Arbeiten mit ermittelten Apps

  • Artikel

Das Cloud Discovery-Dashboard soll Ihnen einen besseren Einblick in die Verwendung der Cloud-Apps Ihrer Organisation bieten. Es bietet auf einen Blick eine Übersicht, welche Arten von Apps verwendet werden, welche Warnungen geöffnet sind und welche Risikostufen die Apps in Ihrer Organisation haben. Außerdem zeigt es Ihnen, wer die Top-App-Benutzer in Ihrer Organisation sind, und es enthält eine Karte mit den App-Hauptsitzen. Das Cloud Discovery Dashboard bietet zahlreiche Optionen zum Filtern der Daten. Mithilfe der Filter können Sie von dem, was Sie am meisten interessiert, spezifische Sichten mit leicht verständlichen Grafiken generieren, um sich auf einen Blick ein Bild machen zu können. Weitere Informationen finden Sie unter Filter für ermittelte Apps.

cloud discovery dashboard.

Kennenlernen des Cloud Discovery-Dashboards

Um ein allgemeines Bild Ihrer Cloud-Apps zu erhalten, sollten Sie im Cloud Discovery-Dashboard zunächst folgende Informationen lesen:

  1. Sehen Sie sich zuerst den allgemeinen Überblick über die Verwendung von Cloud-Apps in Ihrer Organisation an.

  2. Befassen Sie sich anschließend mit den Details, und ermitteln Sie, welche Topkategorien in Ihrer Organisation für verschiedene Verwendungsparameter verwendet werden. Sie können sehen, welcher Anteil der Nutzung von genehmigten Apps verursacht wird.

  3. Wenn Sie noch tiefer ins Detail gehen, können Sie sogar alle Apps einer bestimmten Kategorie in der Registerkarte ermittelte Apps anzeigen.

  4. Sie können die Topbenutzer und Quell-IP-Adressen anzeigen, um zu ermitteln, welche Benutzer in Ihrer Organisation am häufigsten Cloud-Apps verwenden.

  5. Anhand der Karte mit den App-Zentralen können Sie nachvollziehen, wie sich die ermittelten Apps in Bezug auf den geografischen Standort (ausgehend von der Zentrale) ausbreiten.

  6. Vergessen Sie schließlich nicht, die Risikobewertung der ermittelten App in der App-Risikoübersicht zu prüfen. Prüfen Sie den Status der Ermittlungswarnungen, um festzustellen, wie viele offene Warnungen Sie untersuchen sollten.

Details zu ermittelten Apps

Wenn Sie sich ausführlich mit den von Cloud Discovery bereitgestellten Daten beschäftigen möchten, verwenden Sie die Filter, um zu überprüfen, welche Apps riskant sind und welche häufig verwendet werden.

Wenn Sie beispielsweise häufig verwendete, riskante Cloud-Speicher- und Collaboration-Apps identifizieren möchten, können Sie auf der Seite Entdeckte Apps nach den gewünschten Apps filtern. Dann können Sie die Genehmigung aufheben oder sperren, indem Sie Folgendes durchführen:

  1. Wählen Sie auf der Seite Ermittelte Apps unter Kategorien durchsuchen sowohl Cloudspeicher als auch Kollaboration aus.

  2. Verwenden Sie anschließend die erweiterten Filter, und setzen Sie bei Kompatibilitätsrisikofaktor einen Positivfilter unter SOC 2 auf Nein.

  3. Legen Sie unter Nutzung die Benutzer auf mehr als 50 Benutzer und Transaktionen auf mehr als 100 fest

  4. Legen Sie den Faktor für Sicherheitsrisiko fest für Verschlüsselung von ruhenden Daten ist gleich Nicht unterstützt. Zum Schluss legen Sie Risikobewertung fest auf ist gleich oder kleiner 6.

    Discovered app filters.

Nachdem die Ergebnisse gefiltert wurden, können Sie die Genehmigung aufheben oder sperren, indem Sie das Kontrollkästchen für Massenvorgänge verwenden, um die Genehmigung für alle gleichzeitig aufzuheben. Nachdem die Genehmigung aufgehoben wurde, können Sie ein Blockierungsskript verwenden, um zu verhindern, dass sie in Ihrer Umgebung verwendet werden.

Mithilfe von Cloud Discovery können Sie noch tiefer in das Thema der Cloudnutzung Ihrer Organisation eintauchen. Sie können bestimmte Instanzen erkennen, die genutzt werden, indem Sie die erkannten Unterdomänen untersuchen.

Sie können z. B. zwischen unterschiedlichen SharePoint-Standorten unterscheiden:

Subdomain filter.

Hinweis

Eingehende Untersuchungen der ermittelten Apps werden nur in Firewalls und Proxys unterstützt, die auf URL-Daten abzielen. Weitere Informationen finden Sie unter Unterstützte Firewalls und Proxys.

Wenn Defender for Cloud-Apps die in den Verkehrsprotokollen ermittelte Unterdomäne nicht mit den im App-Katalog gespeicherten Daten abgleichen kann, wird die Unterdomäne als Sonstige markiert.

Entdecken von Ressourcen und benutzerdefinierten Apps

Cloud Discovery ermöglicht Ihnen auch einen umfassenden Einblick in Ihre IaaS- und PaaS-Ressourcen. Sie können Aktivitäten auf Ihren Ressourcenhostingplattformen entdecken, den Zugriff auf Daten in Ihren selbstgehosteten Apps und Ressourcen anzeigen, einschließlich Speicherkonten, Infrastruktur und benutzerdefinierten Apps, die auf Azure, Google Cloud Platform und AWS gehostet werden. Sie können nicht nur die allgemeine Nutzung in Ihren IaaS-Lösungen anzeigen, sondern auch Einblicke in die Ressourcen, die in den einzelnen Lösungen gehostet werden, und die allgemeine Nutzung der Ressourcen gewinnen, um das Risiko pro Ressource zu verringern.

Beispielsweise können Sie über Defender for Cloud-Apps Aktivitäten überwachen, z. B., wenn viele Daten hochgeladen werden, Sie können ermitteln, auf welche Ressource sie hochgeladen werden, und einen Drilldown ausführen, um den Autor der Aktivität zu ermitteln.

Hinweis

Dies wird nur in Firewalls und Proxys unterstützt, die auf URL-Daten abzielen. Weitere Informationen finden in der Liste der unterstützten Geräte unter Unterstützte Firewalls und Proxys.

So zeigen Sie ermittelte Ressourcen an:

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Cloud Discovery. Wählen Sie dann die Registerkarte Ermittelte Ressourcen.

    Discovered resources menu.

  2. Auf der Seite „Ermittelte Ressource“ können Sie einen Drilldown zu jeder Ressource ausführen, um zu sehen, welche Arten von Transaktionen aufgetreten sind, wer darauf zugegriffen hat, und dann einen weiteren Drilldown ausführen, um die Benutzer*innen eingehender zu untersuchen.

    Discovery resources.

  3. Bei benutzerdefinierten Apps können Sie die drei Punkte am Zeilenende und Neue benutzerdefinierte App hinzufügen auswählen. Dadurch wird das Fenster Diese App hinzufügen geöffnet, in dem Sie die App benennen und identifizieren können, um sie in das Cloud Discovery-Dashboard aufzunehmen.

Cloud Discovery-Ausführungsbericht generieren

Die beste Methode, einen Überblick über die Verwendung von Schatten-IT in Ihrer Organisation zu erhalten, ist durch die Generierung eines Cloud Discovery-Ausführungsberichts. In diesem Bericht werden die wichtigsten potenziellen Risiken identifiziert. Er hilft Ihnen dabei, einen Workflow zu planen, um Risiken zu minimieren und zu verwalten, bis diese gelöst sind.

So generieren Sie einen Cloud Discovery-Ausführungsbericht:

  1. Wählen Sie im Cloud Discovery-Dashboard die Option Aktionen in der oberen rechten Ecke des Dashboards, und wählen Sie dann Cloud Discovery-Ausführungsbericht generieren.

  2. Ändern Sie optional den Berichtsnamen.

  3. Wählen Sie Generieren aus.

Ausschließen von Entitäten

Wenn Sie Daten von Systembenutzer*innen, IP-Adressen oder Computern besitzen, die besonders störend oder uninteressant sind, oder von Apps, die nicht relevant sind, sollten Sie die Daten aus den analysierten Cloud Discovery-Daten ausschließen. Beispiel: Sie möchten alle Informationen ausschließen, die von einem lokalen Host stammen.

So erstellen Sie einen Ausschluss:

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps.

  2. Wählen Sie unter Cloud Discovery die Registerkarte Entitäten ausschließen.

  3. Wählen Sie entweder die Registerkarte Ausgeschlossene Benutzer, Ausgeschlossene Gruppen, Ausgeschlossene IP-Adressen oder Ausgeschlossene Geräte und dann die Schaltfläche +Hinzufügen, um Ihren Ausschluss hinzuzufügen.

  4. Fügen Sie einen Benutzeralias, eine IP-Adresse oder einen Gerätenamen hinzu. Sie sollten Informationen über die Gründe des Ausschlusses hinzufügen.

    exclude user.

Hinweis

Jede ausgeschlossene Entität gilt für neu empfangene Daten. Historische Daten der ausgeschlossenen Entitäten bleiben über den Aufbewahrungszeitraum (90 Tage) erhalten.

Verwalten kontinuierlicher Berichte

Benutzerdefinierte kontinuierliche Berichte stellen bei der Überwachung der Cloud Discovery-Protokolldaten Ihrer Organisation mehr Granularität bereit. Durch Erstellen benutzerdefinierter Berichte können Sie nach bestimmten geografischen Orten, Netzwerken und Standorten, oder nach Organisationseinheiten filtern. Standardmäßig werden nur die folgenden Berichte in Ihrer Auswahl der Cloud Discovery-Bericht angezeigt:

  • Im globalen Bericht werden alle Informationen im Portal aus allen Datenquellen, die Sie in Ihre Protokolle einbezogen haben, konsolidiert. Der globale Bericht enthält keine Daten von Microsoft Defender for Endpoint.

  • Im datenquellenspezifischen Bericht werden nur Informationen für eine bestimmte Datenquelle angezeigt.

So erstellen Sie einen neuen fortlaufenden Bericht:

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps.

  2. Wählen Sie unter Cloud Discovery die Option Fortlaufender Bericht.

  3. Wählen Sie die Schaltfläche Bericht erstellen.

  4. Geben Sie einen Berichtsnamen ein.

  5. Wählen Sie die Datenquellen aus, die Sie einbeziehen möchten (alle oder bestimmte).

  6. Legen Sie die gewünschten Filter auf die Daten fest. Bei diesen Filtern kann es sich um Benutzergruppen, IP-Adresstags oder IP-Adressbereiche handeln. Weitere Informationen zum Arbeiten mit IP-Adress-Tags und IP-Bereichen finden Sie unter Strukturieren der Daten gemäß Ihren Anforderungen.

    create custom continuous report.

Hinweis

Alle benutzerdefinierten Berichte sind auf maximal 1 GB nicht komprimierter Daten beschränkt. Wenn mehr als 1 GB Daten vorhanden sind, werden die ersten 1 GB Daten in den Bericht exportiert.

Löschen von Cloud Discovery-Daten

Es gibt eine Reihe möglicher Gründen zum Löschen Ihrer Cloud Discovery-Daten. Das Löschen wird in den folgenden Fällen empfohlen:

  • Wenn Sie Protokolldateien manuell hochgeladen haben, und viel Zeit vergangen ist, bevor Sie das System mit neuen Protokolldateien aktualisiert haben, und Sie nicht möchten, dass alte Daten Ihre Ergebnisse beeinflussen.

  • Wenn Sie eine neue benutzerdefinierte Datenansicht festlegen, gilt sie nur ab diesem Punkt für neue Daten. Sie sollten also alte Daten löschen und anschließend Ihre Protokolldateien erneut hochladen, um der benutzerdefinierten Datenansicht zu ermöglichen, den Protokolldateidaten Ereignisse zu entnehmen.

  • Wenn viele Benutzer oder IP-Adressen vor kurzem wieder aktiv geworden sind, nachdem sie einige Zeit lang offline waren, wird ihre Aktivität als anomal identifiziert, und Sie erhalten möglicherweise viele falsch positive Verstoßmeldungen.

So löschen Sie Cloud Discovery-Daten:

  1. Wählen Sie im Microsoft Defender-Portal die Option Einstellungen. Wählen Sie dann Cloud-Apps.

  2. Wählen Sie unter Cloud Discovery die Option Daten löschen.

    Bevor Sie fortfahren, müssen Sie sicher sein, dass Sie Daten löschen möchten – dies kann nicht rückgängig gemacht werden, und alle Cloud Discovery-Daten im System werden gelöscht.

  3. Wählen Sie die Schaltfläche Löschen aus.

    delete data.

    Hinweis

    Der Löschvorgang dauert einige Minuten und erfolgt nicht sofort.

Nächste Schritte

Erstellen von Cloud Discovery-Momentaufnahmeberichten

Konfigurieren des automatischen Hochladens von Protokollen für kontinuierliche Berichte

Arbeiten mit Cloud Discovery-Daten

Ermitteln von Apps mit der Integration von Microsoft Defender for Endpoint