検出されたアプリの処理

  • [アーティクル]

注意

Microsoft Defender for Cloud Appsは現在、Microsoft 365 Defenderの一部であり、 のポータルからhttps://security.microsoft.comアクセスできます。 Microsoft 365 Defenderは、エンドポイント、ID、電子メール、SaaS アプリ間でMicrosoft Defender スイートからの信号を関連付け、インシデント レベルの検出、調査、強力な応答機能を提供します。 これにより、優先順位の向上と応答時間の短縮により、運用効率が向上し、organizationをより効果的に保護できます。 変更の詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。

Cloud Discovery ダッシュボードは、組織におけるクラウド アプリの利用状況を詳細に理解できるように設計されています。 使用されているアプリの種類、未処理のアラート、組織のアプリのリスク レベルをひとめで確認できます。 また、アプリを一番多く使っている人が表示され、アプリの本社が地図で示されます。 Cloud Discovery ダッシュボードには、データをフィルター処理するためのさまざまなオプションがあります。 フィルター処理を使用すると、わかりやすいグラフィックスを使用してひとめで全体像を把握できるため、ご自分が最も関心のあるものに応じて特定のビューを生成できます。 詳しくは、「検出されたアプリのフィルター」をご覧ください。

Cloud Discovery ダッシュボード。

Cloud Discovery ダッシュボードのレビュー

Cloud Discovery アプリの概要を把握するために最初にするべきことは、Cloud Discovery ダッシュボードで次の情報を確認することです。

  1. まず、[High-level usage overview] (高レベルの使用状況の概要) で、組織内のクラウド アプリの全体的な使用状況を確認します。

  2. 次に、1 段階詳細なレベルに下がり、さまざまな使用状況パラメーター別に組織で最も使用されているカテゴリを確認します。 この使用状況のうちどの程度が承認されたアプリによるものなのかを確認できます。

  3. さらに詳細なレベルに進むと、 [検出されたアプリ] タブで特定のカテゴリのすべてのアプリを確認できます。

  4. アプリを最も多く使用しているユーザーやソース IP アドレスを表示し、組織でクラウド アプリを最も頻繁に使用しているユーザーを特定できます。

  5. アプリの本社地図では、検出されたアプリの本社が地理的にどのように散らばっているのかを確認できます。

  6. 最後に、 [App risk overview](アプリのリスク概要) で検出されたアプリのリスク スコアを確認することを忘れないでください。 [discovery alerts status](検出アラート状態) を見て、調査する必要がある未処理のアラート数を確認します。

検出されたアプリの詳細情報

Cloud Discovery によって提供されたデータを掘り下げたい場合は、フィルターを使って、危険性の高いアプリやよく使われるアプリを確認します。

たとえば、よく使われる危険性の高いクラウド ストレージ アプリやコラボレーション アプリを識別する場合は、[検出されたアプリ] ページでフィルターを使って該当するアプリを抽出できます。 その後、次のようにして、そのようなアプリを非承認にしてブロックすることができます。

  1. [検出されたアプリ] ページの [カテゴリ別に参照] で、 [クラウド ストレージ][コラボレーション] の両方を選びます。

  2. 次に、高度なフィルターを使用し、[ コンプライアンス リスク要因 ] を [SOC 2 ] に [いいえ] に設定します。

  3. [ 使用状況] で、[ ユーザー] を 50 を超えるユーザーに設定し、[ トランザクション] を 100 より大きい値に設定します。

  4. [保存データの暗号化][セキュリティ リスク要因][サポートされていない] に等しく設定します。 [リスク スコア] を 6 以下に等しく設定します。

    検出されたアプリのフィルター。

結果をフィルター処理した後は、すべてのアプリを 1 つのアクションで非承認にする一括操作チェック ボックスを使って、アプリを非承認にしてブロックすることができます。 アプリを非承認にした後は、ブロッキング スクリプトを使って、アプリが環境内で使われないようにブロックすることができます。

Cloud Discovery を使用すると、組織のクラウドの使用状況をさらに詳しく調べることができます。 検出されたサブドメインを調査することによって、使用中の特定のインスタンスを識別できます。

たとえば、さまざまな SharePoint サイトを区別できます。

サブドメイン フィルター。

注意

検出されたアプリの詳細は、ターゲット URL データを含むファイアウォールとプロキシでのみサポートされます。 詳細については、「 サポートされているファイアウォールとプロキシ」を参照してください。

Defender for Cloud Apps が、トラフィック ログで検出されたサブドメインとアプリ カタログに格納されているデータと一致できない場合、サブドメインには [その他] というタグが付けられます。

リソースとカスタム アプリを検出する

Cloud Discovery では、IaaS と PaaS のリソースをより詳しく調べることができます。 リソースでホストされるプラットフォーム全体のアクティビティを検出したり、Azure、Google Cloud Platform、AWS でホストされているストレージ アカウント、インフラストラクチャ、カスタムアプリを含む、セルフホステッド アプリとリソース全体のデータ アクセスを表示したりできます。 IaaS ソリューションの全体的な使用について確認できるだけでなく、それぞれでホストされている特定のリソースと、リソースの全体的な使用を可視化して、リソースごとのリスクを軽減することができます。

たとえば、大量のデータがアップロードされた場合などに、Defender for Cloud Apps でアクティビティを監視したり、アップロード先のリソースを検出し、アクティビティを実行したユーザーを詳しく調べたりできます。

注意

これは、ターゲット URL データを含むファイアウォールとプロキシでのみサポートされています。 詳細については、「サポートされているファイアウォールとプロキシ」にある、サポートされているアプライアンスの一覧を参照してください。

検出されたリソースを表示するには:

  1. Microsoft 365 Defender ポータルの [Cloud Apps] で、[クラウド検出] を選択します。 次に、[ 検出されたリソース ] タブを選択します。

    検出されたリソースのメニュー。

  2. [Discovered resource](検出されたリソース) のページで、各リソースにドリルダウンして、発生したトランザクションの種類、それにアクセスしたユーザーを確認し、そのユーザーについてさらに詳しく調査することができます。

    検出リソース。

  3. カスタム アプリの場合は、行の末尾にある 3 つのボタンを選択し、[ 新しいカスタム アプリの追加] を選択できます。 これにより、[ このアプリの追加] ウィンドウが開きます。これにより、Cloud Discovery ダッシュボードにアプリの名前を付け、識別できるようになります。

Cloud Discovery エグゼクティブ レポートの生成

組織全体でのシャドウ IT の使用に関する概要を把握する最良の方法は、Cloud Discovery エグゼクティブ レポートを生成することです。 このレポートは、潜在的なリスクのうち危険性の高いものを特定しており、解決されるまでリスクを軽減および管理するワークフローを計画するうえで役立ちます。

Cloud Discovery エグゼクティブ レポートを生成するには:

  1. Cloud Discovery ダッシュボードで、ダッシュボードの右上隅にある [アクション] を選択し、[Cloud Discovery エグゼクティブ レポートの生成] を選択します。

  2. 必要に応じて、レポート名を変更します。

  3. [Generate] \(生成) を選択します。

エンティティの除外

ノイズが多く重要ではないシステム ユーザー、IP アドレス、またはデバイス、あるいはシャドウ IT レポートに表示すべきでないエンティティがある場合は、それらのデータを分析対象の Cloud Discovery データから除外することができます。 たとえば、ローカル ホストから送信されたすべての情報を除外するとします。

除外を作成するには:

  1. Microsoft 365 Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。

  2. [Cloud Discovery] で、 [エンティティの除外] タブを選択します。

  3. [ 除外されたユーザー]、[ 除外されたグループ]、[ 除外された IP アドレス]、または [ 除外されたデバイス ] タブを選択し、[ +追加 ] ボタンを選択して除外を追加します。

  4. ユーザーのエイリアス、IP アドレス、またはデバイス名を追加します。 除外した理由に関する情報を追加することをお勧めします。

    ユーザーを除外する。

注意

エンティティの除外は、新しく受信したデータに適用されます。 除外されたエンティティの履歴データは、保持期間 (90 日) まで残ります。

継続的レポートの管理

カスタムの継続的レポートを使用すると、組織の Cloud Discovery ログ データを詳細に監視できます。 カスタム レポートを作成すると、特定の地理的な場所、ネットワークとサイト、または組織単位でフィルター処理することができます。 既定では、Cloud Discovery レポート セレクターには次のレポートのみが表示されます。

  • グローバル レポートでは、ログに含まれるすべてのデータ ソースからポータルに収集されたデータが、統合表示されます。 グローバル レポートには、Microsoft Defender for Endpoint からのデータは含まれません。

  • データ ソースごとのレポートには、特定のデータ ソースの情報のみが表示されます。

新しい継続的レポートを作成するには:

  1. Microsoft 365 Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。

  2. [Cloud Discovery] で、 [継続的レポート] を選択します。

  3. [レポートの作成] ボタンを選択します。

  4. レポート名を入力します。

  5. 含めるデータ ソースを選択します (全部または一部)。

  6. データに対して適用するフィルターを設定します。 これらのフィルターには、 [ユーザー グループ][IP アドレス タグ][IP アドレス範囲] があります。 IP アドレス タグと IP アドレスの範囲の使用方法の詳細については、「Organize the data according to your needs (必要に応じてデータを整理する)」を参照してください。

    カスタムの継続的レポートを作成する。

注意

すべてのカスタム レポートは、最大 1 GB の圧縮されていないデータに制限されます。 1 GB を超えるデータがある場合は、最初の 1 GB のデータがレポートにエクスポートされます。

Cloud Discovery データの削除

Cloud Discovery データを削除する理由はいくつかあります。 次の場合に削除することをお勧めします。

  • ログ ファイルの手動アップロード後、長い時間が経過してから新しいログ ファイルでシステムを更新したが、その結果に古いデータからの影響を与えたくない場合。

  • 設定した新しいカスタム データ ビューは、その時点以降の新しいデータのみが適用対象となります。 そのため、古いデータを消去してからログ ファイルを再度アップロードすれば、そのログ ファイル データ内のイベントがカスタム データ ビューで取得されるようになります。

  • 多くのユーザーまたは IP アドレスが、しばらくオフラインであった後、最近作業を開始した場合、それらのアクティビティは異常と識別され、擬陽性の違反が発生する可能性があります。

Cloud Discovery データを削除するには:

  1. Microsoft 365 Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。

  2. [Cloud Discovery] で、 [データの削除] タブを選択します。

    続行する前に、データを削除しても問題ないことを確認することが重要です。元に戻すことはできず、システム内のすべての Cloud Discovery データが削除されます。

  3. [削除] ボタンを選択します。

    データを削除する。

    注意

    すぐには削除されず、削除処理には数分かかります。

次のステップ

Cloud Discovery のスナップショット レポートを作成する

継続的なレポートのために自動ログ アップロードを構成する

Cloud Discovery データでの作業

Microsoft Defender for Endpoint の統合を使用してアプリを検出する