Поделиться через

Просмотр обнаруженных приложений с помощью панели мониторинга Cloud Discovery

  • Статья

На странице Cloud Discovery представлена панель мониторинга, предназначенная для получения дополнительных сведений о том, как облачные приложения используются в вашей организации. Панель мониторинга предоставляет представление типов используемых приложений, открытых оповещений и уровней риска приложений в вашей организации. В нем также показано, кто является вашими лучшими пользователями приложения, и предоставляется карта расположения штаб-квартиры приложения .

Отфильтруйте данные cloud discovery для создания определенных представлений в зависимости от того, что вас больше всего интересует. Дополнительные сведения см. в разделе Обнаруженные фильтры приложений.

Предварительные условия

Сведения о необходимых ролях см. в разделе Управление доступом администратора.

Просмотр панели мониторинга облачного обнаружения

В этой процедуре описывается, как получить начальную общую картину приложений облачного обнаружения на панели мониторинга cloud discovery .

  1. На портале Microsoft Defender выберите Облачные приложения > Cloud Discovery.

    Например:

    Снимок экрана: панель мониторинга cloud discovery

    Поддерживаемые приложения включают приложения Windows и macOS, которые перечислены в потоке управляемых конечных точек Defender .

  2. Ознакомьтесь со следующими сведениями:

    1. Общие сведения об использовании облачных приложений в организации см. в статье Общие сведения об использовании облачных приложений.

    2. Перейдите на один уровень глубже, чтобы понять основные категории , используемые в организации для каждого из различных параметров использования. Обратите внимание на то, сколько из этого используется санкционированными приложениями.

    3. Перейдите на вкладку Обнаруженные приложения , чтобы еще глубже просмотреть все приложения в определенной категории.

    4. Проверьте основных пользователей и исходные IP-адреса , чтобы определить, какие пользователи являются наиболее доминирующими пользователями облачных приложений в вашей организации.

    5. Используйте карту штаб-квартиры приложений, чтобы проверка, как обнаруженные приложения распространяются в соответствии с географическим расположением в соответствии с их штаб-квартирой.

    6. Используйте обзор рисков приложений, чтобы понять оценку риска обнаруженных приложений и проверка состояние оповещений об обнаружении, чтобы узнать, сколько открытых оповещений следует исследовать.

Подробное изучение обнаруженных приложений

Чтобы углубиться в данные обнаружения облака, используйте фильтры для проверка для рискованных или часто используемых приложений.

Например, если вы хотите определить часто используемые, рискованные облачные хранилища и приложения для совместной работы, используйте страницу Обнаруженные приложения , чтобы отфильтровать нужные приложения. Затем отмените или заблокируйте их следующим образом:

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Обнаружение облаков. Затем перейдите на вкладку Обнаруженные приложения .

  2. На вкладке Обнаруженные приложения в разделе Обзор по категории выберите Облачное хранилище и Совместная работа.

  3. Используйте расширенные фильтры, чтобы задать для параметра риска соответствия значениеSOC 2 = No.

  4. Для параметра Использование задайте для параметра Пользователи значение больше 50 пользователей, а для транзакций — значение больше 100.

  5. Установите для параметра Коэффициент риска безопасности для шифрования неактивных данных значение Не поддерживается. Затем установите оценку риска , равную 6 или ниже.

    Снимок экрана: примеры обнаруженных фильтров приложений.

После фильтрации результатов отмените и заблокируйте их с помощью флажка массового действия, чтобы отменить их все в одном действии. После несанкционированного использования используйте сценарий блокировки, чтобы заблокировать их использование в вашей среде.

Вы также можете определить конкретные экземпляры приложений, которые используются, изувеив обнаруженные поддомены. Например, различайте различные сайты SharePoint:

Фильтр поддомена.

Примечание.

Подробные сведения об обнаруженных приложениях поддерживаются только в брандмауэрах и прокси-серверах, содержащих данные целевого URL-адреса. Дополнительные сведения см. в разделе Поддерживаемые брандмауэры и прокси-серверы.

Если Defender for Cloud Apps не может сопоставить поддомен, обнаруженный в журналах трафика, с данными, хранящимися в каталоге приложений, поддомен помечается как Other.

Обнаружение ресурсов и пользовательских приложений

Обнаружение в облаке также позволяет изучить ресурсы IaaS и PaaS. Узнайте о действиях на платформах размещения ресурсов, просматривая доступ к данным в локальных приложениях и ресурсах, включая учетные записи хранения, инфраструктуру и пользовательские приложения, размещенные в Azure, Google Cloud Platform и AWS. Вы можете не только увидеть общее использование в решениях IaaS, но и получить представление о конкретных ресурсах, размещенных в каждом из них, и об общем использовании ресурсов, чтобы помочь снизить риск для каждого ресурса.

Например, если отправляется большой объем данных, узнайте, в какой ресурс он отправлен, и выполните детализацию, чтобы узнать, кто выполнил действие.

Примечание.

Это поддерживается только в брандмауэрах и прокси-серверах, содержащих данные целевого URL-адреса. Дополнительные сведения см. в списке поддерживаемых устройств в разделе Поддерживаемые брандмауэры и прокси-серверы.

Чтобы просмотреть обнаруженные ресурсы, выполните приведенные ниже действия.

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Обнаружение облаков. Затем перейдите на вкладку Обнаруженные ресурсы .

    Снимок экрана: меню обнаруженных ресурсов.

  2. На странице Обнаруженные ресурсы выполните детализацию по каждому ресурсу, чтобы узнать, какие типы транзакций выполнялись, кто к ним обращается, а затем детализируйте, чтобы изучить пользователей еще больше.

    Снимок экрана: вкладка

  3. Для пользовательских приложений выберите меню параметров в конце строки, а затем выберите Добавить новое пользовательское приложение. Откроется диалоговое окно Добавление этого приложения , в котором можно назвать и определить приложение, чтобы его можно было включить в панель мониторинга облачного обнаружения.

Создание исполнительного отчета об обнаружении облака

Лучший способ получить общие сведения об использовании теневых ИТ в организации — создать исполнительный отчет об обнаружении облака. Этот отчет определяет основные потенциальные риски и помогает спланировать рабочий процесс для снижения рисков и управления ими до тех пор, пока они не будут устранены.

Чтобы создать отчет об облачном обнаружении, выполните приведенные далее действия.

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Обнаружение облаков.

  2. На странице Обнаружение в облаке выберите Действия>Создать исполнительный отчет Cloud Discovery.

  3. При необходимости измените имя отчета и нажмите кнопку Создать.

Исключение сущностей

Если у вас есть системные пользователи, IP-адреса или устройства, которые являются шумными, но неинтересными, или сущностями, которые не должны отображаться в отчетах теневых ИТ-специалистов, вы можете исключить их данные из анализируемых данных облачного обнаружения. Например, может потребоваться исключить всю информацию, полученную от локального узла.

Чтобы создать исключение, выполните приведенные далее действия.

  1. На портале Microsoft Defender выберите Параметры Облачные>приложения>Cloud Discovery>Исключить сущности.

  2. Выберите вкладку Исключенные пользователи, Исключенные группы, Исключенные IP-адреса или Исключенные устройства и нажмите кнопку +Добавить , чтобы добавить исключение.

  3. Добавьте псевдоним пользователя, IP-адрес или имя устройства. Рекомендуется добавить сведения о том, почему было сделано исключение.

    Снимок экрана: исключение пользователя.

Примечание.

Все исключения сущностей применяются только к вновь полученным данным. Исторические данные исключенных сущностей остаются в течение периода хранения (90 дней).

Управление непрерывными отчетами

Пользовательские непрерывные отчеты обеспечивают большую детализацию при мониторинге данных журнала облачного обнаружения в организации. Создавайте настраиваемые отчеты для фильтрации по определенным географическим расположениям, сетям и сайтам или подразделениям. По умолчанию в селекторе отчетов об облачном обнаружении отображаются только следующие отчеты:

  • Глобальный отчет объединяет все сведения на портале из всех источников данных, включенных в журналы. Глобальный отчет не включает данные из Microsoft Defender для конечной точки.

  • В отчете об источнике данных отображаются только сведения из определенного источника данных.

Чтобы создать новый непрерывный отчет, выполните приведенные далее действия.

  1. На портале Microsoft Defender выберите Параметры Облачные>приложения>Cloud Discovery>Непрерывный отчет>Создать отчет.

  2. Введите имя отчета.

  3. Выберите источники данных, которые нужно включить (все или конкретные).

  4. Задайте нужные фильтры для данных. Это могут быть группы пользователей, теги IP-адресов или диапазоны IP-адресов. Дополнительные сведения о работе с тегами IP-адресов и диапазонами IP-адресов см. в разделе Упорядочение данных в соответствии с вашими потребностями.

    Снимок экрана: создание пользовательского непрерывного отчета.

Примечание.

Все пользовательские отчеты ограничены не более 1 ГБ несжатых данных. Если объем данных превышает 1 ГБ, первые 1 ГБ данных будут экспортированы в отчет.

Удаление данных облачного обнаружения

Рекомендуется удалять данные обнаружения в облаке в следующих случаях:

  • Если вы вручную отправили файлы журнала, прошло много времени, так как вы обновили систему новыми файлами журналов, и вы не хотите, чтобы старые данные влияли на ваши результаты.

  • При настройке нового пользовательского представления данных оно применяется только к новым данным, начиная с этого момента. В таких случаях может потребоваться удалить старые данные, а затем снова отправить файлы журнала, чтобы пользовательское представление данных мог получать события в файле журнала.

  • Если многие пользователи или IP-адреса недавно начали работать снова после некоторого времени в автономном режиме, их активность определяется как аномальная и может привести к ложноположительным нарушениям.

Важно!

Перед этим обязательно удалите данные. Это действие является irreversbile и удаляет все данные об обнаружении облака в системе.

Чтобы удалить данные обнаружения в облаке, выполните приведенные далее действия.

  1. На портале Microsoft Defender выберите Параметры Облачные>приложения>Cloud Discovery>Удалить данные.

  2. Нажмите кнопку Удалить .

    Снимок экрана: удаление данных облачного обнаружения.

Примечание.

Процесс удаления занимает несколько минут и не является немедленным.

Дальнейшие действия

Создание snapshot отчетов об обнаружении облака

Настройка автоматической отправки журналов для непрерывных отчетов

Работа с данными обнаружения в облаке

Обнаружение приложений с помощью интеграции Microsoft Defender для конечной точки