Udostępnij za pośrednictwem

Wyświetlanie odnalezionych aplikacji za pomocą pulpitu nawigacyjnego odnajdywania w chmurze

  • Artykuł

Strona Odnajdywanie w chmurze zawiera pulpit nawigacyjny, który zapewnia lepszy wgląd w sposób użycia aplikacji w chmurze w organizacji. Pulpit nawigacyjny zapewnia błyskawiczny widok typów używanych aplikacji, otwartych alertów i poziomów ryzyka aplikacji w organizacji. Pokazuje również, kim są twoi najważniejsi użytkownicy aplikacji, i udostępnia mapę lokalizacji siedziby aplikacji .

Filtruj dane odnajdywania w chmurze , aby wygenerować określone widoki, w zależności od tego, co cię najbardziej interesuje. Aby uzyskać więcej informacji, zobacz Odnalezione filtry aplikacji.

Wymagania wstępne

Aby uzyskać informacje o wymaganych rolach, zobacz Zarządzanie dostępem administratora.

Przeglądanie pulpitu nawigacyjnego odnajdywania w chmurze

W tej procedurze opisano sposób uzyskiwania początkowego, ogólnego obrazu aplikacji do odnajdywania w chmurze na pulpicie nawigacyjnym odnajdywania w chmurze .

  1. W portalu Microsoft Defender wybierz pozycję Aplikacje w chmurze Odnajdywanie w > chmurze.

    Przykład:

    Zrzut ekranu przedstawiający pulpit nawigacyjny odnajdywania w chmurze

    Obsługiwane aplikacje obejmują aplikacje systemu Windows i macOS, które są wymienione w strumieniu Defender — zarządzane punkty końcowe .

  2. Przejrzyj następujące informacje:

    1. Omówienie użycia wysokiego poziomu umożliwia zrozumienie ogólnego użycia aplikacji w chmurze w organizacji.

    2. Zapoznaj się z jednym poziomem bardziej szczegółowo, aby zrozumieć najważniejsze kategorie używane w organizacji dla każdego z różnych parametrów użycia. Zwróć uwagę na to, ile tego użycia mają objęte sankcjami aplikacje.

    3. Użyj karty Odnalezione aplikacje , aby przejść jeszcze głębiej i wyświetlić wszystkie aplikacje w określonej kategorii.

    4. Sprawdź najlepszych użytkowników i źródłowe adresy IP , aby określić, którzy użytkownicy są najbardziej dominującym użytkownikiem aplikacji w chmurze w organizacji.

    5. Użyj mapy siedziby aplikacji , aby sprawdzić, jak odnalezione aplikacje rozprzestrzeniają się zgodnie z lokalizacją geograficzną, zgodnie z ich siedzibą.

    6. Zapoznaj się z omówieniem ryzyka aplikacji , aby zrozumieć wynik ryzyka odnalezionych aplikacji i sprawdzić stan alertów odnajdywania , aby zobaczyć, ile otwartych alertów należy zbadać.

Szczegółowe omówienie odnalezionych aplikacji

Aby dokładniej zapoznać się z danymi odnajdywania w chmurze, użyj filtrów, aby sprawdzić, czy nie ma ryzykownych lub często używanych aplikacji.

Jeśli na przykład chcesz zidentyfikować często używane, ryzykowne aplikacje magazynu i współpracy w chmurze, użyj strony Odnalezione aplikacje , aby filtrować żądane aplikacje. Następnie usuń je lub zablokuj w następujący sposób:

  1. W portalu Microsoft Defender w obszarze Cloud Apps wybierz pozycję Odnajdywanie w chmurze. Następnie wybierz kartę Odnalezione aplikacje .

  2. Na karcie Odnalezione aplikacje w obszarze Przeglądaj według wybierz pozycję Magazyn w chmurze i Współpraca.

  3. Użyj zaawansowanych filtrów, aby ustawić współczynnik ryzyka zgodności na wartość SOC 2 = Nr.

  4. W obszarze Użycie ustaw wartość Użytkownicy na większą niż 50 użytkowników, a wartość Transakcje na większą niż 100.

  5. Ustaw współczynnik ryzyka bezpieczeństwa dla szyfrowania danych magazynowanych na wartość Nieobsługiwane. Następnie ustaw wartość Wynik ryzyka na wartość 6 lub niższą.

    Zrzut ekranu przedstawiający przykładowe filtry odnalezionych aplikacji.

Po przefiltrowaniu wyników usuń je i zablokuj przy użyciu pola wyboru akcji zbiorczej, aby anulować ich wszystkie w jednej akcji. Gdy nie zostaną one zastosowane, użyj skryptu blokującego, aby zablokować ich używanie w środowisku.

Możesz również zidentyfikować określone wystąpienia aplikacji, które są używane, badając odnalezione poddomeny. Na przykład rozróżnij różne witryny programu SharePoint:

Filtr poddomeny.

Uwaga

Szczegółowe informacje na temat odnalezionych aplikacji są obsługiwane tylko w zaporach i serwerach proxy zawierających docelowe dane adresu URL. Aby uzyskać więcej informacji, zobacz Obsługiwane zapory i serwery proxy.

Jeśli Defender for Cloud Apps nie może być zgodna z poddomeną wykrytą w dziennikach ruchu z danymi przechowywanymi w katalogu aplikacji, poddomena zostanie oznaczona jako Inna.

Odnajdywanie zasobów i aplikacji niestandardowych

Odnajdywanie w chmurze umożliwia również omówienie zasobów IaaS i PaaS. Odkryj aktywność na platformach hostingu zasobów, wyświetlając dostęp do danych w ramach własnych aplikacji i zasobów, w tym kont magazynu, infrastruktury i niestandardowych aplikacji hostowanych na platformie Azure, platformie Google Cloud Platform i platformie AWS. Nie tylko widzisz ogólne użycie w rozwiązaniach IaaS, ale możesz uzyskać wgląd w określone zasoby, które są hostowane na każdym z nich, oraz ogólne użycie zasobów, aby zmniejszyć ryzyko dla każdego zasobu.

Jeśli na przykład przekazano dużą ilość danych, odkryj zasób, do którego został przekazany, i przejdź do szczegółów, aby zobaczyć, kto wykonał działanie.

Uwaga

Jest to obsługiwane tylko w zaporach i serwerach proxy zawierających docelowe dane adresu URL. Aby uzyskać więcej informacji, zobacz listę obsługiwanych urządzeń w obszarze Obsługiwane zapory i serwery proxy.

Aby wyświetlić odnalezione zasoby:

  1. W portalu Microsoft Defender w obszarze Cloud Apps wybierz pozycję Odnajdywanie w chmurze. Następnie wybierz kartę Odnalezione zasoby .

    Zrzut ekranu przedstawiający menu odnalezionych zasobów.

  2. Na stronie Odnalezione zasoby przejdź do szczegółów każdego zasobu, aby zobaczyć, jakiego rodzaju transakcje miały miejsce, kto uzyskał do niego dostęp, a następnie przejdź do szczegółów, aby jeszcze bardziej zbadać użytkowników.

    Zrzut ekranu przedstawiający kartę Odnalezione zasoby.

  3. W przypadku aplikacji niestandardowych wybierz menu opcji na końcu wiersza, a następnie wybierz pozycję Dodaj nową aplikację niestandardową. Spowoduje to otwarcie okna dialogowego Dodawanie tej aplikacji , w którym można nazwać i zidentyfikować aplikację, aby mogła ona zostać uwzględniona na pulpicie nawigacyjnym odnajdywania w chmurze.

Generowanie raportu wykonawczego dotyczącego odnajdywania w chmurze

Najlepszym sposobem uzyskania przeglądu użycia rozwiązania Shadow IT w całej organizacji jest wygenerowanie raportu wykonawczego dotyczącego odnajdywania w chmurze. Ten raport identyfikuje najważniejsze potencjalne zagrożenia i pomaga zaplanować przepływ pracy w celu ograniczenia ryzyka i zarządzania nimi do czasu ich rozwiązania.

Aby wygenerować raport wykonawczy dotyczący odnajdywania w chmurze:

  1. W portalu Microsoft Defender w obszarze Cloud Apps wybierz pozycję Odnajdywanie w chmurze.

  2. Na stronie Odnajdywanie chmury wybierz pozycję Akcje>Generuj raport wykonawczy usługi Cloud Discovery.

  3. Opcjonalnie zmień nazwę raportu, a następnie wybierz pozycję Generuj.

Wykluczanie jednostek

Jeśli masz użytkowników systemu, adresy IP lub urządzenia, które są hałaśliwe, ale nieinteresujące, lub jednostki, które nie powinny być prezentowane w raportach IT w tle, możesz wykluczyć ich dane z analizowanych danych odnajdywania w chmurze. Na przykład można wykluczyć wszystkie informacje pochodzące z hosta lokalnego.

Aby utworzyć wykluczenie:

  1. W portalu Microsoft Defender wybierz pozycję Ustawienia>Usługi Cloud Apps>Cloud Discovery>Wyklucz jednostki.

  2. Wybierz kartę Wykluczeni użytkownicy, Wykluczone grupy, Wykluczone adresy IP lub Wykluczone urządzenia i wybierz przycisk +Dodaj , aby dodać wykluczenie.

  3. Dodaj alias użytkownika, adres IP lub nazwę urządzenia. Zalecamy dodanie informacji o przyczynach wykluczenia.

    Zrzut ekranu przedstawiający wykluczanie użytkownika.

Uwaga

Wszystkie wykluczenia jednostek mają zastosowanie tylko do nowo odebranych danych. Dane historyczne wykluczonych jednostek pozostają w okresie przechowywania (90 dni).

Zarządzanie raportami ciągłymi

Niestandardowe raporty ciągłe zapewniają większą stopień szczegółowości podczas monitorowania danych dziennika odnajdywania w chmurze w organizacji. Tworzenie raportów niestandardowych w celu filtrowania określonych lokalizacji geograficznych, sieci i lokacji lub jednostek organizacyjnych. Domyślnie w selektorze raportów odnajdywania w chmurze są wyświetlane tylko następujące raporty:

  • Raport globalny konsoliduje wszystkie informacje w portalu ze wszystkich źródeł danych uwzględnionych w dziennikach. Raport globalny nie zawiera danych z Ochrona punktu końcowego w usłudze Microsoft Defender.

  • Raport specyficzny dla źródła danych zawiera tylko informacje z określonego źródła danych.

Aby utworzyć nowy raport ciągły:

  1. W portalu Microsoft Defender wybierz pozycję Ustawienia>Usługi Cloud Apps>Raport ciągłyodnajdywania> wchmurzeUtwórz raport>.

  2. Wprowadź nazwę raportu.

  3. Wybierz źródła danych, które chcesz uwzględnić (wszystkie lub określone).

  4. Ustaw filtry, które mają zostać ustawione na danych. Te filtry mogą być grupami użytkowników, tagami adresów IP lub zakresami adresów IP. Aby uzyskać więcej informacji na temat pracy z tagami adresów IP i zakresami adresów IP, zobacz Organizowanie danych zgodnie z potrzebami.

    Zrzut ekranu przedstawiający tworzenie niestandardowego raportu ciągłego.

Uwaga

Wszystkie raporty niestandardowe są ograniczone do maksymalnie 1 GB nieskompresowanych danych. Jeśli jest więcej niż 1 GB danych, pierwsze 1 GB danych zostanie wyeksportowane do raportu.

Usuwanie danych odnajdywania w chmurze

Zalecamy usunięcie danych odnajdywania w chmurze w następujących przypadkach:

  • Jeśli pliki dziennika zostały przekazane ręcznie, minęło dużo czasu od zaktualizowania systemu o nowe pliki dziennika i nie chcesz, aby stare dane wpływały na wyniki.

  • Po ustawieniu nowego niestandardowego widoku danych ma on zastosowanie tylko do nowych danych od tego momentu. W takich przypadkach możesz chcieć wymazać stare dane, a następnie ponownie przekazać pliki dziennika, aby umożliwić niestandardowemu widokowi danych odbieranie zdarzeń w danych pliku dziennika.

  • Jeśli wielu użytkowników lub adresów IP niedawno zaczęło działać ponownie po przejściu do trybu offline przez jakiś czas, ich działanie jest identyfikowane jako nietypowe i może dawać fałszywie dodatnie naruszenia.

Ważna

Przed wykonaniem tej czynności upewnij się, że chcesz usunąć dane. Ta akcja jest nieodwracalna i usuwa wszystkie dane odnajdywania w chmurze w systemie.

Aby usunąć dane odnajdywania w chmurze:

  1. W portalu Microsoft Defender wybierz pozycję Ustawienia>Cloud Apps>Cloud Discovery>Usuń dane.

  2. Wybierz przycisk Usuń .

    Zrzut ekranu przedstawiający usuwanie danych odnajdywania w chmurze.

Uwaga

Proces usuwania trwa kilka minut i nie jest natychmiastowy.

Następne kroki

Tworzenie raportów odnajdywania w chmurze migawek

Konfigurowanie automatycznego przekazywania dziennika dla raportów ciągłych

Praca z danymi odnajdywania w chmurze

Odnajdywanie aplikacji przy użyciu integracji Ochrona punktu końcowego w usłudze Microsoft Defender