通过

筛选和查询 Microsoft Defender for Cloud Apps 中发现的应用

  • 项目

当你拥有大量已发现的应用时,你会发现筛选和查询它们很有用。 本文介绍可用的筛选器以及如何查询发现的应用。

发现的应用筛选器

可通过两种方法筛选已发现的应用。 基本筛选器包括在此图像中找到的筛选器:

发现的应用。

打开 “高级筛选器”后,会看到可能筛选器的列表,包括以下内容:

  • 应用标记:选择应用是已批准还是未批准或未标记。 此外,可以为应用创建自定义标记,然后使用它筛选特定类型的应用。
  • 应用和域:使你能够搜索特定应用或特定域中使用的应用。
  • 类别:类别筛选器位于页面左侧,可用于根据应用类别搜索应用类型。 示例类别包括社交网络应用、云存储应用和托管服务。 可以一次选择多个类别,也可以选择一个类别,然后在顶部应用基本和高级筛选器。
  • 合规性风险因素:用于搜索应用可能符合 (HIPAA、ISO 27001、SOC 2、PCI-DSS 等特定标准、认证和合规性。) 。
  • 常规风险因素:用于搜索一般风险因素,例如消费者受欢迎程度、数据中心区域设置等。
  • 风险评分:允许按风险分数筛选应用,以便可以专注于(例如,仅查看高风险应用)。 还可以通过Defender for Cloud Apps替代风险评分设置。 有关详细信息,请参阅 使用风险评分
  • 安全风险因素:使你能够根据特定的安全措施 (进行筛选,例如静态加密、多重身份验证等 ) 。
  • 使用情况:允许基于此应用的使用情况统计信息进行筛选。 使用情况,例如 上传数据少于或超过指定数量的应用、 用户数大于或小于指定数量的应用。
    • 事务:两个设备之间的一个日志使用线。
  • 法律风险因素:允许你根据所有法规和策略进行筛选,这些法规和策略可确保应用用户的数据保护和隐私,例如 DMCA 和数据保留策略。

创建和管理自定义应用标记

可以创建自定义应用标记。 然后,可以将这些标记用作筛选器,以便更深入地了解要调查的特定类型的应用。 例如,自定义watch列表、分配到特定业务部门或自定义审批,例如“经法律批准”。 还可以在筛选器中的应用发现策略中使用应用标记,或者通过将标记作为策略治理操作的一部分来使用应用。

若要创建自定义应用标记,请执行以下操作:

  1. 在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “Cloud Discovery”下,选择“ 应用标记”。 然后选择“ +添加应用标记”。

    创建自定义应用标记。

  2. 可以使用 “应用标记 ”表查看当前使用每个应用标记标记的应用,并且可以删除未使用的应用标记。

  3. 若要应用应用标记,请在“ 发现的应用 ”选项卡中,选择应用名称最右侧的三个点。 选择要应用的应用标记。

注意

还可以直接在“ 发现的应用 ”表中创建新的应用标记,方法是在选择任何所选应用右侧的三个点后选择 “创建应用标记 ”。 从发现的应用创建标记时,可以将其应用于应用。 还可以通过选择角落中的“管理标记”链接来访问“应用标记”屏幕。 从应用创建自定义应用标记。

发现的应用查询

若要使调查更简单,可以创建自定义查询并保存它们以供以后使用。

  1. 在“ 发现的应用 ”页中,根据需要使用上述筛选器向下钻取应用。

  2. 获得所需结果后,选择筛选器上方的“ 另存为 ”按钮。

  3. “保存查询” 弹出窗口中,为查询命名。

    新查询。

  4. 若要将来再次使用此查询,请在 “查询”下向下滚动到 “已保存的查询 ”并选择查询。

    打开查询。

Defender for Cloud Apps还提供了建议的查询,使你能够保存经常使用的自定义查询。 建议的查询通过使用以下可选建议的查询来筛选已发现的应用的建议调查途径:

  • 允许匿名使用的云应用 - 筛选所有发现的应用,以仅显示存在安全风险的应用,因为它们不需要用户身份验证,并且允许用户上传数据。

  • 经过 CSA STAR 认证的云应用 - 筛选所有发现的应用,以仅显示通过自我评估、认证、证明或持续监视获得 CSA STAR 认证的应用。

  • 符合 FedRAMP 标准的云应用 - 筛选所有发现的应用,以仅显示 FedRAMP 合规性风险因素为高、中或低的应用。

  • 拥有用户数据的云存储和协作应用 - 筛选所有发现的应用,仅显示存在风险的应用,因为它们不允许你拥有数据的所有权,但它们确实会保留你的数据。

  • 风险和不合规的云存储应用 - 筛选所有发现的应用,以仅显示不符合 SOC 2 或 HIPAA 要求、不支持 PCI DSS 版本且风险分数为 5 或更低的应用。

  • 具有弱身份验证的企业云应用 - 筛选所有发现的应用,以仅显示不支持 SAML、没有密码策略且不启用 MFA 的应用。

  • 具有弱加密功能的企业云应用 - 筛选所有发现的应用,以仅显示存在风险的应用,因为它们不加密静态数据,并且不支持任何加密协议。

  • 适用于 GDPR 的云应用 - 筛选所有发现的应用,仅显示已准备好 GDPR 的应用。 由于符合 GDPR 是重中之重,因此此查询可帮助你轻松识别已准备好 GDPR 的应用,并通过评估未满足 GDPR 的应用的风险来缓解威胁。

查询发现的应用。

此外,可以使用建议的查询作为新查询的起点。 首先,选择建议的查询之一。 然后,根据需要进行更改,最后选择“ 另存为 ”以创建新的 “已保存”查询

后续步骤

创建快照云发现报告

为连续报告配置自动日志上传

使用云发现数据