Megosztás a következőn keresztül:

Felderített alkalmazások használata

  • Cikk

A felhőfelderítési oldal egy irányítópultot biztosít, amely további betekintést nyújt a felhőalkalmazások szervezeten belüli használatába. Az irányítópult áttekintést nyújt a használt alkalmazások típusairól, a nyitott riasztásokról és a szervezeten belüli alkalmazások kockázati szintjeiről. Azt is megjeleníti, hogy kik a legnépszerűbb alkalmazásfelhasználók, és egy alkalmazás központi helytérképét is megjeleníti.

A felhőfelderítési adatok szűrésével meghatározott nézeteket hozhat létre, attól függően, hogy melyik érdekli leginkább. További információ: Felderített alkalmazásszűrők.

Előfeltételek

A szükséges szerepkörökről további információt a rendszergazdai hozzáférés kezelése című témakörben talál.

A felhőfelderítési irányítópult áttekintése

Ez az eljárás bemutatja, hogyan szerezhet be kezdeti, általános képet a felhőfelderítési alkalmazásokról a Felhőfelderítés irányítópultján.

  1. A Microsoft Defender portálon válassza a Cloud Apps > Cloud Discovery lehetőséget.

    Példa:

    Képernyőkép a Felhőfelderítés irányítópultjáról

    A támogatott alkalmazások közé tartoznak a Windows- és macOS-alkalmazások, amelyek mind a Defender – felügyelt végpontok streamje alatt szerepelnek.

  2. Tekintse át a következő információkat:

    1. A magas szintű használat áttekintésével megismerheti a felhőalkalmazások szervezeten belüli általános használatát.

    2. Egy szinttel részletesebben is megismerheti a szervezetében a különböző használati paraméterekhez használt felső kategóriákat . Figyelje meg, hogy a használat mekkora részét engedélyezett alkalmazások használják.

    3. A Felderített alkalmazások lapon még mélyebbre léphet, és megtekintheti egy adott kategória összes alkalmazását.

    4. Ellenőrizze a legfelső felhasználókat és a forrás IP-címeket , hogy megállapíthassa, mely felhasználók a felhőalkalmazások legmeghatározóbb felhasználói a szervezetben.

    5. Az Alkalmazásközpont térképével ellenőrizheti, hogy a felderített alkalmazások hogyan terjednek a földrajzi helyük szerint, a központjuknak megfelelően.

    6. Az alkalmazáskockázatok áttekintésével megismerheti a felderített alkalmazások kockázati pontszámát, és ellenőrizheti a felderítési riasztások állapotát, hogy hány nyitott riasztást vizsgáljon ki.

A felderített alkalmazások részletes bemutatása

A felhőfelderítési adatok mélyebb megismeréséhez használja a szűrőket a kockázatos vagy gyakran használt alkalmazások kereséséhez.

Ha például a gyakran használt, kockázatos felhőalapú tárolási és együttműködési alkalmazásokat szeretné azonosítani, a Felderített alkalmazások lapon szűrheti a kívánt alkalmazásokat. Ezután törölje vagy tiltsa le őket az alábbiak szerint:

  1. A Microsoft Defender portál Cloud Apps területén válassza a Felhőfelderítés lehetőséget. Ezután válassza a Felderített alkalmazások lapot.

  2. A Felderített alkalmazások lapon a Tallózás kategória alatt válassza ki a Felhőalapú tárolás és az Együttműködés lehetőséget.

  3. A speciális szűrőkkel a megfelelőségi kockázati tényezőt SOC 2 = Nem értékre állíthatja.

  4. Használat esetén állítsa a felhasználókat 50-nél több felhasználóra, a tranzakciókat pedig 100-nál nagyobbra.

  5. Állítsa be a biztonsági kockázati tényezőt az inaktív adatok titkosítása esetén a Nem támogatott értékekkel. Ezután állítsa be a kockázati pontszámot 6 vagy annál alacsonyabb értékre.

    Képernyőkép a felderített mintaalkalmazás-szűrőkről.

Az eredmények szűrése után törölje a jelölést, és tiltsa le őket a tömeges művelet jelölőnégyzetével, hogy az összeset egyetlen műveletben törölje. Ha a rendszer nem engedélyezi őket, használjon blokkoló szkriptet, hogy megakadályozza őket a környezetben való használatban.

A felderített altartományok vizsgálatával is érdemes lehet azonosítani azokat az alkalmazáspéldányokat, amelyek használatban vannak. Például különbséget kell tenni a különböző SharePoint-webhelyek között:

Altartomány-szűrő.

Feljegyzés

A felderített alkalmazások részletes bemutatása csak a cél URL-adatokat tartalmazó tűzfalakban és proxykban támogatott. További információ: Támogatott tűzfalak és proxyk.

Ha Felhőhöz készült Defender alkalmazások nem tudják egyeztetni a forgalmi naplókban észlelt altartományt az alkalmazáskatalógusban tárolt adatokkal, az altartomány másként van megjelölve.

Erőforrások és egyéni alkalmazások felfedezése

A felhőfelderítés lehetővé teszi az IaaS- és PaaS-erőforrások megismerését is. Fedezze fel az erőforrás-üzemeltetési platformok tevékenységeit, és tekintse meg az adatokhoz való hozzáférést a saját üzemeltetésű alkalmazásokban és erőforrásokban, beleértve a tárfiókokat, az infrastruktúrát és az Azure-ban, a Google Cloud Platformon és az AWS-en üzemeltetett egyéni alkalmazásokat. Az IaaS-megoldásokban nem csak az általános használat látható, hanem az egyes erőforrásokon üzemeltetett erőforrásokat és az erőforrások általános használatát is áttekintheti az erőforrásonkénti kockázat mérséklése érdekében.

Ha például nagy mennyiségű adatot tölt fel, fedezze fel, hogy milyen erőforrásba van feltöltve, és részletezze, hogy ki hajtotta végre a tevékenységet.

Feljegyzés

Ez csak a cél URL-adatokat tartalmazó tűzfalakban és proxykban támogatott. További információkért tekintse meg a támogatott tűzfalak és proxyk támogatott berendezéseinek listáját.

Felderített erőforrások megtekintése:

  1. A Microsoft Defender portál Cloud Apps területén válassza a Felhőfelderítés lehetőséget. Ezután válassza a Felderített erőforrások lapot.

    Képernyőkép a felderített erőforrások menüről.

  2. A Felderített erőforrások lapon részletezheti az egyes erőforrásokat, hogy lássa, milyen típusú tranzakciók történtek, ki fért hozzá, majd részletezve vizsgálja meg a felhasználókat még tovább.

    Képernyőkép a Felderített erőforrások lapról.

  3. Egyéni alkalmazások esetén válassza a sor végén található beállítások menüt, majd az Új egyéni alkalmazás hozzáadása lehetőséget. Ekkor megnyílik az Alkalmazás hozzáadása párbeszédpanel, ahol elnevezheti és azonosíthatja az alkalmazást, hogy bekerüljön a felhőfelderítési irányítópultba.

Felhőfelderítési vezető jelentés létrehozása

A legjobb módja annak, hogy áttekintse az árnyék informatikai használatát a szervezetben, ha létrehoz egy felhőfelderítési vezetői jelentést. Ez a jelentés azonosítja a leggyakoribb lehetséges kockázatokat, és segít megtervezni egy munkafolyamatot a kockázatok enyhítésére és kezelésére, amíg azok meg nem oldódnak.

Felhőfelderítési vezetői jelentés létrehozása:

  1. A Microsoft Defender portál Cloud Apps területén válassza a Felhőfelderítés lehetőséget.

  2. A Felhőfelderítés lapon válassza az Actions Generate Cloud Discovery executive report (A>Cloud Discovery létrehozása) elemet.

  3. Szükség esetén módosítsa a jelentés nevét, majd válassza a Létrehozás lehetőséget.

Entitások kizárása

Ha vannak olyan rendszerfelhasználói, IP-címei vagy eszközei, amelyek zajosak, de érdektelenek, vagy olyan entitásokkal rendelkezik, amelyeket nem kellene megjeleníteni az árnyék informatikai jelentésekben, érdemes lehet kizárni az adatokat az elemzett felhőfelderítési adatokból. Előfordulhat például, hogy ki szeretné zárni a helyi gazdagépről származó összes információt.

Kizárás létrehozása:

  1. A Microsoft Defender portálon válassza a Beállítások>Cloud Apps>Cloud Discovery>Kizárási entitások lehetőséget.

  2. Válassza ki a Kizárt felhasználók, a Kizárt csoportok, a Kizárt IP-címek vagy a Kizárt eszközök lapot, és válassza a +Hozzáadás gombot a kizárás hozzáadásához.

  3. Adjon hozzá egy felhasználói aliast, IP-címet vagy eszköznevet. Javasoljuk, hogy adjon meg információkat arról, hogy miért történt a kizárás.

    A felhasználó kizárásának képernyőképe.

Feljegyzés

Az entitáskizárások csak az újonnan kapott adatokra vonatkoznak. A kizárt entitások előzményadatai a megőrzési időszakon (90 nap) keresztül maradnak.

Folyamatos jelentések kezelése

Az egyéni folyamatos jelentések részletesebb tájékoztatást nyújtanak a szervezet felhőfelderítési naplóadatainak monitorozása során. Egyéni jelentéseket hozhat létre adott földrajzi helyekre, hálózatokra és helyekre vagy szervezeti egységekre való szűréshez. Alapértelmezés szerint csak a következő jelentések jelennek meg a felhőfelderítési jelentésválasztóban:

  • A Global report (Globális jelentés) a naplókban szerepeltetett adatforrásokból származó, a portálon található összes információt tartalmazza. A globális jelentés nem tartalmazza a Végponthoz készült Microsoft Defender adatait.

  • Az Data source specific report (Adatforrás-specifikus jelentés) csak az adott adatforrásból származó információkat jeleníti meg.

Új folyamatos jelentés létrehozása:

  1. A Microsoft Defender portálon válassza a Beállítások>Cloud Apps>Cloud Discovery>folyamatos jelentés létrehozása jelentést.>

  2. Adja meg a jelentés nevét.

  3. Válassza ki a felvenni kívánt adatforrásokat (mind vagy adott források).

  4. Állítsa be a kívánt szűrőket az adatokon. Ezek a szűrők lehetnek felhasználói csoportok, IP-címcímkék vagy IP-címtartományok. Az IP-címek címkéivel és az IP-címtartományokkal kapcsolatos munkavégzés további leírását az Adatok rendezése igény szerint című részben tekintheti meg.

    Képernyőkép egy egyéni folyamatos jelentés létrehozásáról.

Feljegyzés

Minden egyéni jelentés legfeljebb 1 GB tömörítetlen adatra korlátozódik. Ha több mint 1 GB adat áll rendelkezésre, az első 1 GB adat exportálva lesz a jelentésbe.

Felhőfelderítési adatok törlése

A felhőfelderítési adatok törlését a következő esetekben javasoljuk:

  • Ha manuálisan töltötte fel a naplófájlokat, hosszú idő telt el azóta, hogy új naplófájlokkal frissítette a rendszert, és nem szeretné, hogy a régi adatok befolyásolják az eredményeket.

  • Ha új egyéni adatnézetet állít be, az csak az adott pontból származó új adatokra vonatkozik. Ilyen esetekben érdemes lehet törölni a régi adatokat, majd újra feltölteni a naplófájlokat, hogy az egyéni adatnézet képes legyen eseményeket felvenni a naplófájl adataiban.

  • Ha a közelmúltban sok felhasználó vagy IP-cím kezdett újra működni, miután egy ideig offline állapotban volt, a tevékenység rendellenesnek minősül, és téves pozitív szabálysértéseket eredményezhet.

Fontos

A művelet előtt mindenképpen törölje az adatokat. Ez a művelet visszavonhatatlan, és törli a rendszer összes Cloud Discovery-adatát.

Felhőfelderítési adatok törlése:

  1. A Microsoft Defender portálon válassza a Beállítások>Cloud Apps>Cloud Discovery>Adatok törlése lehetőséget.

  2. Válassza a Törlés gombot.

    Képernyőkép a felhőfelderítési adatok törléséről.

Feljegyzés

A törlési folyamat néhány percet vesz igénybe, nem azonnal történik meg.

Következő lépések

Cloud Discovery pillanatkép-jelentések készítése

Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez

Cloud Discovery-adatok használata

Alkalmazások felfedezése Végponthoz készült Microsoft Defender integrációjával