Felderített alkalmazások használata
A Cloud Discovery-irányítópult kialakításának köszönhetően nagyobb betekintést kaphat a felhőalapú alkalmazásoknak a szervezetén belüli használatába. Áttekintést nyújt a használt alkalmazásokról, a nyitott riasztásokról és a szervezet alkalmazásainak kockázati szintjeiről. Az irányítópult megjeleníti továbbá, hogy kik az alkalmazás legaktívabb felhasználói, és egy térképen az alkalmazás földrajzi eloszlását is megjelöli. A Cloud Discovery irányítópult számos lehetőséget kínál az adatok szűrésére. A szűrés lehetővé teszi, hogy meghatározott nézeteket hozzon létre attól függően, hogy mit szeretne leginkább érdekelni a könnyen érthető ábrák használatával, hogy egy pillantással teljes képet kapjon. További információ: Felderített alkalmazásszűrők.
A Cloud Discovery irányítópultjának áttekintése
A Cloud Discovery-alkalmazások általános képének lekéréséhez első lépésként tekintse át az alábbi információkat a Cloud Discovery irányítópultján:
Első lépésként tekintse meg a felhőalkalmazások szervezeten belüli általános használatát a magas szintű használat áttekintésében.
Ezután merüljön el egy szinttel mélyebben, és nézze meg, hogy mely kategóriákat használja a szervezet a különböző használati paraméterek mindegyikéhez. Láthatja, hogy a használat mekkora részét a jóváhagyott alkalmazások használják.
Lépjen még mélyebbre, és tekintse meg az összes alkalmazást egy adott kategóriában a Felderített alkalmazások lapon.
Láthatja a legfontosabb felhasználókat és a forrás IP-címeket , hogy megállapítsa, mely felhasználók a felhőalkalmazások legmeghatározóbb felhasználói a szervezetben.
Ellenőrizze, hogy a felderített alkalmazások hogyan terjednek a földrajzi helyük szerint (a HQ-juknak megfelelően) az Alkalmazásközpont térképén.
Végül ne felejtse el áttekinteni a felderített alkalmazás kockázati pontszámát az Alkalmazáskockázatok áttekintésében. Ellenőrizze a felderítési riasztások állapotát , hogy hány nyitott riasztást vizsgáljon ki.
Részletes útmutató a Felderített alkalmazásokhoz
Ha részletesen szeretné áttekinteni a Cloud Discovery által biztosított adatokat, a szűrőkkel áttekintheti, hogy mely alkalmazások kockázatosak, és melyek a gyakran használt alkalmazások.
Ha például azonosítani szeretné a gyakran használt kockázatos felhőalapú tároló- és együttműködési alkalmazásokat, a Felderített alkalmazások lapon szűrheti a kívánt alkalmazásokat. Ezután az alábbiak szerint törölheti vagy letilthatja őket:
A Felderített alkalmazások lapon a Tallózás kategória alatt válassza ki a Felhőtárhely és az Együttműködés lehetőséget is.
Ezután használja a Speciális szűrőket, és állítsa a megfelelőségi kockázati tényezőt soc 2 egyenlő nem értékre.
Használat esetén állítsa a felhasználókat 50-nél több felhasználóra, a tranzakciókat pedig 100-nál nagyobbra.
Állítsa be a biztonsági kockázati tényezőt az inaktív adatok titkosítása esetén a Nem támogatott értékekkel. Ezután állítsa be a kockázati pontszámot 6 vagy annál alacsonyabb értékre.
Az eredmények szűrése után visszavonhatja és letilthatja őket a tömeges művelet jelölőnégyzetével, hogy az összeset egyetlen műveletben törölje. A feloldásuk után letiltó szkripttel letilthatja a környezetében való használatukat.
A Cloud Discovery lehetővé teszi, hogy még mélyebben megismerje a szervezet felhőhasználatát. A felderített altartományok vizsgálatával azonosíthatja a használt példányokat.
Megkülönböztethet például különböző SharePoint-webhelyeket:
Feljegyzés
A felderített alkalmazások részletes bemutatása csak a cél URL-adatokat tartalmazó tűzfalakban és proxykban támogatott. További információ: Támogatott tűzfalak és proxyk.
Ha Felhőhöz készült Defender Alkalmazások nem egyeznek a forgalmi naplókban észlelt altartománysal az alkalmazáskatalógusban tárolt adatokkal, az altartomány másként van megjelölve.
Erőforrások és egyéni alkalmazások felfedezése
A Cloud Discovery lehetővé teszi az IaaS- és PaaS-erőforrások részletes megismerését is. Tevékenységeket fedezhet fel az erőforrás-üzemeltetési platformokon, megtekintheti az adatokhoz való hozzáférést a saját üzemeltetésű alkalmazásokban és erőforrásokban, beleértve a tárfiókokat, az infrastruktúrát és az Azure-ban, a Google Cloud Platformon és az AWS-en üzemeltetett egyéni alkalmazásokat. Az IaaS-megoldásokban nem csak az általános használat látható, hanem az egyes erőforrásokon üzemeltetett erőforrásokat és az erőforrások általános használatát is áttekintheti az erőforrásonkénti kockázat mérséklése érdekében.
Az Felhőhöz készült Defender-alkalmazásokból például figyelheti a tevékenységeket, például ha sok adat van feltöltve, felfedezheti, hogy milyen erőforrásba van feltöltve, és lehatolással megtekintheti, hogy ki végezte a tevékenységet.
Feljegyzés
Ez csak a cél URL-adatokat tartalmazó tűzfalakban és proxykban támogatott. További információkért tekintse meg a támogatott tűzfalak és proxyk támogatott berendezéseinek listáját.
Felderített erőforrások megtekintése:
A Microsoft Defender portál Cloud Apps területén válassza a Felhőfelderítés lehetőséget. Ezután válassza a Felderített erőforrások lapot.
A Felderített erőforrás lapon részletezheti az egyes erőforrásokat, és megtekintheti, hogy milyen típusú tranzakciók történtek, ki fért hozzá, majd lehatolást végezhet a felhasználók további vizsgálatához.
Egyéni alkalmazások esetén kiválaszthatja a sor végén található három gombot, majd az Új egyéni alkalmazás hozzáadása lehetőséget. Ekkor megnyílik az Alkalmazás hozzáadása ablak, amely lehetővé teszi az alkalmazás elnevezését és azonosítását, hogy bekerüljön a Cloud Discovery irányítópultjába.
A Cloud Discovery vezetői jelentésének létrehozása
A cloud discovery vezetői jelentés létrehozásával a legjobb módja annak, hogy áttekintést kapjon a szervezet árnyék informatikáról. Ez a jelentés azonosítja a leggyakoribb lehetséges kockázatokat, és segít megtervezni egy munkafolyamatot a kockázatok enyhítésére és kezelésére, amíg azok meg nem oldódnak.
Cloud Discovery-vezető jelentés létrehozása:
A Cloud Discovery irányítópultján válassza a Műveletek lehetőséget az irányítópult jobb felső sarkában, majd válassza a Cloud Discovery-vezető jelentés létrehozása lehetőséget.
Igény szerint módosítsa a jelentés nevét.
Válassza a Létrehozás lehetőséget.
Entitások kizárása
Ha olyan rendszerfelhasználókkal, IP-címekkel vagy eszközökkel rendelkezik, amelyek zajosak, de érdektelenek, vagy olyan entitásokkal rendelkezik, amelyeket nem szabad megjeleníteni az árnyék informatikai jelentésekben, érdemes lehet kizárni az adatokat az elemzett Cloud Discovery-adatokból. Előfordulhat például, hogy ki szeretné zárni a helyi gazdagépről származó összes információt.
Kizárás létrehozása:
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
A Cloud Discovery alatt válassza az Entitások kizárása lapot.
Válassza a Kizárt felhasználók, a Kizárt csoportok, a Kizárt IP-címek vagy a Kizárt eszközök lapot, majd a +Hozzáadás gombra kattintva vegye fel a kizárást.
Adjon hozzá egy felhasználói aliast, IP-címet vagy eszköznevet. Javasoljuk, hogy adjon meg információkat arról, hogy miért történt a kizárás.
Feljegyzés
Az entitások kizárása az újonnan kapott adatokra vonatkozik. A kizárt entitások előzményadatai a megőrzési időszakon (90 nap) keresztül maradnak.
Folyamatos jelentések kezelése
Az egyéni folyamatos jelentések segítségével részletesebben követheti nyomon szervezete Cloud Discovery-naplóadatait. Egyéni jelentések létrehozásával szűrhet adott földrajzi helyekre, hálózatokra és helyekre, illetve szervezeti egységekre. Alapértelmezés szerint csak az alábbi jelentések jelennek meg a Cloud Discovery jelentésválasztójában:
A Global report (Globális jelentés) a naplókban szerepeltetett adatforrásokból származó, a portálon található összes információt tartalmazza. A globális jelentés nem tartalmazza a Végponthoz készült Microsoft Defender adatait.
Az Data source specific report (Adatforrás-specifikus jelentés) csak az adott adatforrásból származó információkat jeleníti meg.
Új folyamatos jelentés létrehozása:
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
A Cloud Discovery alatt válassza a Folyamatos jelentés lehetőséget.
Válassza a Jelentés létrehozása gombot.
Adja meg a jelentés nevét.
Válassza ki a felvenni kívánt adatforrásokat (mind vagy adott források).
Állítsa be a kívánt szűrőket az adatokon. Ezek a szűrők lehetnek felhasználói csoportok, IP-címcímkék vagy IP-címtartományok. Az IP-címek címkéivel és az IP-címtartományokkal kapcsolatos munkavégzés további leírását az Adatok rendezése igény szerint című részben tekintheti meg.
Feljegyzés
Minden egyéni jelentés legfeljebb 1 GB tömörítetlen adatra korlátozódik. Ha több mint 1 GB adat áll rendelkezésre, az első 1 GB adat exportálva lesz a jelentésbe.
Cloud Discovery-adatok törlése
A Cloud Discovery-adatok törlését számos tényező indokolhatja. A következő esetekben ajánljuk az adatok törlését:
Ha manuálisan töltött fel naplófájlokat, és sok idő telt el a rendszer új naplófájlokkal való frissítése óta, nem szerencsés, ha a régi adatok is hatással vannak az eredményekre.
Amikor új egyéni adatnézetet állít be, az csak az adott pontból származó új adatokra lesz érvényes. Ezért érdemes lehet törölni a régi adatokat, majd újra feltölteni a naplófájlokat, hogy lehetővé tegye az egyéni adatnézet számára, hogy eseményeket vegyen fel a naplófájl adataiban.
Ha a közelmúltban sok felhasználó vagy IP-cím kezdett újra működni, miután egy ideig offline állapotban volt, a tevékenység rendellenesként lesz azonosítva, és hamis pozitív szabálysértéseket okozhat.
A Cloud Discovery-adatok törlése:
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
A Cloud Discovery alatt válassza az Adatok törlése lapot.
Fontos, hogy a folytatás előtt teljesen biztos legyen abban, hogy törölni szeretné az adatokat – a művelet nem vonható vissza, és a rendszerben található összes Cloud Discovery-adatot törli.
Válassza a Törlés gombot.
Feljegyzés
A törlési folyamat néhány percet vesz igénybe, nem azonnal történik meg.