Delen via

Gedetecteerde apps weergeven met het clouddetectiedashboard

  • Artikel

De pagina Clouddetectie biedt een dashboard dat is ontworpen om u meer inzicht te geven in hoe cloud-apps in uw organisatie worden gebruikt. Het dashboard biedt in één oogopslag een overzicht van de typen apps die worden gebruikt, uw geopende waarschuwingen en de risiconiveaus van apps in uw organisatie. U ziet ook wie uw belangrijkste app-gebruikers zijn en biedt een locatieoverzicht van het app-hoofdkantoor .

Filter uw clouddetectiegegevens om specifieke weergaven te genereren, afhankelijk van wat u het meest interesseert. Zie Gedetecteerde app-filters voor meer informatie.

Vereisten

Zie Beheerderstoegang beheren voor informatie over vereiste rollen.

Het clouddetectiedashboard controleren

In deze procedure wordt beschreven hoe u een eerste, algemeen beeld krijgt van uw clouddetectie-apps in het dashboard clouddetectie .

  1. Selecteer cloud-apps > clouddetectie in de Microsoft Defender-portal.

    Bijvoorbeeld:

    Schermopname van het clouddetectiedashboard

    Ondersteunde apps zijn onder andere Windows- en macOS-apps, die beide worden vermeld onder de stream Defender - beheerde eindpunten .

  2. Bekijk de volgende informatie:

    1. Gebruik het gebruiksoverzicht op hoog niveau om inzicht te hebben in het algehele gebruik van cloud-apps in uw organisatie.

    2. Duik één niveau dieper om inzicht te krijgen in de belangrijkste categorieën die in uw organisatie worden gebruikt voor elk van de verschillende gebruiksparameters. Let op hoeveel van dit gebruik wordt gebruikt door goedgekeurde apps.

    3. Gebruik het tabblad Gedetecteerde apps om nog dieper te gaan en alle apps in een specifieke categorie te bekijken.

    4. Controleer de belangrijkste gebruikers en bron-IP-adressen om te bepalen welke gebruikers de meest dominante gebruikers van cloud-apps in uw organisatie zijn.

    5. Gebruik de hoofdmap van de app om te controleren hoe de gedetecteerde apps zich verspreiden op basis van de geografische locatie, op basis van hun hoofdkantoor.

    6. Gebruik het Overzicht van app-risico's om de risicoscore van gedetecteerde apps te begrijpen en controleer de status van detectiewaarschuwingen om te zien hoeveel open waarschuwingen u moet onderzoeken.

Uitgebreide informatie over gedetecteerde apps

Als u meer wilt weten over clouddetectiegegevens, gebruikt u de filters om te controleren op riskante of veelgebruikte apps.

Als u bijvoorbeeld veelgebruikte, riskante cloudopslag- en samenwerkings-apps wilt identificeren, gebruikt u de pagina Gedetecteerde apps om te filteren op de gewenste apps. Vervolgens kunt u de goedkeuring als volgt intrekken of blokkeren :

  1. Selecteer in de Microsoft Defender-portal onder Cloud-appsde optie Clouddetectie. Kies vervolgens het tabblad Gedetecteerde apps .

  2. Selecteer op het tabblad Gedetecteerde apps onder Bladeren op categorie de optie Cloudopslag en Samenwerking.

  3. Gebruik de geavanceerde filters om nalevingsrisicofactor in te stellen op SOC 2 = Nee.

  4. Voor Gebruik stelt u Gebruikers in op meer dan 50 gebruikers en Transacties op groter dan 100.

  5. Stel de beveiligingsrisicofactor in voor data-at-rest-versleuteling is gelijk aan Niet ondersteund. Vervolgens is de risicoscore gelijk aan 6 of lager.

    Schermopname van voorbeeld van gedetecteerde app-filters.

Nadat de resultaten zijn gefilterd, kunt u de goedkeuring ongedaan maken en blokkeren met behulp van het selectievakje bulkactie om ze allemaal in één actie ongedaan te maken. Zodra ze niet zijn toegestaan, gebruikt u een blokkerend script om te voorkomen dat ze in uw omgeving worden gebruikt.

Mogelijk wilt u ook specifieke app-exemplaren identificeren die in gebruik zijn door de gedetecteerde subdomeinen te onderzoeken. Maak bijvoorbeeld onderscheid tussen verschillende SharePoint-sites:

Subdomeinfilter.

Opmerking

Uitgebreide informatie over gedetecteerde apps wordt alleen ondersteund in firewalls en proxy's die doel-URL-gegevens bevatten. Zie Ondersteunde firewalls en proxy's voor meer informatie.

Als Defender for Cloud Apps het subdomein dat is gedetecteerd in de verkeerslogboeken niet kan overeenkomen met de gegevens die zijn opgeslagen in de app-catalogus, wordt het subdomein gelabeld als Overige.

Resources en aangepaste apps detecteren

Met clouddetectie kunt u zich ook verdiepen in uw IaaS- en PaaS-resources. Ontdek activiteiten op uw resource-hostingplatforms en bekijk toegang tot gegevens in uw zelf-hostende apps en resources, waaronder opslagaccounts, infrastructuur en aangepaste apps die worden gehost in Azure, Google Cloud Platform en AWS. U kunt niet alleen het totale gebruik van uw IaaS-oplossingen zien, maar u kunt ook inzicht krijgen in de specifieke resources die op elk van deze oplossingen worden gehost en het totale gebruik van de resources om het risico per resource te beperken.

Als er bijvoorbeeld een grote hoeveelheid gegevens wordt geüpload, ontdekt u naar welke resource deze is geüpload en zoomt u in om te zien wie de activiteit heeft uitgevoerd.

Opmerking

Dit wordt alleen ondersteund in firewalls en proxy's die doel-URL-gegevens bevatten. Zie de lijst met ondersteunde apparaten in Ondersteunde firewalls en proxy's voor meer informatie.

Gedetecteerde resources weergeven:

  1. Selecteer in de Microsoft Defender-portal onder Cloud-appsde optie Clouddetectie. Kies vervolgens het tabblad Gedetecteerde resources .

    Schermopname van het menu gedetecteerde resources.

  2. Op de pagina Gedetecteerde resources zoomt u in op elke resource om te zien welke soorten transacties zijn opgetreden, wie er toegang heeft tot de resource en zoom vervolgens in om de gebruikers nog verder te onderzoeken.

    Schermopname van het tabblad Gedetecteerde resources.

  3. Voor aangepaste apps selecteert u het menu Opties aan het einde van de rij en selecteert u vervolgens Nieuwe aangepaste app toevoegen. Hiermee opent u het dialoogvenster Deze app toevoegen , waarin u de app een naam kunt geven en identificeren, zodat deze kan worden opgenomen in het dashboard voor clouddetectie.

Een executive-rapport voor clouddetectie genereren

De beste manier om een overzicht te krijgen van het gebruik van Shadow IT in uw organisatie is door een cloud discovery-executiverapport te genereren. Dit rapport identificeert de belangrijkste potentiële risico's en helpt u bij het plannen van een werkstroom om risico's te beperken en te beheren totdat ze zijn opgelost.

Ga als volgende te werk om een cloud discovery executive-rapport te genereren:

  1. Selecteer in de Microsoft Defender-portal onder Cloud-appsde optie Clouddetectie.

  2. Selecteer op de pagina Clouddetectiede optie Acties>Cloud Discovery-executiverapport genereren.

  3. Wijzig eventueel de naam van het rapport en selecteer vervolgens Genereren.

Entiteiten uitsluiten

Als u systeemgebruikers, IP-adressen of apparaten hebt die luidruchtig maar oninteresserend zijn, of entiteiten die niet in de Schaduw-IT-rapporten moeten worden weergegeven, kunt u hun gegevens uitsluiten van de clouddetectiegegevens die worden geanalyseerd. U kunt bijvoorbeeld alle informatie uitsluiten die afkomstig is van een lokale host.

Een uitsluiting maken:

  1. Selecteer in de Microsoft Defender-portal Instellingen>Cloud-apps>CloudDetectie>entiteiten uitsluiten.

  2. Selecteer het tabblad Uitgesloten gebruikers, Uitgesloten groepen, Uitgesloten IP-adressen of Uitgesloten apparaten en selecteer de knop +Toevoegen om uw uitsluiting toe te voegen.

  3. Voeg een gebruikersalias, IP-adres of apparaatnaam toe. We raden u aan informatie toe te voegen over waarom de uitsluiting is gemaakt.

    Schermopname van het uitsluiten van een gebruiker.

Opmerking

Alle entiteitsuitsluitingen zijn alleen van toepassing op nieuw ontvangen gegevens. Historische gegevens van de uitgesloten entiteiten blijven bewaard gedurende de bewaarperiode (90 dagen).

Doorlopende rapporten beheren

Aangepaste continue rapporten bieden meer granulariteit bij het bewaken van de logboekgegevens voor clouddetectie van uw organisatie. Maak aangepaste rapporten om te filteren op specifieke geografische locaties, netwerken en sites, of organisatie-eenheden. Standaard worden alleen de volgende rapporten weergegeven in de rapportkiezer voor clouddetectie:

  • Het globale rapport consolideert alle informatie in de portal van alle gegevensbronnen die u in uw logboeken hebt opgenomen. Het globale rapport bevat geen gegevens van Microsoft Defender voor Eindpunt.

  • In het rapport Gegevensbronspecifiek worden alleen gegevens uit een specifieke gegevensbron weergegeven.

Een nieuw doorlopend rapport maken:

  1. Selecteer in de Microsoft Defender-portal Instellingen>Cloud-apps>Continu>rapport> Rapportmaken.

  2. Voer een rapportnaam in.

  3. Selecteer de gegevensbronnen die u wilt opnemen (alle of specifieke).

  4. Stel de gewenste filters in voor de gegevens. Deze filters kunnen gebruikersgroepen, IP-adrestags of IP-adresbereiken zijn. Zie De gegevens organiseren op basis van uw behoeften voor meer informatie over het werken met IP-adrestags en IP-adresbereiken.

    Schermopname van het maken van een aangepast doorlopend rapport.

Opmerking

Alle aangepaste rapporten zijn beperkt tot maximaal 1 GB aan niet-gecomprimeerde gegevens. Als er meer dan 1 GB aan gegevens is, wordt de eerste 1 GB aan gegevens geëxporteerd naar het rapport.

Clouddetectiegegevens verwijderen

In de volgende gevallen raden we u aan clouddetectiegegevens te verwijderen:

  • Als u handmatig logboekbestanden hebt geüpload, is er een lange tijd verstreken sinds u het systeem hebt bijgewerkt met nieuwe logboekbestanden en wilt u niet dat oude gegevens uw resultaten beïnvloeden.

  • Wanneer u een nieuwe aangepaste gegevensweergave instelt, is deze alleen van toepassing op nieuwe gegevens vanaf dat punt. In dergelijke gevallen wilt u mogelijk oude gegevens wissen en vervolgens uw logboekbestanden opnieuw uploaden, zodat de aangepaste gegevensweergave gebeurtenissen in de logboekbestandsgegevens kan ophalen.

  • Als veel gebruikers of IP-adressen onlangs weer zijn gaan werken nadat ze enige tijd offline zijn geweest, wordt hun activiteit geïdentificeerd als afwijkend en kunnen ze fout-positieve schendingen opleveren.

Belangrijk

Zorg ervoor dat u gegevens wilt verwijderen voordat u dit doet. Deze actie is onomkeerbaar en verwijdert alle clouddetectiegegevens in het systeem.

Cloud discovery-gegevens verwijderen:

  1. Selecteer in de Microsoft Defender Portal Instellingen>Cloud Apps>Cloud Discovery>Gegevens verwijderen.

  2. Selecteer de knop Verwijderen .

    Schermopname van het verwijderen van clouddetectiegegevens.

Opmerking

Het verwijderingsproces duurt enkele minuten en is niet onmiddellijk.

Volgende stappen

Clouddetectierapporten voor momentopnamen maken

Automatisch uploaden van logboeken configureren voor doorlopende rapporten

Werken met clouddetectiegegevens

Apps detecteren met behulp van de integratie van Microsoft Defender voor Eindpunt