使用雲端探索儀錶板檢視探索到的應用程式
[雲端探索] 頁面提供一個儀錶板,其設計目的是讓您深入瞭解雲端應用程式在組織中的使用方式。 儀錶板可讓您快速檢視所使用的應用程式類型、開啟的警示,以及組織中應用程式的風險層級。 它也會顯示您最常使用的應用程式使用者,並提供 應用程式標頭位置 對應。
根據您最感興趣的內容,篩選您的 Cloud Discovery 數據以產生特定檢視。 如需詳細資訊,請參閱探索到的應用程式篩選。
必要條件
如需所需角色的相關信息,請 參閱管理系統管理員存取權。
檢閱雲端探索儀錶板
此程式描述如何在 雲端探索 儀錶板中取得雲端探索應用程式的初始一般圖片。
在 Microsoft Defender 入口網站中,選取 [雲端應用程式>雲端探索]。
例如:
支援的應用程式包括 Windows 和 macOS 應用程式,這兩者都列在 Defender - 受控端點數據 流之下。
檢閱下列資訊:
使用 高階使用量概觀 來了解組織中的整體雲端應用程式使用量。
深入探討一個層級,以瞭解組織中針對每個不同使用參數所使用的 最上層類別 。 請注意,這項使用量有多少是由獲批准的應用程式所使用。
使用 [探索到的 應用程式] 索引標籤來更深入查看特定類別中的所有應用程式。
檢查 熱門使用者和來源IP位址 ,以識別哪些使用者是組織中雲端應用程式的主要使用者。
使用 應用程式總部地圖 ,根據應用程式的標頭,檢查探索到的應用程式如何根據地理位置散佈。
使用 應用程式風險概觀 來瞭解探索到應用程式的風險分數,並檢查 探索警示狀態 ,以查看您應該調查多少個開啟的警示。
深入探討探索到的應用程式
若要深入瞭解雲端探索數據,請使用篩選來檢查有風險或常用的應用程式。
例如,如果您想要識別常用且具風險的雲端記憶體和共同作業應用程式,請使用 [探索到的 應用程式 ] 頁面來篩選您想要的應用程式。 然後, 取消批准或封鎖 它們,如下所示:
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [雲端探索]。 然後選擇 [ 探索到的應用程式] 索引標籤 。
在 [ 探索到的應用程式] 索引 標籤的 [ 依類別流覽 ] 底下,選取 [雲端記憶體 ] 和 [ 共同作業]。
使用進階篩選將 合規性風險因素 設定為 SOC 2 = 否。
針對 [使用量],將 [使用者 ] 設定為大於 50 位使用者,並將 [交易 ] 設定為大於 100。
將待用數據加密的安全性風險因素設定為 [不支援]。 然後將 [風險分數 ] 設定為 6 或更低。
篩選結果之後,請使用大量動作複選框,以一個動作取消批准所有結果 並加以封鎖 。 一旦未批准,請使用封鎖腳本來封鎖它們,使其無法在您的環境中使用。
您也可以藉由調查探索到的子域,來識別正在使用的特定應用程式實例。 例如,區分不同的SharePoint網站:
注意事項
只有包含目標 URL 資料的防火牆和 Proxy 才支援深入探索到的應用程式。 如需詳細資訊,請參閱 支援的防火牆和 Proxy。
如果 Defender for Cloud Apps 無法比對流量記錄中偵測到的子域與儲存在應用程式目錄中的數據,則子域會標記為 Other。
探索資源和自訂應用程式
雲端探索也可讓您深入探索 IaaS 和 PaaS 資源。 探索跨資源裝載平臺的活動、檢視自我裝載應用程式和資源的數據存取權,包括記憶體帳戶、Azure、Google Cloud Platform 和 AWS 上裝載的基礎結構和自定義應用程式。 您不僅可以在 IaaS 解決方案中看到整體使用量,還可以查看每個解決方案上裝載的特定資源,以及資源的整體使用量,以協助降低每個資源的風險。
例如,如果上傳大量數據,請探索上傳至哪個資源,然後向下切入以查看誰執行了活動。
注意事項
只有包含目標 URL 資料的防火牆和 Proxy 才支援此功能。 如需詳細資訊,請參閱 支援的防火牆和 Proxy 中支援的設備清單。
若要檢視探索到的資源:
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [雲端探索]。 然後選擇 [ 探索到的資源] 索引 標籤。
在 [探索到的 資源] 頁面中,向下切入每個資源以查看發生何種交易、誰存取該交易,然後向下切入以進一步調查使用者。
![[探索到的資源] 索引卷標的螢幕快照。](media/discovery-resources.png)
針對自定義應用程式,選取數據列結尾的選項功能表,然後選取[ 新增自定義應用程式]。 這會開啟 [ 新增此應用程式 ] 對話框,您可以在其中命名和識別應用程式,使其可以包含在雲端探索儀錶板中。
產生雲端探索執行報告
取得整個組織陰影 IT 使用概觀的最佳方式是產生雲端探索執行報告。 此報告會識別最高的潛在風險,並協助您規劃工作流程,以降低和管理風險,直到風險解決為止。
若要產生雲端探索執行報告:
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [雲端探索]。
從 [ 雲端探索] 頁面,選取 [ 動作>產生 Cloud Discovery 執行報告]。
選擇性地變更報表名稱,然後選取 [ 產生]。
排除實體
如果您有系統使用者、IP 位址或是雜訊但不感興趣的裝置,或不應該顯示在影子 IT 報告中的實體,您可能會想要將其數據從所分析的雲端探索數據中排除。 例如,您可能想要排除所有源自本機主機的資訊。
若要建立排除專案:
在 Microsoft Defender 入口網站中,選取> [設定Cloud Apps>Cloud Discovery>排除實體]。
選取 [ 排除的使用者]、[ 排除的群組]、[ 排除的IP 位址] 或 [ 已排除的裝置 ] 索引卷標,然後選取 [+新增 ] 按鈕以新增您的排除範圍。
新增用戶別名、IP 位址或裝置名稱。 建議您新增排除原因的相關信息。
注意事項
所有實體排除僅適用於新收到的數據。 排除實體的歷程記錄數據會保留 (90 天的保留期間) 。
管理連續報告
自定義連續報告可讓您在監視組織的雲端探索記錄數據時提供更細微的數據。 建立自定義報告,以篩選特定地理位置、網路和網站或組織單位。 根據預設,只有下列報告會出現在您的雲端探索報表選取器中:
全域報表會從記錄中包含的所有數據源合併入口網站中的所有資訊。 全域報表不包含來自 適用於端點的 Microsoft Defender 的數據。
數據源特定報表只會顯示來自特定數據源的資訊。
若要建立新的連續報表:
在 Microsoft Defender 入口網站中,選取> [設定Cloud Apps>Cloud Discovery>連續報告建立報告>]。
輸入報表名稱。
選取您想要包含 (所有或特定) 的數據源。
設定您想要的數據篩選條件。 這些篩選條件可以是 使用者群組、 IP 位址標籤或 IP位址範圍。 如需使用IP位址標籤和IP位址範圍的詳細資訊,請參閱 根據您的需求組織數據。
注意事項
所有自訂報表最多只能有 1 GB 的未壓縮數據。 如果有超過 1 GB 的數據,前 1 GB 的數據將會匯出至報表。
刪除雲端探索數據
建議您在下列情況下刪除雲端探索資料:
如果您手動上傳記錄檔,則在使用新的記錄檔更新系統之後經過很長的時間,而且您不希望舊的數據影響您的結果。
當您設定新的自定義數據檢視時,它只會套用至該時間點之後的新數據。 在這種情況下,您可能會想要清除舊數據,然後再次上傳記錄檔,讓自定義數據檢視能夠挑選記錄檔數據中的事件。
如果許多使用者或IP位址最近在離線一段時間後再次開始運作,其活動會識別為異常,並可能會讓您誤判違規。
重要事項
請確定您想要先刪除資料,再執行此動作。 此動作無法復原,並刪除系統中 的所有 雲端探索數據。
若要刪除雲端探索資料:
在 Microsoft Defender 入口網站中,選取> [設定Cloud Apps>Cloud Discovery>刪除數據]。
選取 [ 刪除] 按鈕。
注意事項
刪除程式需要幾分鐘的時間,而且不會立即完成。