Procházet podle kategorie vyberte Cloudové úložiště i Spolupráce.
Pomocí pokročilých filtrů nastavte rizikový faktor dodržování předpisů na SOC 2 = Ne.
V části Využití nastavte Uživatelé na více než 50 uživatelů a Transakce na větší než 100.
Nastavte faktor rizika zabezpečení pro šifrování neaktivních uložených dat na hodnotu Nepodporováno. Pak nastavte Rizikové skóre na 6 nebo nižší.
Po vyfiltrování výsledků zrušte schválení a zablokujte je pomocí zaškrtávacího políčka hromadné akce, aby se všechny neschválily v jedné akci. Jakmile budou neschválené, pomocí blokovacího skriptu je zablokujte, aby se ve vašem prostředí nepoužívaly.
Můžete také chtít identifikovat konkrétní instance aplikací, které se používají, prozkoumáním zjištěných subdomén. Můžete například rozlišovat mezi různými sharepointovými weby:
Poznámka
Podrobné informace o zjištěných aplikacích jsou podporovány pouze v branách firewall a proxy serverech, které obsahují data cílové adresy URL. Další informace najdete v tématu Podporované brány firewall a proxy servery.
Pokud Defender for Cloud Apps nemůže spárovat subdoménu zjištěnou v protokolech provozu s daty uloženými v katalogu aplikací, bude subdoména označená jako Jiná.
Zjišťování prostředků a vlastních aplikací
Cloud Discovery také umožňuje ponořit se do vašich prostředků IaaS a PaaS. Objevte aktivitu napříč platformami pro hostování prostředků a prohlížíte si přístup k datům v místních aplikacích a prostředcích, včetně účtů úložiště, infrastruktury a vlastních aplikací hostovaných v Azure, Google Cloud Platform a AWS. V řešeních IaaS uvidíte nejen celkové využití, ale můžete také získat přehled o konkrétních prostředcích hostovaných na každém z nich a o jejich celkovém využití, což vám pomůže zmírnit riziko jednotlivých prostředků.
Pokud se například nahraje velké množství dat, zjistěte, do jakého prostředku se nahrál, a přejděte k podrobnostem, abyste zjistili, kdo aktivitu provedl.
Poznámka
To je podporováno pouze v branách firewall a proxy serverech, které obsahují data cílové adresy URL. Další informace najdete v seznamu podporovaných zařízení v tématu Podporované brány firewall a proxy servery.
Zobrazení zjištěných prostředků:
Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery. Pak zvolte kartu Zjištěné prostředky .
Na stránce Zjištěné prostředky přejděte k podrobnostem jednotlivých prostředků, abyste zjistili, k jakým druhům transakcí došlo, kdo k tomu přistupoval, a pak přejděte k podrobnostem, abyste mohli uživatele ještě podrobněji prozkoumat.
U vlastních aplikací vyberte nabídku možností na konci řádku a pak vyberte Přidat novou vlastní aplikaci. Otevře se dialogové okno Přidat tuto aplikaci , ve kterém můžete aplikaci pojmenovat a identifikovat, aby ji bylo možné zahrnout do řídicího panelu cloud discovery.
Vygenerování sestavy vedoucího pracovníka cloud discovery
Nejlepší způsob, jak získat přehled o používání stínového IT v celé organizaci, je vygenerovat sestavu vedoucího pracovníka cloud discovery. Tato sestava identifikuje hlavní potenciální rizika a pomůže vám naplánovat pracovní postup pro zmírnění a řízení rizik, dokud se nevyřeší.
Vygenerování sestavy vedoucího pracovníka cloud discovery:
Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery.
Na stránce Cloud Discovery vyberte ActionsGenerate Cloud Discovery executive report (Akce > vygenerovat sestavu Cloud Discovery).
Volitelně můžete změnit název sestavy a pak vybrat Generovat.
Vyloučit entity
Pokud máte systémové uživatele, IP adresy nebo zařízení, která jsou hlučná, ale nezajímavá, nebo entity, které by se neměly zobrazovat v sestavách stínového IT, můžete jejich data vyloučit z analyzovaných dat cloud discovery. Můžete například chtít vyloučit všechny informace pocházející z místního hostitele.
Vytvoření vyloučení:
Na portálu Microsoft Defender vyberte Nastavení>Cloud Apps>Cloud Discovery>Vyloučit entity.
Vyberte kartu Vyloučení uživatelé, Vyloučené skupiny, Vyloučené IP adresy nebo Vyloučená zařízení a výběrem tlačítka +Přidat přidejte vyloučení.
Přidejte alias uživatele, IP adresu nebo název zařízení. Doporučujeme přidat informace o tom, proč bylo vyloučení provedeno.
Poznámka
Všechna vyloučení entit se vztahují pouze na nově přijatá data. Historická data vyloučených entit zůstávají po dobu uchovávání (90 dnů).
Správa průběžných sestav
Vlastní průběžné sestavy poskytují větší úroveň podrobností při monitorování dat protokolů cloudového zjišťování vaší organizace. Vytvořte vlastní sestavy pro filtrování konkrétních geografických umístění, sítí a lokalit nebo organizačních jednotek. Ve výchozím nastavení se ve vašem selektoru sestav Cloud Discovery zobrazují jenom následující sestavy:
Globální sestava konsoliduje všechny informace na portálu ze všech zdrojů dat, které jste zahrnuli do protokolů. Globální sestava neobsahuje data z Microsoft Defender for Endpoint.
Sestava konkrétního zdroje dat zobrazuje pouze informace z konkrétního zdroje dat.
Vytvoření nové průběžné sestavy:
Na portálu Microsoft Defender vyberte Nastavení>Cloud AppsCloud Discovery>Continuous sestava>>Vytvořit sestavu.
Zadejte název sestavy.
Vyberte zdroje dat, které chcete zahrnout (všechny nebo konkrétní).
Nastavte filtry, které chcete použít pro data. Tyto filtry můžou být skupiny uživatelů, značky IP adres nebo rozsahy IP adres. Další informace o práci se značkami IP adres a rozsahy IP adres najdete v tématu Uspořádání dat podle vašich potřeb.
Poznámka
Všechny vlastní sestavy jsou omezené na maximálně 1 GB nekomprimovaných dat. Pokud je dat více než 1 GB, vyexportuje se do sestavy prvních 1 GB dat.
Odstranění dat cloud discovery
V následujících případech doporučujeme odstranit data cloud discovery:
Pokud jste soubory protokolu nahráli ručně, od aktualizace systému novými soubory protokolů uplynula dlouhá doba a nechcete, aby vaše výsledky ovlivnila stará data.
Když nastavíte nové vlastní zobrazení dat, použije se pouze pro nová data od tohoto okamžiku. V takových případech můžete chtít vymazat stará data a potom znovu nahrát soubory protokolu, aby vlastní zobrazení dat mohlo zaznamenávat události v datech souboru protokolu.
Pokud mnoho uživatelů nebo IP adres nedávno začalo znovu pracovat poté, co byli nějakou dobu offline, jejich aktivita se identifikuje jako neobvyklá a může se jednat o falešně pozitivní porušení.
Důležité
Před tím se ujistěte, že chcete odstranit data. Tato akce je nevratná a odstraní všechna data cloud discovery v systému.
Odstranění dat cloud discovery:
Na portálu Microsoft Defender vyberte Nastavení>Cloud Apps>Cloud Discovery>Odstranit data.
Vyberte tlačítko Odstranit .
Poznámka
Proces odstranění trvá několik minut a není okamžitý.