Jaa

Löydettyjen sovellusten tarkasteleminen pilvietsintäkoontinäytön avulla

  • Artikkeli

Pilvitietosivu tarjoaa koontinäytön, joka on suunniteltu antamaan lisätietoja siitä, miten pilvisovelluksia käytetään organisaatiossasi. Koontinäyttö tarjoaa yhdellä silmäyksellä näkymän käytettävien sovellusten tyypeistä, avoimista ilmoituksista ja organisaatiosi sovellusten riskitasoista. Se näyttää myös sovelluksen parhaat käyttäjät ja tarjoaa sovelluksen pääkonttorin sijaintikartan .

Suodata pilvipalvelun etsintätiedot ja luo tiettyjä näkymiä sen mukaan, mikä sinua kiinnostaa eniten. Lisätietoja on kohdassa Löydettyjen sovellusten suodattimet.

Ennakkovaatimukset

Lisätietoja tarvittavista rooleista on kohdassa Järjestelmänvalvojan käyttöoikeuksien hallinta.

Tutustu pilvietsintäkoontinäyttöön

Tässä ohjeartikkelissa kuvataan, miten voit saada ensimmäisen yleisen kuvan pilvietsintäsovelluksistasi Pilvietsintä-koontinäytössä.

  1. Valitse Microsoft Defender-portaalissa Pilvisovellukset > Pilvipalvelun etsintä.

    Esimerkki:

    Näyttökuva Pilvietsintä-koontinäytöstä

    Tuettuja sovelluksia ovat Windows- ja macOS-sovellukset, jotka molemmat on lueteltu Defender – hallitut päätepisteet -streamissa .

  2. Tarkista seuraavat tiedot:

    1. Korkean tason käytön yleiskatsauksen avulla voit ymmärtää pilvisovellusten yleistä käyttöä organisaatiossasi.

    2. Tutustu tarkemmin organisaatiosi yleisimpiin luokkiin kullekin eri käyttöparametrille. Huomaa, kuinka suuri osa tästä käytöstä on pakotteiden kohteena sovelluksissa.

    3. Siirry Löydettyjä sovelluksia -välilehdessä entistä syvemmälle ja tarkastele kaikkia tietyn luokan sovelluksia.

    4. Tarkista useimmilta käyttäjiltä ja ip-lähdeosoitteista , ketkä käyttäjät ovat organisaatiosi pilvisovellusten hallitsevia käyttäjiä.

    5. Sovelluksen pääkonttorikartan avulla voit tarkistaa, miten löydetyt sovellukset leviävät maantieteellisen sijainnin mukaan pääkonttorinsa mukaan.

    6. Sovellusriskien yleiskatsauksen avulla voit ymmärtää löydettyjen sovellusten riskipisteet ja tarkistaa etsintäilmoitusten tilan ja nähdä, kuinka monta avointa ilmoitusta sinun kannattaa tutkia.

Tutustutaan tarkemmin löydettyihin sovelluksiin

Jos haluat perehtyä tarkemmin pilvien etsintätietoihin, tarkista riskialttiit tai yleisesti käytetyt sovellukset suodattimien avulla.

Jos haluat esimerkiksi tunnistaa yleisesti käytettyjä, riskialttiita pilvitallennus- ja yhteistyösovelluksia, suodata haluamasi sovellukset Löydettyjen sovellusten sivulla. Poista sitten toimiminen tai estä ne seuraavasti:

  1. Valitse Microsoft Defender-portaalin Pilvisovellukset-kohdastaPilvietsintä. Valitse sitten Löydettyjä sovelluksia -välilehti.

  2. Valitse Löydetyt sovellukset -välilehden Selaa luokan mukaan -kohdasta sekä Pilvitallennustilaettä Yhteistyö.

  3. Lisäsuodattimien avulla voit määrittää yhteensopivuusriskitekijäksiSOC 2 = No.

  4. Määritä Käyttö-kohdankäyttäjiksi yli 50 käyttäjää ja Tapahtumien arvoksi yli 100.

  5. Suojausriskin määrittäminenlepäävän salauksen tiedoille on sama kuin Ei tueta. Määritä sitten riskipistemääräksi 6 tai pienempi.

    Näyttökuva löytyneiden sovellusten suodattimista.

Kun tulokset on suodatettu, poista ne käytöstä ja estä ne käyttämällä joukkotoiminnon valintaruutua poistaaksesi ne kaikki käytöstä yhdellä toiminnolla. Kun niitä ei ole estetty, estä niitä käyttämästä ympäristössäsi estävällä komentosarjalla.

Haluat ehkä myös tunnistaa tietyt sovellusesiintymät, jotka ovat käytössä tutkimalla löydettyjä alitoimialueita. Voit esimerkiksi erottaa eri SharePoint-sivustot toisistaan:

Alitoimialuesuodatin.

Huomautus

Syväsukelluksia löydettyihin sovelluksiin tuetaan vain palomuurissa ja välityssovelluksissa, jotka sisältävät kohde-URL-tietoja. Lisätietoja on kohdassa Tuetut palomuurit ja välitysohjelmat.

Jos Defender for Cloud Apps ei täsmää liikennelokeissa havaittua alitoimialuetta sovellusluetteloon tallennettujen tietojen kanssa, alitoimialue merkitään muuksi.

Tutustu resursseihin ja mukautettuihin sovelluksiin

Pilvitallennuksen avulla voit tutustua myös IaaS- ja PaaS-resursseihisi. Tutustu resurssien isännöintiympäristöjen toimintaan ja tarkastele itse isännöityjen sovellusten ja resurssien tietoja, kuten tallennustilejä, infrastruktuuria ja mukautettuja sovelluksia, joita isännöidään Azuressa, Google Cloud Platformissa ja AWS:ssä. Sen lisäksi, että näet IaaS-ratkaisujesi yleisen käytön, saat myös näkyvyyden kuhunkin isännöityihin resursseihin ja resurssien yleiseen käyttöön resurssikohtaisen riskin pienentämiseksi.

Jos lataat esimerkiksi paljon tietoja, selvitä, mihin resurssiin se ladataan, ja poraudu alaspäin nähdäksesi, kuka toiminnon suoritti.

Huomautus

Tätä tuetaan vain palomuurissa ja välitystiedoissa, jotka sisältävät kohde-URL-tietoja. Lisätietoja on tuettujen laitteiden luettelossa tuetuissa palomuureissa ja välityslaitteissa.

Löydettyjen resurssien tarkasteleminen:

  1. Valitse Microsoft Defender-portaalin Pilvisovellukset-kohdastaPilvietsintä. Valitse sitten Löytyneet resurssit -välilehti.

    Näyttökuva löytyneiden resurssien valikosta.

  2. Poraudu Etsityt resurssit -sivulla kuhunkin resurssiin, jotta näet, millaisia tapahtumia on tapahtunut, ketkä ovat sen käytössä, ja poraudu sitten alaspäin, jotta voit tutkia käyttäjiä vielä tarkemmin.

    Näyttökuva Löytyneet resurssit -välilehdestä.

  3. Valitse mukautettujen sovellusten kohdalla vaihtoehtovalikko rivin lopusta ja valitse sitten Lisää uusi mukautettu sovellus. Tämä avaa Lisää tämä sovellus - valintaikkunan, jossa voit nimetä ja tunnistaa sovelluksen, jotta se voidaan sisällyttää pilvien etsinnän koontinäyttöön.

Luo pilven etsinnän johtajaraportti

Paras tapa saada yleiskatsaus varjo-IT-käytöstä koko organisaatiossasi on luoda pilvihakujohtajaraportti. Tämä raportti tunnistaa tärkeimmät mahdolliset riskit ja auttaa suunnittelemaan työnkulun riskien lieventämiseksi ja hallitsemiseksi, kunnes ne on ratkaistu.

Pilvilöydön johtajaraportin luominen:

  1. Valitse Microsoft Defender-portaalin Pilvisovellukset-kohdastaPilvietsintä.

  2. Valitse Pilven etsintä -sivulta Toiminnot>Luo pilvilöytämisen johtaja -raportti.

  3. Voit halutessasi muuttaa raportin nimeä ja valita sitten Luo.

Entiteettien jättäminen pois

Jos sinulla on järjestelmän käyttäjiä, IP-osoitteita tai laitteita, jotka ovat äänekkäitä, mutta epäinterveitä tai entiteettejä, joita ei pitäisi esittää VARJO-IT-raporteissa, haluat ehkä jättää niiden tiedot pois analysoiduista pilvitietojen etsintätiedoista. Saatat esimerkiksi haluta jättää pois kaikki paikallisen isännän tiedot.

Poikkeuksen luominen:

  1. Valitse Microsoft Defender-portaalissa Asetukset>Pilvisovellukset>Pilvietsintä>Entiteetit pois jättäminen.

  2. Valitse joko Pois jätetyt käyttäjät, Pois jätetyt ryhmät, Pois jätetyt IP-osoitteet tai Pois jätetyt laitteet -välilehti ja lisää pois jättäminen valitsemalla +Lisää-painike .

  3. Lisää käyttäjän tunnus, IP-osoite tai laitteen nimi. Suosittelemme lisäämään tietoja siitä, miksi poissulkeminen tehtiin.

    Näyttökuva käyttäjän pois jättämisestä.

Huomautus

Kaikki entiteetin poikkeukset koskevat vain vasta vastaanotettuja tietoja. Pois jätettyjen entiteettien historialliset tiedot pysyvät säilytysajan (90 päivää) ajan.

Jatkuvien raporttien hallinta

Mukautetut jatkuvat raportit tarjoavat enemmän askelväliä, kun valvot organisaatiosi pilvietsintälokin tietoja. Luo mukautettuja raportteja, jotka suodattavat tiettyjä maantieteellisiä sijainteja, verkkoja ja sivustoja tai organisaatioyksiköitä. Oletusarvoisesti vain seuraavat raportit näkyvät pilven etsintäraportin valitsimessa:

  • Yleinen raportti kokoaa yhteen kaikki portaalin tiedot kaikista tietolähteistä, jotka olet sisällyttänyt lokeihisi. Yleinen raportti ei sisällä Microsoft Defender for Endpoint tietoja.

  • Tietolähdekohtainen raportti näyttää vain tietyn tietolähteen tiedot.

Uuden jatkuvan raportin luominen:

  1. Valitse Microsoft Defender portaalissa Asetukset>Pilvisovellukset>Pilvipalvelun etsinnän>jatkuva raportti>Luo raportti.

  2. Anna raportin nimi.

  3. Valitse sisällytettävät tietolähteet (kaikki tai tietyt).

  4. Määritä tiedoille haluamasi suodattimet. Nämä suodattimet voivat olla käyttäjäryhmiä, IP-osoitetunnisteita tai IP-osoitealueita. Lisätietoja IP-osoitetunnisteiden ja IP-osoitealueiden käsittelemisestä on kohdassa Tietojen järjestäminen tarpeittesi mukaan.

    Näyttökuva mukautetun jatkuvan raportin luomisesta.

Huomautus

Kaikki mukautetut raportit on rajoitettu enintään 1 Gigatavuun pakkaamattomia tietoja. Jos tietoja on yli 1 Gt, ensimmäiset 1 Gt tietoja viedään raporttiin.

Pilvipalvelun etsintätietojen poistaminen

Suosittelemme pilven etsintätietojen poistamista seuraavissa tapauksissa:

  • Jos latasit lokitiedostot manuaalisesti, järjestelmän päivittämisen jälkeen on kulunut kauan, etkä halua vanhojen tietojen vaikuttavan tuloksiin.

  • Kun määrität uuden mukautetun tietonäkymän, se koskee vain uusia tietoja tästä eteenpäin. Tällaisissa tapauksissa haluat ehkä poistaa vanhat tiedot ja ladata lokitiedostot uudelleen, jotta mukautettu tietonäkymä voi noutaa lokitiedoston tietojen tapahtumat.

  • Jos monet käyttäjät tai IP-osoitteet ovat hiljattain aloittaneet työskentelyn uudelleen oltuaan jonkin aikaa offline-tilassa, heidän toimintansa tunnistetaan poikkeavaksi ja se voi antaa sinulle vääriä positiivisia rikkomuksia.

Tärkeää

Varmista, että haluat poistaa tietoja, ennen kuin teet niin. Tämä toiminto on peruuttamaton, ja se poistaa kaikki järjestelmän pilven etsintätiedot.

Pilven etsintätietojen poistaminen:

  1. Valitse Microsoft Defender-portaalissa Asetukset>Pilvisovellukset>Pilvietsintä>Poista tiedot.

  2. Valitse Poista-painike .

    Näyttökuva pilvietsintätietojen poistamisesta.

Huomautus

Poistoprosessi kestää muutaman minuutin, eikä se ole välitön.

Seuraavat vaiheet

Luo tilannevedospilven etsintäraporteista

Määritä jatkuvalle raportille automaattinen lokin lataaminen

Pilvipalvelun etsintätietojen käsitteleminen

Löydä sovelluksia Microsoft Defender for Endpoint integroinnin avulla