使用云发现仪表板查看发现的应用
“云发现”页提供了一个仪表板,旨在让你更深入地了解组织中云应用的使用方式。 仪表板提供正在使用的应用类型、打开的警报以及组织中应用的风险级别的概览视图。 它还显示你的应用用户是谁,并提供 应用总部位置 地图。
根据你最感兴趣的内容筛选 云发现 数据以生成特定视图。 有关详细信息,请参阅 发现的应用筛选器。
先决条件
有关所需角色的信息,请参阅 管理管理员访问权限。
查看云发现仪表板
此过程介绍如何在云发现仪表板中获取云发现应用的初始一般图片。
在Microsoft Defender门户中,选择“云应用>”“云发现”。
例如:
支持的应用包括 Windows 和 macOS 应用,它们都列在 Defender - 托管终结点 流下。
查看以下信息:
使用 高级使用情况概述 来了解组织中云应用的总体使用情况。
深入了解一个级别,了解组织中针对每个不同使用参数使用的 顶级类别 。 请注意,已批准的应用使用了多少。
使用“ 发现的应用 ”选项卡可以更深入地查看特定类别中的所有应用。
检查 排名靠前的用户和源 IP 地址 ,以确定哪些用户是组织中云应用最占主导地位的用户。
使用应用总部地图检查发现的应用如何根据地理位置(根据其总部)传播。
使用应用风险概述了解已发现应用的风险评分,并检查发现警报状态,以查看应调查的未结警报数。
深入了解已发现的应用
若要深入了解云发现数据,请使用筛选器来检查风险应用或常用应用。
例如,如果要识别常用的风险云存储和协作应用,请使用 “发现的应用 ”页面来筛选所需的应用。 然后, 取消批准或阻止 它们,如下所示:
在Microsoft Defender门户中的“云应用”下,选择“云发现”。 然后选择“ 发现的应用 ”选项卡。
在“发现的应用”选项卡的“按类别浏览”下,选择“云存储和协作”。
使用高级筛选器将 合规性风险因素 设置为 SOC 2 = No。
对于 “使用情况”,请将 “用户 ”设置为“大于 50 个用户”,将 “事务” 设置为大于 100。
将静态数据加密的安全风险因素设置为“不支持”。 然后将 风险分数 设置为 6 或更低。
筛选结果后,使用批量操作复选框取消 批准并阻止 它们,从而在一个操作中取消批准所有结果。 一旦它们被批准,请使用阻止脚本来阻止它们在你的环境中使用。
你可能还希望通过调查发现的子域来标识正在使用的特定应用实例。 例如,区分不同的 SharePoint 网站:
注意
仅支持在包含目标 URL 数据的防火墙和代理中深入了解已发现的应用。 有关详细信息,请参阅 支持的防火墙和代理。
如果Defender for Cloud Apps无法将流量日志中检测到的子域与存储在应用目录中的数据相匹配,则子域将标记为“其他”。
发现资源和自定义应用
云发现还使你能够深入了解 IaaS 和 PaaS 资源。 发现资源托管平台中的活动,查看对自承载应用和资源(包括 Azure、Google Cloud Platform 和 AWS 上托管的存储帐户、基础结构和自定义应用)的数据访问。 不仅可以查看 IaaS 解决方案中的总体使用情况,还可以查看每个解决方案中托管的特定资源以及资源的总体使用情况,以帮助降低每个资源的风险。
例如,如果上传了大量数据,请发现数据上传到哪些资源,然后向下钻取以查看执行活动的人员。
注意
仅在包含目标 URL 数据的防火墙和代理中支持此操作。 有关详细信息,请参阅支持的 防火墙和代理中的受支持设备列表。
若要查看发现的资源,请执行以下操作:
在Microsoft Defender门户中的“云应用”下,选择“云发现”。 然后选择“ 发现的资源 ”选项卡。
在“ 发现的资源 ”页中,向下钻取到每个资源以查看发生了哪些类型的事务、谁访问了该资源,然后向下钻取以进一步调查用户。
对于自定义应用,请选择行末尾的选项菜单,然后选择“ 添加新的自定义应用”。 这会打开“添加此应用”对话框,可在其中命名和标识应用,以便将其包含在云发现仪表板中。
生成云发现执行报告
要大致了解整个组织的影子 IT 使用情况,最佳方法是生成云发现执行报告。 此报表可识别最潜在风险,并帮助你规划工作流,以缓解和管理风险,直到这些风险得到解决。
若要生成云发现执行报告,请执行以下操作:
在Microsoft Defender门户中的“云应用”下,选择“云发现”。
在 “云发现 ”页中,选择“ 操作>生成云发现执行报表”。
(可选)更改报表名称,然后选择“ 生成”。
排除实体
如果系统用户、IP 地址或设备干扰但无兴趣,或者实体不应显示在影子 IT 报表中,则可能需要将其数据从分析的云发现数据中排除。 例如,你可能想要排除来自本地主机的所有信息。
创建排除项:
在Microsoft Defender门户中,选择“设置>云应用”“>云发现>排除实体”。
选择“ 排除的用户”、“ 排除的组”、“ 排除的 IP 地址”或“ 排除的设备 ”选项卡,然后选择“ +添加 ”按钮添加排除项。
添加用户别名、IP 地址或设备名称。 建议添加有关排除原因的信息。
注意
所有实体排除仅适用于新接收的数据。 排除实体的历史数据在 90 天) 保持期 (。
管理连续报表
在监视组织的云发现日志数据时,自定义连续报表可提供更精细的粒度。 创建自定义报表以筛选特定地理位置、网络和站点或组织单位。 默认情况下,云发现报告选择器中仅显示以下报表:
全局报表合并了门户中日志中包含的所有数据源的所有信息。 全局报表不包括来自Microsoft Defender for Endpoint的数据。
“数据源特定”报表仅显示来自特定数据源的信息。
若要创建新的连续报表,请执行以下操作:
在Microsoft Defender门户中,选择“设置>云应用>云发现>连续报表>创建报表”。
输入报表名称。
选择要包含 (所有或特定) 的数据源。
设置所需的数据筛选器。 这些筛选器可以是 用户组、 IP 地址标记或 IP 地址范围。 有关使用 IP 地址标记和 IP 地址范围的详细信息,请参阅 根据需要组织数据。
注意
所有自定义报表都限制为最多 1 GB 的未压缩数据。 如果数据超过 1 GB,则前 1 GB 数据将导出到报表中。
删除云发现数据
建议在以下情况下删除云发现数据:
如果手动上传了日志文件,则自使用新日志文件更新系统以来已经过了很长时间,并且你不希望旧数据影响结果。
设置新的自定义数据视图时,该视图仅应用于从该点开始的新数据。 在这种情况下,可能需要擦除旧数据,然后再次上传日志文件,以启用自定义数据视图来选取日志文件数据中的事件。
如果许多用户或 IP 地址最近在脱机一段时间后重新开始工作,则其活动被标识为异常,并可能导致误报冲突。
重要
在执行此操作之前,请确保要删除数据。 此操作不可逆,会删除系统 中的所有 云发现数据。
删除云发现数据:
在Microsoft Defender门户中,选择“设置>云应用>”“云发现>删除数据”。
选择“ 删除” 按钮。
注意
删除过程需要几分钟时间,并且不是即时的。