Delen via

Werken met gedetecteerde apps

  • Artikel

De pagina Clouddetectie biedt een dashboard dat is ontworpen om u meer inzicht te geven in hoe cloud-apps in uw organisatie worden gebruikt. Het dashboard biedt een overzicht van de typen apps die worden gebruikt, uw geopende waarschuwingen en de risiconiveaus van apps in uw organisatie. U ziet ook wie uw belangrijkste app-gebruikers zijn en biedt een locatiekaart voor het app-hoofdkantoor.

Filter uw clouddetectiegegevens om specifieke weergaven te genereren, afhankelijk van wat u het meest interesseert. Zie Gedetecteerde app-filters voor meer informatie.

Vereisten

Zie Beheerderstoegang beheren voor informatie over de vereiste rollen.

Het clouddetectiedashboard controleren

In deze procedure wordt beschreven hoe u een eerste, algemene afbeelding krijgt van uw clouddetectie-apps in het clouddetectiedashboard .

  1. Selecteer cloud-apps >in de Microsoft Defender-portal.

    Voorbeeld:

    Schermopname van het clouddetectiedashboard

    Ondersteunde apps omvatten Windows- en macOS-apps, die beide worden vermeld onder de Stream beheerde eindpunten van Defender.

  2. Bekijk de volgende informatie:

    1. Gebruik het overzicht van algemeen gebruik om inzicht te hebben in het algehele gebruik van cloud-apps in uw organisatie.

    2. Duik één niveau dieper om inzicht te krijgen in de belangrijkste categorieën die in uw organisatie worden gebruikt voor elk van de verschillende gebruiksparameters. Let op hoeveel van dit gebruik wordt gebruikt door opgegeven apps.

    3. Gebruik het tabblad Gedetecteerde apps om nog dieper in te gaan en alle apps in een specifieke categorie te bekijken.

    4. Controleer de belangrijkste gebruikers en bron-IP-adressen om te bepalen welke gebruikers de meest dominante gebruikers van cloud-apps in uw organisatie zijn.

    5. Gebruik de app-hoofdzetelkaart om te controleren hoe de gedetecteerde apps zich verspreiden op basis van geografische locatie, volgens hun hoofdkantoor.

    6. Gebruik het overzicht van app-risico's om inzicht te hebben in de risicoscore van gedetecteerde apps en controleer de status van detectiewaarschuwingen om te zien hoeveel geopende waarschuwingen u moet onderzoeken.

Uitgebreide informatie over gedetecteerde apps

Als u meer wilt weten over clouddetectiegegevens, gebruikt u de filters om te controleren op riskante of veelgebruikte apps.

Als u bijvoorbeeld veelgebruikte, riskante cloudopslag- en samenwerkingsapps wilt identificeren, gebruikt u de pagina Gedetecteerde apps om te filteren op de gewenste apps. Vervolgens kunt u deze als volgt verwijderen of blokkeren:

  1. Selecteer clouddetectie in de Microsoft Defender-portal onder Cloud Apps. Kies vervolgens het tabblad Gedetecteerde apps .

  2. Selecteer op het tabblad Gedetecteerde apps onder Bladeren op categorie zowel Cloudopslag als Samenwerking.

  3. Gebruik de geavanceerde filters om nalevingsrisicofactor in te stellen op SOC 2 = Nee.

  4. Stel voor Gebruik gebruikers in op meer dan 50 gebruikers en transacties op meer dan 100.

  5. Stel de beveiligingsrisicofactor in voor data-at-rest-versleuteling is gelijk aan Niet ondersteund. Stel vervolgens de risicoscore in op 6 of lager.

    Schermopname van gedetecteerde voorbeeld-app-filters.

Nadat de resultaten zijn gefilterd, kunt u deze niet goedkeuren en blokkeren met behulp van het selectievakje voor bulkacties om ze allemaal in één actie ongedaan te maken. Zodra ze niet zijn opgegeven, gebruikt u een blokkerend script om te voorkomen dat ze in uw omgeving worden gebruikt.

Mogelijk wilt u ook specifieke app-exemplaren identificeren die in gebruik zijn door de gedetecteerde subdomeinen te onderzoeken. Onderscheid maken tussen verschillende SharePoint-sites:

Subdomeinfilter.

Notitie

Uitgebreide informatie over gedetecteerde apps wordt alleen ondersteund in firewalls en proxy's die doel-URL-gegevens bevatten. Zie Ondersteunde firewalls en proxy's voor meer informatie.

Als Defender voor Cloud Apps niet overeenkomen met het subdomein dat is gedetecteerd in de verkeerslogboeken met de gegevens die zijn opgeslagen in de app-catalogus, wordt het subdomein gelabeld als Overige.

Resources en aangepaste apps ontdekken

Met clouddetectie kunt u ook dieper ingaan op uw IaaS- en PaaS-resources. Ontdek activiteiten op uw platformen voor het hosten van resources, en bekijk de toegang tot gegevens in uw zelf-hostende apps en resources, waaronder opslagaccounts, infrastructuur en aangepaste apps die worden gehost op Azure, Google Cloud Platform en AWS. U kunt niet alleen het algemene gebruik in uw IaaS-oplossingen zien, maar u kunt inzicht krijgen in de specifieke resources die op elk van deze resources worden gehost en het algehele gebruik van de resources, om het risico per resource te beperken.

Als er bijvoorbeeld een grote hoeveelheid gegevens wordt geüpload, detecteert u naar welke resource deze wordt geüpload en zoomt u in om te zien wie de activiteit heeft uitgevoerd.

Notitie

Dit wordt alleen ondersteund in firewalls en proxy's die doel-URL-gegevens bevatten. Zie de lijst met ondersteunde apparaten in ondersteunde firewalls en proxy's voor meer informatie.

Gedetecteerde resources weergeven:

  1. Selecteer clouddetectie in de Microsoft Defender-portal onder Cloud Apps. Kies vervolgens het tabblad Gedetecteerde resources .

    Schermopname van het menu Gedetecteerde resources.

  2. Zoom op de pagina Gedetecteerde resources in op elke resource om te zien welke soorten transacties er zijn opgetreden, wie toegang heeft tot de resource en zoom vervolgens in om de gebruikers nog verder te onderzoeken.

    Schermopname van het tabblad Gedetecteerde resources.

  3. Selecteer voor aangepaste apps het menu Opties aan het einde van de rij en selecteer vervolgens Nieuwe aangepaste app toevoegen. Hiermee opent u het dialoogvenster Deze app toevoegen, waarin u de app een naam kunt geven en identificeren, zodat deze kan worden opgenomen in het clouddetectiedashboard.

Een managementrapport voor clouddetectie genereren

De beste manier om een overzicht te krijgen van schaduw-IT-gebruik in uw organisatie is door een managementrapport voor clouddetectie te genereren. Dit rapport identificeert de belangrijkste potentiële risico's en helpt u bij het plannen van een werkstroom om risico's te beperken en te beheren totdat ze zijn opgelost.

Een managementrapport voor clouddetectie genereren:

  1. Selecteer clouddetectie in de Microsoft Defender-portal onder Cloud Apps.

  2. Selecteer op de pagina Clouddetectie de optie Acties>genereren voor het managementrapport van Cloud Discovery.

  3. Wijzig desgewenst de rapportnaam en selecteer Vervolgens Genereren.

Entiteiten uitsluiten

Als u systeemgebruikers, IP-adressen of apparaten hebt die luidruchtig maar oninterest zijn of entiteiten die niet moeten worden weergegeven in de Schaduw-IT-rapporten, kunt u hun gegevens uitsluiten van de geanalyseerde clouddetectiegegevens. U kunt bijvoorbeeld alle informatie die afkomstig is van een lokale host uitsluiten.

Een uitsluiting maken:

  1. Selecteer in de Microsoft Defender-portal Instellingen>Cloud Apps>Cloud Discovery>Exclude-entiteiten.

  2. Selecteer het tabblad Uitgesloten gebruikers, Uitgesloten groepen, Uitgesloten IP-adressen of Uitgesloten apparaten en selecteer de knop +Toevoegen om uw uitsluiting toe te voegen.

  3. Voeg een gebruikersalias, IP-adres of apparaatnaam toe. We raden u aan informatie toe te voegen over waarom de uitsluiting is gemaakt.

    Schermopname van het uitsluiten van een gebruiker.

Notitie

Alle entiteitsuitsluitingen zijn alleen van toepassing op nieuw ontvangen gegevens. Historische gegevens van de uitgesloten entiteiten blijven gedurende de bewaarperiode (90 dagen).

Doorlopende rapporten beheren

Aangepaste doorlopende rapporten bieden u meer granulariteit bij het bewaken van de clouddetectielogboekgegevens van uw organisatie. Maak aangepaste rapporten om te filteren op specifieke geografische locaties, netwerken en sites of organisatie-eenheden. Standaard worden alleen de volgende rapporten weergegeven in de clouddetectierapportkiezer:

  • Met het algemene rapport worden alle gegevens in de portal samengevoegd uit alle gegevensbronnen die u aan de logboeken hebt toegevoegd. Het globale rapport bevat geen gegevens uit Microsoft Defender voor Eindpunt.

  • In het specifieke gegevensbronrapport worden alleen gegevens voor een specifieke gegevensbron weergegeven.

Ga als volgt te werk om een nieuw doorlopend rapport te maken:

  1. Selecteer in de Microsoft Defender-portal Instellingen>Cloud Apps>Cloud Discovery>Doorlopend rapport> maken.

  2. Voer een rapportnaam in.

  3. Selecteer de gegevensbronnen die u wilt opnemen (alle of specifiek).

  4. Stel de gewenste filters in voor de gegevens. Deze filters kunnen gebruikersgroepen, IP-adrestags of IP-adresbereiken zijn. Zie het Engelstalige artikel Organize the data according to your needs (De gegevens organiseren op basis van uw behoeften) voor meer informatie over het werken met IP-adrestags en IP-adresbereiken.

    Schermopname van het maken van een aangepast doorlopend rapport.

Notitie

Alle aangepaste rapporten zijn beperkt tot maximaal 1 GB aan niet-gecomprimeerde gegevens. Als er meer dan 1 GB aan gegevens is, wordt de eerste 1 GB aan gegevens geëxporteerd naar het rapport.

Clouddetectiegegevens verwijderen

Het is raadzaam om clouddetectiegegevens in de volgende gevallen te verwijderen:

  • Als u handmatig logboekbestanden hebt geüpload, duurt het lang voordat u het systeem hebt bijgewerkt met nieuwe logboekbestanden en wilt u geen oude gegevens die van invloed zijn op uw resultaten.

  • Wanneer u een nieuwe aangepaste gegevensweergave instelt, is deze alleen van toepassing op nieuwe gegevens vanaf dat moment. In dergelijke gevallen wilt u mogelijk oude gegevens wissen en vervolgens uw logboekbestanden opnieuw uploaden om de aangepaste gegevensweergave in te schakelen voor het ophalen van gebeurtenissen in de logboekbestandsgegevens.

  • Als veel gebruikers of IP-adressen onlangs weer werken nadat ze enige tijd offline zijn, wordt hun activiteit geïdentificeerd als afwijkend en kan dit fout-positieve schendingen opleveren.

Belangrijk

Zorg ervoor dat u gegevens wilt verwijderen voordat u dit doet. Deze actie is onherstelbaar en verwijdert alle Cloud Discovery-gegevens in het systeem.

Cloud discovery-gegevens verwijderen:

  1. Selecteer in de Microsoft Defender-portal Instellingen>Cloud Apps>Cloud Discovery-gegevens> verwijderen.

  2. Selecteer de knop Verwijderen.

    Schermopname van het verwijderen van clouddetectiegegevens.

Notitie

De verwijdering duurt een paar minuten en is niet direct.

Volgende stappen

Momentopnamerapporten maken van Cloud Discovery

Automatisch uploaden van logboeken configureren voor doorlopende rapporten

Werken met Cloud Discovery-gegevens

Apps ontdekken met behulp van de integratie van Microsoft Defender voor Eindpunt