Working with discovered apps

Megjegyzés:

Felhőhöz készült Microsoft Defender Alkalmazások mostantól a A Microsoft Defender XDR, amely a Microsoft Defender-csomag összes jelét korrelálja, és incidensszintű észlelést, vizsgálatot és hatékony válaszképességeket biztosít. További információ: Felhőhöz készült Microsoft Defender Alkalmazások a Microsoft Defender XDR-ben.

A Cloud Discovery-irányítópult kialakításának köszönhetően nagyobb betekintést kaphat a felhőalapú alkalmazásoknak a szervezetén belüli használatába. Áttekintést nyújt a használt alkalmazásokról, a nyitott riasztásokról és a szervezet alkalmazásainak kockázati szintjeiről. Az irányítópult megjeleníti továbbá, hogy kik az alkalmazás legaktívabb felhasználói, és egy térképen az alkalmazás földrajzi eloszlását is megjelöli. A Cloud Discovery irányítópult számos lehetőséget kínál az adatok szűrésére. A szűrés lehetővé teszi, hogy meghatározott nézeteket hozzon létre attól függően, hogy mit szeretne leginkább érdekelni a könnyen érthető ábrák használatával, hogy egy pillantással teljes képet kapjon. További információ: Felderített alkalmazásszűrők.

A Cloud Discovery irányítópultjának áttekintése

A Cloud Discovery-alkalmazások általános képének lekéréséhez első lépésként tekintse át az alábbi információkat a Cloud Discovery irányítópultján:

1. Első lépésként tekintse meg a felhőalkalmazások szervezeten belüli általános használatát a magas szintű használat áttekintésében.

2. Ezután merüljön el egy szinttel mélyebben, és nézze meg, hogy mely kategóriákat használja a szervezet a különböző használati paraméterek mindegyikéhez. Láthatja, hogy a használat mekkora részét a jóváhagyott alkalmazások használják.

3. Lépjen még mélyebbre, és tekintse meg az összes alkalmazást egy adott kategóriában a Felderített alkalmazások lapon.

4. Láthatja a legfontosabb felhasználókat és a forrás IP-címeket , hogy megállapítsa, mely felhasználók a felhőalkalmazások legmeghatározóbb felhasználói a szervezetben.

5. Ellenőrizze, hogy a felderített alkalmazások hogyan terjednek a földrajzi helyük szerint (a HQ-juknak megfelelően) az Alkalmazásközpont térképén.

6. Végül ne felejtse el áttekinteni a felderített alkalmazás kockázati pontszámát az Alkalmazáskockázatok áttekintésében. Ellenőrizze a felderítési riasztások állapotát , hogy hány nyitott riasztást vizsgáljon ki.

Részletes útmutató a Felderített alkalmazásokhoz

Ha részletesen szeretné áttekinteni a Cloud Discovery által biztosított adatokat, a szűrőkkel áttekintheti, hogy mely alkalmazások kockázatosak, és melyek a gyakran használt alkalmazások.

Ha például azonosítani szeretné a gyakran használt kockázatos felhőalapú tároló- és együttműködési alkalmazásokat, a Felderített alkalmazások lapon szűrheti a kívánt alkalmazásokat. Ezután az alábbiak szerint törölheti vagy letilthatja őket:

1. A Felderített alkalmazások lapon a Tallózás kategória alatt válassza ki a Felhőtárhely és az Együttműködés lehetőséget is.

2. Ezután használja a Speciális szűrőket, és állítsa a megfelelőségi kockázati tényezőt soc 2 egyenlő nem értékre.

3. Használat esetén állítsa a felhasználókat 50-nél több felhasználóra, a tranzakciókat pedig 100-nál nagyobbra.

4. Állítsa be a biztonsági kockázati tényezőt az inaktív adatok titkosítása esetén a Nem támogatott értékekkel. Ezután állítsa be a kockázati pontszámot 6 vagy annál alacsonyabb értékre.

   

Az eredmények szűrése után visszavonhatja és letilthatja őket a tömeges művelet jelölőnégyzetével, hogy az összeset egyetlen műveletben törölje. A feloldásuk után letiltó szkripttel letilthatja a környezetében való használatukat.

A Cloud Discovery lehetővé teszi, hogy még mélyebben megismerje a szervezet felhőhasználatát. A felderített altartományok vizsgálatával azonosíthatja a használt példányokat.

Megkülönböztethet például különböző SharePoint-webhelyeket:

Megjegyzés:

A felderített alkalmazások részletes bemutatása csak a cél URL-adatokat tartalmazó tűzfalakban és proxykban támogatott. További információ: Támogatott tűzfalak és proxyk.

Ha Felhőhöz készült Defender Alkalmazások nem egyeznek a forgalmi naplókban észlelt altartománysal az alkalmazáskatalógusban tárolt adatokkal, az altartomány másként van megjelölve.

Erőforrások és egyéni alkalmazások felfedezése

A Cloud Discovery lehetővé teszi az IaaS- és PaaS-erőforrások részletes megismerését is. Tevékenységeket fedezhet fel az erőforrás-üzemeltetési platformokon, megtekintheti az adatokhoz való hozzáférést a saját üzemeltetésű alkalmazásokban és erőforrásokban, beleértve a tárfiókokat, az infrastruktúrát és az Azure-ban, a Google Cloud Platformon és az AWS-en üzemeltetett egyéni alkalmazásokat. Az IaaS-megoldásokban nem csak az általános használat látható, hanem az egyes erőforrásokon üzemeltetett erőforrásokat és az erőforrások általános használatát is áttekintheti az erőforrásonkénti kockázat mérséklése érdekében.

Az Felhőhöz készült Defender-alkalmazásokból például figyelheti a tevékenységeket, például ha sok adat van feltöltve, felfedezheti, hogy milyen erőforrásba van feltöltve, és lehatolással megtekintheti, hogy ki végezte a tevékenységet.

Megjegyzés:

Ez csak a cél URL-adatokat tartalmazó tűzfalakban és proxykban támogatott. További információkért tekintse meg a támogatott tűzfalak és proxyk támogatott berendezéseinek listáját.

Felderített erőforrások megtekintése:

1. A Microsoft Defender portál Cloud Apps területén válassza a Felhőfelderítés lehetőséget. Ezután válassza a Felderített erőforrások lapot.

   

2. A Felderített erőforrás lapon részletezheti az egyes erőforrásokat, és megtekintheti, hogy milyen típusú tranzakciók történtek, ki fért hozzá, majd lehatolást végezhet a felhasználók további vizsgálatához.

   

3. Egyéni alkalmazások esetén kiválaszthatja a sor végén található három gombot, majd az Új egyéni alkalmazás hozzáadása lehetőséget. Ekkor megnyílik az Alkalmazás hozzáadása ablak, amely lehetővé teszi az alkalmazás elnevezését és azonosítását, hogy bekerüljön a Cloud Discovery irányítópultjába.

A Cloud Discovery vezetői jelentésének létrehozása

A cloud discovery vezetői jelentés létrehozásával a legjobb módja annak, hogy áttekintést kapjon a szervezet árnyék informatikáról. Ez a jelentés azonosítja a leggyakoribb lehetséges kockázatokat, és segít megtervezni egy munkafolyamatot a kockázatok enyhítésére és kezelésére, amíg azok meg nem oldódnak.

Cloud Discovery-vezető jelentés létrehozása:

1. A Cloud Discovery irányítópultján válassza a Műveletek lehetőséget az irányítópult jobb felső sarkában, majd válassza a Cloud Discovery-vezető jelentés létrehozása lehetőséget.

2. Igény szerint módosítsa a jelentés nevét.

3. Válassza a Létrehozás lehetőséget.

Entitások kizárása

Ha olyan rendszerfelhasználókkal, IP-címekkel vagy eszközökkel rendelkezik, amelyek zajosak, de érdektelenek, vagy olyan entitásokkal rendelkezik, amelyeket nem szabad megjeleníteni az árnyék informatikai jelentésekben, érdemes lehet kizárni az adatokat az elemzett Cloud Discovery-adatokból. Előfordulhat például, hogy ki szeretné zárni a helyi gazdagépről származó összes információt.

Kizárás létrehozása:

1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

2. A Cloud Discovery alatt válassza az Entitások kizárása lapot.

3. Válassza a Kizárt felhasználók, a Kizárt csoportok, a Kizárt IP-címek vagy a Kizárt eszközök lapot, majd a +Hozzáadás gombra kattintva vegye fel a kizárást.

4. Adjon hozzá egy felhasználói aliast, IP-címet vagy eszköznevet. Javasoljuk, hogy adjon meg információkat arról, hogy miért történt a kizárás.

   

Megjegyzés:

Az entitások kizárása az újonnan kapott adatokra vonatkozik. A kizárt entitások előzményadatai a megőrzési időszakon (90 nap) keresztül maradnak.

Folyamatos jelentések kezelése

Az egyéni folyamatos jelentések segítségével részletesebben követheti nyomon szervezete Cloud Discovery-naplóadatait. Egyéni jelentések létrehozásával szűrhet adott földrajzi helyekre, hálózatokra és helyekre, illetve szervezeti egységekre. Alapértelmezés szerint csak az alábbi jelentések jelennek meg a Cloud Discovery jelentésválasztójában:

• A Global report (Globális jelentés) a naplókban szerepeltetett adatforrásokból származó, a portálon található összes információt tartalmazza. A globális jelentés nem tartalmazza a Végponthoz készült Microsoft Defender adatait.

• Az Data source specific report (Adatforrás-specifikus jelentés) csak az adott adatforrásból származó információkat jeleníti meg.

Új folyamatos jelentés létrehozása:

1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

2. A Cloud Discovery alatt válassza a Folyamatos jelentés lehetőséget.

3. Válassza a Jelentés létrehozása gombot.

4. Adja meg a jelentés nevét.

5. Válassza ki a felvenni kívánt adatforrásokat (mind vagy adott források).

6. Állítsa be a kívánt szűrőket az adatokon. Ezek a szűrők lehetnek felhasználói csoportok, IP-címcímkék vagy IP-címtartományok. Az IP-címek címkéivel és az IP-címtartományokkal kapcsolatos munkavégzés további leírását az Adatok rendezése igény szerint című részben tekintheti meg.

   

Megjegyzés:

Minden egyéni jelentés legfeljebb 1 GB tömörítetlen adatra korlátozódik. Ha több mint 1 GB adat áll rendelkezésre, az első 1 GB adat exportálva lesz a jelentésbe.

Cloud Discovery-adatok törlése

A Cloud Discovery-adatok törlését számos tényező indokolhatja. A következő esetekben ajánljuk az adatok törlését:

• Ha manuálisan töltött fel naplófájlokat, és sok idő telt el a rendszer új naplófájlokkal való frissítése óta, nem szerencsés, ha a régi adatok is hatással vannak az eredményekre.

• Amikor új egyéni adatnézetet állít be, az csak az adott pontból származó új adatokra lesz érvényes. Ezért érdemes lehet törölni a régi adatokat, majd újra feltölteni a naplófájlokat, hogy lehetővé tegye az egyéni adatnézet számára, hogy eseményeket vegyen fel a naplófájl adataiban.

• Ha a közelmúltban sok felhasználó vagy IP-cím kezdett újra működni, miután egy ideig offline állapotban volt, a tevékenység rendellenesként lesz azonosítva, és hamis pozitív szabálysértéseket okozhat.

A Cloud Discovery-adatok törlése:

1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

2. A Cloud Discovery alatt válassza az Adatok törlése lapot.

   Fontos, hogy a folytatás előtt teljesen biztos legyen abban, hogy törölni szeretné az adatokat – a művelet nem vonható vissza, és a rendszerben található összes Cloud Discovery-adatot törli.

3. Válassza a Törlés gombot.

   

   Megjegyzés:

   A törlési folyamat néhány percet vesz igénybe, nem azonnal történik meg.

További lépések

Cloud Discovery pillanatkép-jelentések készítése

Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez

Cloud Discovery-adatok használata

Alkalmazások felfedezése Végponthoz készült Microsoft Defender integrációjával