Gedetecteerde apps filteren en opvragen in Microsoft Defender for Cloud Apps
Wanneer u een groot aantal gedetecteerde apps hebt, is het handig om ze te filteren en er query's op uit te voeren. In dit artikel wordt beschreven welke filters beschikbaar zijn en hoe u een query uitvoert op uw gedetecteerde apps.
Gedetecteerde app-filters
Er zijn twee manieren om uw gedetecteerde apps te filteren. Het basisfilter bevat de filters in deze afbeelding:
Wanneer u Geavanceerde filters inschakelt, ziet u een lijst met mogelijke filters, waaronder de volgende:
- App-tag: selecteer of de app is goedgekeurd of niet-goedgekeurd of niet is getagd. Daarnaast kunt u een aangepaste tag voor uw app maken en deze vervolgens gebruiken om te filteren op specifieke typen apps.
- Apps en domeinen: hiermee kunt u zoeken naar specifieke apps of apps die worden gebruikt in specifieke domeinen.
- Categorieën: met het categorieënfilter aan de linkerkant van de pagina kunt u zoeken naar typen apps op basis van app-categorieën. Voorbeelden van categorieën zijn apps voor sociale netwerken, cloudopslag-apps en hostingservices. U kunt meerdere categorieën tegelijk of één categorie selecteren en vervolgens de basis- en geavanceerde filters bovenaan toepassen.
- Nalevingsrisicofactor: hiermee kunt u zoeken naar specifieke standaarden, certificering en naleving waaraan de app kan voldoen (HIPAA, ISO 27001, SOC 2, PCI-DSS en meer).
- Algemene risicofactor: hiermee kunt u zoeken naar algemene risicofactoren, zoals populariteit van consumenten, landinstellingen van datacenters en meer.
- Risicoscore: hiermee kunt u apps filteren op risicoscore, zodat u zich bijvoorbeeld kunt richten op het beoordelen van alleen zeer riskante apps. U kunt ook de risicoscore overschrijven die is ingesteld door Defender for Cloud Apps. Zie Werken met de risicoscore voor meer informatie.
- Beveiligingsrisicofactor: hiermee kunt u filteren op basis van specifieke beveiligingsmaatregelen (zoals versleuteling in rust, meervoudige verificatie, enzovoort).
-
Gebruik: hiermee kunt u filteren op basis van de gebruiksstatistieken van deze app. Gebruik zoals apps met minder dan of meer dan een opgegeven aantal gegevensuploads, apps met meer dan of minder dan een opgegeven aantal gebruikers.
- Transactie: één logboekregel van gebruik tussen twee apparaten.
- Juridische risicofactor: hiermee kunt u filteren op basis van alle voorschriften en beleidsregels die aanwezig zijn om gegevensbescherming en privacy van de gebruikers van de app te garanderen, zoals voor DMCA- en gegevensretentiebeleid.
Aangepaste app-tags maken en beheren
U kunt een aangepaste app-tag maken. Deze tags kunnen vervolgens worden gebruikt als filters om dieper in te gaan op specifieke typen apps die u wilt onderzoeken. Bijvoorbeeld aangepaste watch lijst, toewijzing aan een specifieke bedrijfseenheid of aangepaste goedkeuringen, zoals 'goedgekeurd door juridisch'. App-tags kunnen ook worden gebruikt in beleid voor app-detectie in filters of door tags toe te passen op apps als onderdeel van de beleidsgovernanceacties.
Een aangepaste app-tag maken:
Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Selecteer onder Cloud Discoveryde optie App-tags. Selecteer vervolgens +App-tag toevoegen.
U kunt de tabel App-tags gebruiken om te bekijken welke apps momenteel zijn gelabeld met elke app-tag en u kunt ongebruikte app-tags verwijderen.
Als u een app-tag wilt toepassen, selecteert u op het tabblad Gedetecteerde apps de drie puntjes uiterst rechts van de naam van de app. Selecteer de app-tag die u wilt toepassen.
Opmerking
U kunt ook rechtstreeks in de tabel Gedetecteerde apps een nieuwe app-tag maken door App-tag maken te selecteren nadat u de drie puntjes rechts van een geselecteerde app hebt geselecteerd. Wanneer u de tag maakt vanuit de gedetecteerde app, kunt u deze toepassen op de app. U kunt het scherm App-tags ook openen door de koppeling Tags beheren in de hoek te selecteren.
Gedetecteerde app-query's
Als u een onderzoek nog eenvoudiger wilt maken, kunt u aangepaste query's maken en deze opslaan voor later gebruik.
Gebruik op de pagina Gedetecteerde apps de filters zoals hierboven beschreven om zo nodig in te zoomen op uw apps.
Nadat u de gewenste resultaten hebt bereikt, selecteert u de knop Opslaan als boven de filters.
Geef in het pop-upvenster Query opslaan de naam van uw query.
Als u deze query in de toekomst opnieuw wilt gebruiken, schuift u onder Query's omlaag naar Opgeslagen query's en selecteert u uw query.
Defender for Cloud Apps biedt u ook voorgestelde query's en kunt u aangepaste query's opslaan die u vaak gebruikt. Voorgestelde query's bieden u aanbevolen onderzoekswegen waarmee uw gedetecteerde apps worden gefilterd met behulp van de volgende optionele voorgestelde query's:
Cloud-apps die anoniem gebruik toestaan : filtert al uw gedetecteerde apps om alleen apps weer te geven die beveiligingsrisico's vormen, omdat ze geen gebruikersverificatie vereisen en gebruikers toestaan gegevens te uploaden.
Cloud-apps die CSA STAR-gecertificeerd zijn : filtert al uw gedetecteerde apps zodat alleen apps met CSA STAR-certificering worden weergegeven door zelfevaluatie, certificering, attestation of continue bewaking.
Cloud-apps die compatibel zijn met FedRAMP : filtert al uw gedetecteerde apps om alleen apps weer te geven waarvan de fedRAMP-nalevingsrisicofactor hoog, gemiddeld of laag is.
Cloudopslag- en samenwerkingsapps die eigenaar zijn van gebruikersgegevens : filtert al uw gedetecteerde apps om alleen apps weer te geven die riskant zijn, omdat u er geen eigenaar van bent over uw gegevens, maar ze behouden wel uw gegevens.
Cloudopslag-apps die riskant en niet-compatibel zijn : filtert al uw gedetecteerde apps om alleen apps weer te geven waarin ze niet compatibel zijn met SOC 2 of HIPAA, ze ondersteunen geen PCI DSS-versie en ze hebben een risicoscore van 5 of lager.
Zakelijke cloud-apps met zwakke verificatie : filtert al uw gedetecteerde apps om alleen apps weer te geven die GEEN ONDERSTEUNING bieden voor SAML, geen wachtwoordbeleid hebben en MFA niet inschakelen.
Zakelijke cloud-apps met zwakke versleuteling : filtert al uw gedetecteerde apps om alleen apps weer te geven die riskant zijn omdat ze data-at-rest niet versleutelen en geen versleutelingsprotocol ondersteunen.
AVG-compatibele cloud-apps : filtert al uw gedetecteerde apps om alleen apps weer te geven die gereed zijn voor de AVG. Omdat AVG-naleving een topprioriteit is, kunt u met deze query eenvoudig apps identificeren die gereed zijn voor de AVG en bedreigingen beperken door het risico te beoordelen van apps die dat niet zijn.
Daarnaast kunt u de voorgestelde query's gebruiken als uitgangspunt voor een nieuwe query. Selecteer eerst een van de voorgestelde query's. Breng vervolgens indien nodig wijzigingen aan en selecteer ten slotte Opslaan als om een nieuwe opgeslagen query te maken.