Få vist fundne apps med dashboardet Cloud discovery

Siden Cloud discovery indeholder et dashboard, der er designet til at give dig mere indsigt i, hvordan cloudapps bruges i din organisation. Dashboardet giver et hurtigt overblik over de typer apps, der bruges, dine åbne beskeder og risikoniveauerne for apps i din organisation. Den viser også, hvem dine mest populære appbrugere er, og den indeholder et kort over appens hovedkontor.

Filtrer dine cloudregistreringsdata for at generere bestemte visninger, afhængigt af hvad der interesserer dig mest. Du kan finde flere oplysninger under Registrerede appfiltre.

Forudsætninger

Du kan få mere at vide om de roller, der kræves, under Administrer administratoradgang.

Gennemse cloudregistreringsdashboardet

I denne procedure beskrives det, hvordan du får et indledende, generelt billede af dine cloudregistreringsapps på dashboardet Cloud Discovery .

1. På Microsoft Defender-portalen skal du vælge Cloudapps > Cloudregistrering.

   Det kan f.eks. være:

   

   Understøttede apps omfatter Windows- og macOS-apps, som begge er angivet under streamen Defender – administrerede slutpunkter .

2. Gennemse følgende oplysninger:

   1. Brug oversigt over brug på højt niveau for at forstå den overordnede brug af cloudapps i din organisation.

   2. Dyk et niveau dybere for at forstå de øverste kategorier , der bruges i din organisation for hver af de forskellige brugsparametre. Bemærk, hvor meget af dette forbrug der sker via godkendte apps.

   3. Brug fanen Fundne apps til at gå endnu dybere ned og se alle appsene i en bestemt kategori.

   4. Kontrollér de øverste brugere og kildens IP-adresser for at identificere, hvilke brugere der er de mest dominerende brugere af cloudapps i din organisation.

   5. Brug kortet over appens hovedkvarter til at kontrollere, hvordan de fundne apps fordeler sig efter geografisk placering i henhold til deres hovedkvarter.

   6. Brug oversigten over apprisici til at forstå risikoscoren for fundne apps, og kontrollér status for registreringsbeskeder for at se, hvor mange åbne beskeder du skal undersøge.

Detaljeret gennemgang af fundne apps

Hvis du vil vide mere om registreringsdata i cloudmiljøet, skal du bruge filtrene til at kontrollere, om der er risikable eller almindeligt anvendte apps.

Hvis du f.eks. vil identificere almindeligt anvendte, risikable cloudlager- og samarbejdsapps, skal du bruge siden Fundne apps til at filtrere efter de ønskede apps. Derefter skal du ophæve eller blokere dem på følgende måde:

1. På Microsoft Defender-portalen under Cloud Apps skal du vælge Cloudregistrering. Vælg derefter fanen Fundne apps .

2. Under fanen Fundne apps under Kategorien Gennemse skal du vælge både Cloudlager og Samarbejde.

3. Brug de avancerede filtre til at angive risikofaktoren for overholdelse til SOC 2 = Nej.

4. For Forbrug skal du angive Brugere til mere end 50 brugere og Transaktioner til større end 100.

5. Angiv Sikkerhedsrisikofaktoren for inaktive datakryptering er lig med Ikke understøttet. Angiv derefter Risikoscore til 6 eller lavere.

   

Når resultaterne er filtreret, skal du fjernesanktionen og blokere dem ved hjælp af afkrydsningsfeltet massehandling for at fjerne dem alle i én handling. Når de ikke er blevet godkendt, kan du bruge et blokeringsscript til at blokere dem fra at blive brugt i dit miljø.

Det kan også være en god idé at identificere bestemte appforekomster, der er i brug, ved at undersøge de fundne underdomæner. Du kan f.eks. skelne mellem forskellige SharePoint-websteder:

Bemærk!

Detaljeret gennemgang af fundne apps understøttes kun i firewalls og proxyer, der indeholder url-destinationsdata. Du kan få flere oplysninger under Understøttede firewalls og proxyer.

Hvis Defender for Cloud Apps ikke kan matche det underdomæne, der er registreret i trafikloggene, med de data, der er gemt i appkataloget, mærkes underdomænet som Andet.

Opdag ressourcer og brugerdefinerede apps

Cloudregistrering giver dig også mulighed for at dykke ned i dine IaaS- og PaaS-ressourcer. Oplev aktivitet på tværs af dine ressourcehostingplatforme, visning af adgang til data på tværs af dine selvhostede apps og ressourcer, herunder lagerkonti, infrastruktur og brugerdefinerede apps, der hostes på Azure, Google Cloud Platform og AWS. Du kan ikke kun se det overordnede forbrug i dine IaaS-løsninger, men du kan få indblik i de specifikke ressourcer, der hostes på hver enkelt, og den overordnede brug af ressourcerne for at hjælpe med at reducere risikoen pr. ressource.

Hvis der f.eks. uploades en stor mængde data, skal du finde ud af, hvilken ressource den er uploadet til, og foretage detailudledning for at se, hvem der udførte aktiviteten.

Bemærk!

Dette understøttes kun i firewalls og proxyer, der indeholder url-destinationsdata. Du kan få flere oplysninger på listen over understøttede apparater i Understøttede firewalls og proxyer.

Sådan får du vist fundne ressourcer:

1. På Microsoft Defender-portalen under Cloud Apps skal du vælge Cloudregistrering. Vælg derefter fanen Fundne ressourcer .

   

2. På siden Fundne ressourcer skal du analysere hver ressource for at se, hvilke typer transaktioner der er opstået, hvem der har åbnet den, og derefter foretage detailudledning for at undersøge brugerne yderligere.

   

3. I forbindelse med brugerdefinerede apps skal du vælge menuen Indstillinger i slutningen af rækken og derefter vælge Tilføj ny brugerdefineret app. Dette åbner dialogboksen Tilføj denne app , hvor du kan navngive og identificere appen, så den kan inkluderes i dashboardet til registrering af skyen.

Generér en executiverapport for cloudregistrering

Den bedste måde at få et overblik over skygge-it-brug på tværs af din organisation på er ved at generere en executiverapport for cloudregistrering. Denne rapport identificerer de største potentielle risici og hjælper dig med at planlægge en arbejdsproces for at afhjælpe og administrere risici, indtil de er løst.

Sådan genererer du en executiverapport for cloudregistrering:

1. På Microsoft Defender-portalen under Cloud Apps skal du vælge Cloudregistrering.

2. På siden Cloud discovery skal du vælge Handlinger>Generér administrationsrapport for Cloud Discovery.

3. Du kan også ændre rapportnavnet og derefter vælge Generér.

Udelad enheder

Hvis du har systembrugere, IP-adresser eller enheder, der er støjende, men uinteressanter, eller enheder, der ikke bør præsenteres i Skygge-it-rapporterne, kan det være en god idé at udelade deres data fra de cloudregistreringsdata, der analyseres. Det kan f.eks. være, at du vil udelade alle oplysninger, der stammer fra en lokal vært.

Sådan opretter du en udeladelse:

1. På Microsoft Defender-portalen skal du vælge Indstillinger Cloud>AppsCloud Discovery>>Exclude-objekter.

2. Vælg enten fanen Udeladte brugere, Udeladte grupper, Udeladte IP-adresser eller Udeladte enheder , og vælg knappen +Tilføj for at tilføje din udeladelse.

3. Tilføj et brugeralias, en IP-adresse eller et enhedsnavn. Vi anbefaler, at du tilføjer oplysninger om, hvorfor udeladelse blev foretaget.

   

Bemærk!

Alle objektudeladelser gælder kun for nyligt modtagne data. Historiske data for de udeladte enheder forbliver i opbevaringsperioden (90 dage).

Administrer fortløbende rapporter

Brugerdefinerede fortløbende rapporter giver dig mere granularitet, når du overvåger din organisations registreringslogdata i cloudmiljøet. Opret brugerdefinerede rapporter for at filtrere efter bestemte geografiske placeringer, netværk og websteder eller organisationsenheder. Som standard vises kun følgende rapporter i din rapportvælger til registrering af skyen:

• Den globale rapport konsoliderer alle oplysningerne på portalen fra alle de datakilder, du inkluderede i dine logge. Den globale rapport indeholder ikke data fra Microsoft Defender for Endpoint.

• Den datakildespecifikke rapport viser kun oplysninger fra en bestemt datakilde.

Sådan opretter du en ny fortløbende rapport:

1. På Microsoft Defender-portalen skal du vælge Indstillinger>Cloud Apps>Cloud Discovery>Fortløbende rapport>Opret rapport.

2. Angiv et rapportnavn.

3. Vælg de datakilder, du vil medtage (alle eller specifikke).

4. Angiv de ønskede filtre på dataene. Disse filtre kan være brugergrupper, IP-adressekoder eller IP-adresseintervaller. Du kan finde flere oplysninger om, hvordan du arbejder med IP-adressekoder og IP-adresseområder, under Organiser dataene efter dine behov.

   

Bemærk!

Alle brugerdefinerede rapporter er begrænset til maksimalt 1 GB ikke-komprimerede data. Hvis der er mere end 1 GB data, eksporteres de første 1 GB data til rapporten.

Sletning af cloudregistreringsdata

Vi anbefaler, at du sletter data fra cloudregistrering i følgende tilfælde:

• Hvis du manuelt har uploadet logfiler, er der gået lang tid, siden du opdaterede systemet med nye logfiler, og du ikke ønsker, at gamle data påvirker dine resultater.

• Når du angiver en ny brugerdefineret datavisning, gælder den kun for nye data fremover. I sådanne tilfælde kan det være en god idé at slette gamle data og derefter overføre dine logfiler igen for at aktivere den brugerdefinerede datavisning for at hente hændelser i logfilens data.

• Hvis mange brugere eller IP-adresser for nylig er begyndt at arbejde igen efter at have været offline i et stykke tid, identificeres deres aktivitet som uregelmæssigheder og kan give dig falske positive overtrædelser.

Vigtigt!

Sørg for, at du vil slette data, før du gør det. Denne handling er uigenkaldelig og sletter alle cloudregistreringsdata i systemet.

Sådan sletter du cloudregistreringsdata:

1. På Microsoft Defender Portal skal du vælge Indstillinger>Cloud Apps>Cloud Discovery>Slet data.

2. Vælg knappen Slet .

   

Bemærk!

Sletningsprocessen tager et par minutter og er ikke øjeblikkelig.

Næste trin

Opret øjebliksbillede af cloudregistreringsrapporter

Konfigurer automatisk logoverførsel for fortløbende rapporter

Arbejde med registreringsdata i cloudmiljøet

Opdag apps ved hjælp af Microsoft Defender for Endpoint integration