Sdílet prostřednictvím

Práce se zjištěnými aplikacemi

  • Článek

Stránka Cloud Discovery poskytuje řídicí panel navržený tak, aby vám poskytl lepší přehled o tom, jak se cloudové aplikace ve vaší organizaci používají. Řídicí panel nabízí přehled o používaných typech aplikací, otevřených upozorněních a úrovních rizik aplikací ve vaší organizaci. Zobrazuje také, kdo je vaším hlavním uživatelem aplikace, a poskytuje mapu umístění v ústředí aplikace.

Filtrováním dat Cloud Discovery můžete generovat konkrétní zobrazení podle toho, co vás zajímá nejvíce. Další informace najdete v tématu Zjištěné filtry aplikací.

Požadavky

Informace o požadovaných rolích najdete v tématu Správa přístupu správce.

Kontrola řídicího panelu Cloud Discovery

Tento postup popisuje, jak získat počáteční obecný přehled o vašich aplikacích cloud discovery na řídicím panelu Cloud Discovery .

  1. Na portálu Microsoft Defender vyberte Cloud Discovery cloudových aplikací>.

    Příklad:

    Snímek obrazovky řídicího panelu Cloud Discovery

    Mezi podporované aplikace patří aplikace pro Windows a macOS, které jsou uvedené v datovém proudu spravovaných koncových bodů Defenderu.

  2. Projděte si následující informace:

    1. Přehled využití vysoké úrovně vám umožní porozumět celkovému využití cloudových aplikací ve vaší organizaci.

    2. Ponořte se o jednu úroveň hlouběji, abyste porozuměli nejvyšším kategoriím , které se ve vaší organizaci používají pro každý z různých parametrů použití. Všimněte si, kolik z tohoto využití jsou schválené aplikace.

    3. Na kartě Zjištěné aplikace můžete přejít ještě hlouběji a zobrazit všechny aplikace v konkrétní kategorii.

    4. Zkontrolujte hlavní uživatele a zdrojové IP adresy a určete, kteří uživatelé jsou nejvíce dominantními uživateli cloudových aplikací ve vaší organizaci.

    5. Pomocí mapy ústředí aplikace můžete zkontrolovat, jak se zjištěné aplikace šíří podle zeměpisné polohy podle jejich ústředí.

    6. Přehled rizik aplikací vám umožní pochopit skóre rizika zjištěných aplikací a zkontrolovat stav upozornění zjišťování a zjistit, kolik otevřených výstrah byste měli prozkoumat.

Podrobné informace o zjištěných aplikacích

Pokud se chcete hlouběji seznámit s daty cloud discovery, použijte filtry ke kontrole rizikových nebo běžně používaných aplikací.

Pokud například chcete identifikovat běžně používané, rizikové cloudové úložiště a aplikace pro spolupráci, použijte stránku Zjištěné aplikace k filtrování požadovaných aplikací. Potom je zrušte nebo zablokujte následujícím způsobem:

  1. Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery. Pak zvolte kartu Zjištěné aplikace .

  2. Na kartě Zjištěné aplikace v části Procházet podle kategorie vyberte cloudové úložiště i spolupráci.

  3. Pomocí rozšířených filtrů můžete nastavit rizikový faktor dodržování předpisů na SOC 2 = Ne.

  4. V případě použití nastavte uživatele na více než 50 uživatelů a transakcí na více než 100.

  5. Nastavení faktoru rizika zabezpečení pro šifrování neaktivních uložených dat se rovná nepodporováno. Pak nastavte skóre rizika se rovná 6 nebo nižší.

    Snímek obrazovky s ukázkovými filtry zjištěných aplikací

Jakmile se výsledky vyfiltrují, zrušte jejich schválení a zablokujte je pomocí zaškrtávacího políčka hromadné akce a zrušte jejich zrušení v jedné akci. Jakmile je neschválíte, pomocí blokujícího skriptu je ve vašem prostředí zablokujte.

Můžete také chtít identifikovat konkrétní instance aplikací, které se používají, zkoumáním zjištěných subdomén. Například rozlišovat mezi různými sharepointovými weby:

Filtr subdomény

Poznámka:

Podrobné informace o zjištěných aplikacích se podporují jenom v branách firewall a proxy serverech, které obsahují data cílové adresy URL. Další informace najdete v tématu Podporované brány firewall a proxy servery.

Pokud Defender for Cloud Apps nemůže odpovídat subdoméně zjištěné v protokolech provozu s daty uloženými v katalogu aplikací, je subdoména označená jako Jiná.

Zjišťování prostředků a vlastních aplikací

Cloud Discovery vám také umožňuje ponořit se do prostředků IaaS a PaaS. Objevte aktivitu napříč vašimi platformami pro hostování prostředků, zobrazením přístupu k datům napříč vašimi aplikacemi a prostředky v místním prostředí, včetně účtů úložiště, infrastruktury a vlastních aplikací hostovaných v Azure, Google Cloud Platform a AWS. Nejen, že v řešeních IaaS uvidíte celkové využití, ale můžete získat přehled o konkrétních prostředcích hostovaných na jednotlivých prostředcích a celkovém využití prostředků, abyste mohli zmírnit riziko na prostředek.

Pokud se například nahraje velké množství dat, zjistěte, do jakého prostředku se nahrají, a přejděte k podrobnostem a zjistěte, kdo aktivitu provedl.

Poznámka:

To se podporuje jenom v branách firewall a proxy serverech, které obsahují data cílové adresy URL. Další informace najdete v seznamu podporovaných zařízení v podporovaných branách firewall a proxy serverech.

Zobrazení zjištěných prostředků:

  1. Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery. Pak zvolte kartu Zjištěné prostředky .

    Snímek obrazovky s nabídkou zjištěných prostředků

  2. Na stránce Zjištěné prostředky přejděte k podrobnostem o jednotlivých prostředcích, abyste zjistili, k jakým druhům transakcí došlo, kdo k němu přistupoval, a pak přejděte k podrobnostem a prozkoumejte uživatele ještě více.

    Snímek obrazovky s kartou Zjištěné prostředky

  3. U vlastních aplikací vyberte na konci řádku nabídku možností a pak vyberte Přidat novou vlastní aplikaci. Otevře se dialogové okno Přidat tuto aplikaci , kde můžete aplikaci pojmenovat a identifikovat, aby ji bylo možné zahrnout do řídicího panelu cloud discovery.

Generování výkonné sestavy cloud discovery

Nejlepším způsobem, jak získat přehled o využití stínového IT v rámci vaší organizace, je generování výkonné sestavy cloud discovery. Tato sestava identifikuje hlavní potenciální rizika a pomáhá naplánovat pracovní postup pro zmírnění a správu rizik, dokud nebudou vyřešeny.

Generování výkonné sestavy cloud discovery:

  1. Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery.

  2. Na stránce Cloud Discovery vyberte vygenerování výkonné sestavy Cloud Discovery akce>.

  3. Volitelně můžete změnit název sestavy a pak vybrat Generovat.

Vyloučení určitých entit

Pokud máte systémové uživatele, IP adresy nebo zařízení, která nejsou hlučná, ale neinterestující, nebo entity, které by se neměly zobrazovat v sestavách Stínové IT, můžete chtít vyloučit jejich data z analyzovaných dat cloud discovery. Můžete například chtít vyloučit všechny informace pocházející z místního hostitele.

Vytvoření vyloučení:

  1. Na portálu Microsoft Defender vyberte Nastavení>Cloud Apps>Cloud Discovery>Vyloučit entity.

  2. Vyberte buď vyloučené uživatele, vyloučené skupiny, vyloučené IP adresy, nebo kartu Vyloučená zařízení a výběrem tlačítka +Přidat přidejte vyloučení.

  3. Přidejte uživatelský alias, IP adresu nebo název zařízení. Doporučujeme přidat informace o tom, proč bylo vyloučení provedeno.

    Snímek obrazovky s vyloučením uživatele

Poznámka:

Všechna vyloučení entit se vztahují pouze na nově přijatá data. Historická data vyloučených entit zůstávají po dobu uchovávání informací (90 dnů).

Správa průběžných sestav

Vlastní průběžné sestavy poskytují větší členitost při monitorování dat protokolu cloud discovery vaší organizace. Vytvořte vlastní sestavy pro filtrování podle konkrétních geografických umístění, sítí a lokalit nebo organizačních jednotek. Ve výchozím nastavení se ve voliči sestav cloud discovery zobrazí jenom následující sestavy:

  • Globální sestava slučuje všechny informace na portálu ze všech zdrojů dat, které jste zahrnuli do protokolů. Globální sestava neobsahuje data z Programu Microsoft Defender for Endpoint.

  • Sestava dat z konkrétního zdroje zobrazuje jenom informace z určitého zdroje dat.

Vytvoření nové průběžné sestavy:

  1. Na portálu Microsoft Defender vyberte Nastavení>cloud apps>Cloud Discovery Continuous Report Create sestavy.>>

  2. Zadejte název sestavy.

  3. Vyberte zdroje dat, které chcete zahrnout (všechny, nebo konkrétní).

  4. Nastavte požadované filtry dat. Tyto filtry můžou být skupiny uživatelů, značky IP adres nebo rozsahy IP adres. Další informace o práci se značkami IP adres a rozsahy IP adres najdete v tématu Uspořádání dat podle vašich potřeb.

    Snímek obrazovky s vytvářením vlastní průběžné sestavy

Poznámka:

Všechny vlastní sestavy jsou omezené na maximálně 1 GB nekomprimovaných dat. Pokud je dat více než 1 GB, první 1 GB dat se do sestavy exportuje.

Odstranění dat cloud discovery

V následujících případech doporučujeme odstranit data cloud discovery:

  • Pokud jste ručně nahráli soubory protokolu, uplynula dlouhá doba od aktualizace systému novými soubory protokolu a nechcete, aby stará data ovlivnila vaše výsledky.

  • Když nastavíte nové vlastní zobrazení dat, použije se pouze na nová data z tohoto bodu vpřed. V takových případech můžete chtít vymazat stará data a potom znovu nahrát soubory protokolu, aby vlastní zobrazení dat umožnilo vyzvednutí událostí v datech souboru protokolu.

  • Pokud se mnoho uživatelů nebo IP adres nedávno po určité době po offline režimu znovu spustilo, jejich aktivita se identifikuje jako neobvyklá a může vám dát falešně pozitivní porušení.

Důležité

Než to uděláte, nezapomeňte odstranit data. Tato akce je nenávratná a odstraní všechna data Cloud Discovery v systému.

Odstranění dat cloud discovery:

  1. Na portálu Microsoft Defender vyberte Nastavení>Cloud Apps>Cloud Discovery>Odstranit data.

  2. Výběr tlačítko Odstranit.

    Snímek obrazovky s odstraněním dat cloud discovery

Poznámka:

Proces odstraňování trvá několik minut a není okamžitý.

Další kroky

Vytváření sestav snímku Cloud Discovery

Konfigurace automatického odesílání protokolů pro průběžné sestavy

Práce s daty Cloud Discovery

Zjišťování aplikací s využitím integrace Microsoft Defenderu for Endpoint