Udostępnij za pośrednictwem

Praca z odnalezionymi aplikacjami

  • Artykuł

Strona Rozwiązania Cloud Discovery udostępnia pulpit nawigacyjny, który zapewnia lepszy wgląd w sposób, w jaki aplikacje w chmurze są używane w organizacji. Pulpit nawigacyjny zapewnia błyskawiczny widok typów używanych aplikacji, otwartych alertów i poziomów ryzyka aplikacji w organizacji. Pokazuje również, kim są twoi najlepsi użytkownicy aplikacji, i udostępnia mapę lokalizacji siedziby aplikacji.

Przefiltruj dane rozwiązania Cloud Discovery , aby wygenerować określone widoki, w zależności od tego, co cię najbardziej interesuje. Aby uzyskać więcej informacji, zobacz Odnalezione filtry aplikacji.

Wymagania wstępne

Aby uzyskać informacje o wymaganych rolach, zobacz Zarządzanie dostępem administratora.

Przeglądanie pulpitu nawigacyjnego odnajdywania w chmurze

W tej procedurze opisano sposób uzyskiwania początkowego, ogólnego obrazu aplikacji odnajdywania w chmurze na pulpicie nawigacyjnym rozwiązania Cloud Discovery .

  1. W portalu usługi Microsoft Defender wybierz pozycję Aplikacje > w chmurze Odnajdywanie w chmurze.

    Na przykład:

    Zrzut ekranu przedstawiający pulpit nawigacyjny rozwiązania Cloud Discovery

    Obsługiwane aplikacje obejmują aplikacje systemu Windows i macOS, które są wymienione w strumieniu Defender — zarządzanych punktów końcowych .

  2. Przejrzyj następujące informacje:

    1. Omówienie użycia wysokiego poziomu umożliwia zrozumienie ogólnego użycia aplikacji w chmurze w organizacji.

    2. Poznaj jeden poziom bardziej szczegółowo, aby zrozumieć najważniejsze kategorie używane w organizacji dla każdego z różnych parametrów użycia. Zwróć uwagę na to, ile z tego użycia ma aplikacja zaakceptowana przez zaakceptowane sankcje.

    3. Użyj karty Odnalezione aplikacje, aby przejść jeszcze bardziej szczegółowo i wyświetlić wszystkie aplikacje w określonej kategorii.

    4. Sprawdź najlepszych użytkowników i źródłowe adresy IP, aby określić, którzy użytkownicy są najbardziej dominującymi użytkownikami aplikacji w chmurze w organizacji.

    5. Użyj mapy siedziby aplikacji, aby sprawdzić, jak odnalezione aplikacje rozprzestrzeniają się zgodnie z lokalizacją geograficzną, zgodnie z siedzibą firmy.

    6. Zapoznaj się z omówieniem ryzyka aplikacji, aby zrozumieć ocenę ryzyka odnalezionych aplikacji i sprawdzić stan alertów odnajdywania, aby zobaczyć, ile otwartych alertów należy zbadać.

Szczegółowe omówienie odnalezionych aplikacji

Aby dokładniej zapoznać się z danymi odnajdywania w chmurze, użyj filtrów, aby sprawdzić ryzykowne lub powszechnie używane aplikacje.

Jeśli na przykład chcesz zidentyfikować najczęściej używane, ryzykowne aplikacje magazynu w chmurze i współpracy, użyj strony Odnalezione aplikacje , aby odfiltrować żądane aplikacje. Następnie usuń zaznaczenie lub zablokuj je w następujący sposób:

  1. W portalu usługi Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Odnajdywanie w chmurze. Następnie wybierz kartę Odnalezione aplikacje .

  2. Na karcie Odnalezione aplikacje w obszarze Przeglądaj według kategorii wybierz zarówno magazyn w chmurze, jak i współpracę.

  3. Użyj filtrów zaawansowanych, aby ustawić współczynnik ryzyka zgodności na SOC 2 = Nr.

  4. W obszarze Użycie ustaw wartość Użytkownicy na większą niż 50 użytkowników i transakcje na większą niż 100.

  5. Ustaw współczynnik ryzyka zabezpieczeń dla szyfrowania danych magazynowanych jest równy Nieobsługiwane. Następnie ustaw wskaźnik ryzyka równy 6 lub niższy.

    Zrzut ekranu przedstawiający przykładowe odnalezione filtry aplikacji.

Po przefiltrowanym wynikach usuń zaznaczenie i zablokuj je przy użyciu pola wyboru akcji zbiorczej, aby anulować ich wszystkie w jednej akcji. Po ich usunięciu użyj skryptu blokującego, aby zablokować ich używanie w środowisku.

Możesz również zidentyfikować określone wystąpienia aplikacji, które są używane, badając odnalezione poddomeny. Na przykład rozróżnianie różnych witryn programu SharePoint:

Filtr poddomeny.

Uwaga

Szczegółowe informacje na temat odnalezionych aplikacji są obsługiwane tylko w zaporach i serwerach proxy, które zawierają docelowe dane adresu URL. Aby uzyskać więcej informacji, zobacz Obsługiwane zapory i serwery proxy.

Jeśli Defender dla Chmury Aplikacje nie mogą pasować do poddomeny wykrytej w dziennikach ruchu z danymi przechowywanymi w katalogu aplikacji, poddomena zostanie oznaczona jako Inna.

Odnajdywanie zasobów i aplikacji niestandardowych

Usługa Cloud Discovery umożliwia również szczegółowe omówienie zasobów IaaS i PaaS. Odkryj działania na platformach hostingu zasobów, wyświetlając dostęp do danych w aplikacjach i zasobach hostowanych samodzielnie, w tym na kontach magazynu, infrastrukturze i aplikacjach niestandardowych hostowanych na platformie Azure, platformie Google Cloud Platform i na platformie AWS. Nie tylko widzisz ogólne użycie w rozwiązaniach IaaS, ale możesz uzyskać wgląd w konkretne zasoby hostowane na poszczególnych zasobach i ogólne użycie zasobów, aby zmniejszyć ryzyko na zasób.

Jeśli na przykład zostanie przekazana duża ilość danych, odkryj, do jakiego zasobu został przekazany, i przejdź do szczegółów, aby zobaczyć, kto wykonał działanie.

Uwaga

Jest to obsługiwane tylko w zaporach i serwerach proxy, które zawierają docelowe dane adresu URL. Aby uzyskać więcej informacji, zobacz listę obsługiwanych urządzeń w temacie Obsługiwane zapory i serwery proxy.

Aby wyświetlić odnalezione zasoby:

  1. W portalu usługi Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Odnajdywanie w chmurze. Następnie wybierz kartę Odnalezione zasoby .

    Zrzut ekranu przedstawiający menu odnalezionych zasobów.

  2. Na stronie Odnalezione zasoby przejdź do szczegółów poszczególnych zasobów , aby zobaczyć, jakie rodzaje transakcji wystąpiły, kto do niego uzyskiwał dostęp, a następnie przejdź do szczegółów, aby dokładniej zbadać użytkowników.

    Zrzut ekranu przedstawiający kartę Odnalezione zasoby.

  3. W przypadku aplikacji niestandardowych wybierz menu opcji na końcu wiersza, a następnie wybierz pozycję Dodaj nową aplikację niestandardową. Spowoduje to otwarcie okna dialogowego Dodawanie tej aplikacji , w którym można nazwać i zidentyfikować aplikację, aby mogła zostać uwzględniona na pulpicie nawigacyjnym odnajdywania w chmurze.

Generowanie raportu wykonawczego rozwiązania Cloud Discovery

Najlepszym sposobem uzyskania przeglądu użycia niezatwierdzonych zasobów IT w całej organizacji jest wygenerowanie raportu wykonawczego rozwiązania Cloud Discovery. Ten raport identyfikuje najważniejsze potencjalne zagrożenia i pomaga zaplanować przepływ pracy w celu ograniczenia ryzyka i zarządzania nimi do momentu ich rozwiązania.

Aby wygenerować raport wykonawczy rozwiązania Cloud Discovery:

  1. W portalu usługi Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Odnajdywanie w chmurze.

  2. Na stronie Odnajdywanie w chmurze wybierz pozycję Akcje>Generuj raport wykonawczy rozwiązania Cloud Discovery.

  3. Opcjonalnie zmień nazwę raportu, a następnie wybierz pozycję Generuj.

Wykluczanie jednostek

Jeśli masz użytkowników systemu, adresy IP lub urządzenia, które są hałaśliwe, ale nieinteresujące, lub jednostki, które nie powinny być prezentowane w raportach IT w tle, możesz wykluczyć ich dane z analizowanych danych rozwiązania Cloud Discovery. Możesz na przykład wykluczyć wszystkie informacje pochodzące z hosta lokalnego.

Aby utworzyć wykluczenie:

  1. W portalu usługi Microsoft Defender wybierz pozycję Ustawienia>jednostki Cloud Apps>Cloud Discovery>Wykluczanie.

  2. Wybierz kartę Wykluczone użytkownicy, Wykluczone grupy, Wykluczone adresy IP lub Wykluczone urządzenia, a następnie wybierz przycisk +Dodaj, aby dodać wykluczenie.

  3. Dodaj alias użytkownika, adres IP lub nazwę urządzenia. Zalecamy dodanie informacji o tym, dlaczego zostało wykonane wykluczenie.

    Zrzut ekranu przedstawiający wykluczanie użytkownika.

Uwaga

Wszystkie wykluczenia jednostek mają zastosowanie tylko do nowo odebranych danych. Historyczne dane wykluczonych jednostek pozostają w okresie przechowywania (90 dni).

Zarządzanie raportami ciągłymi

Niestandardowe raporty ciągłe zapewniają większą szczegółowość podczas monitorowania danych dziennika odnajdywania w chmurze w organizacji. Tworzenie niestandardowych raportów w celu filtrowania określonych lokalizacji geograficznych, sieci i lokacji lub jednostek organizacyjnych. Domyślnie w selektorze raportów usługi Cloud Discovery są wyświetlane tylko następujące raporty:

  • Raport globalny zawiera wszystkie informacje w portalu pochodzące ze wszystkich źródeł danych, które zostały zawarte w dziennikach. Raport globalny nie zawiera danych z Ochrona punktu końcowego w usłudze Microsoft Defender.

  • Raport specyficzny dla źródła danych zawiera tylko informacje z określonego źródła danych.

Aby utworzyć nowy raport ciągły:

  1. W portalu usługi Microsoft Defender wybierz pozycję Ustawienia>Aplikacje>w chmurze Raport ciągły odnajdywania>w chmurze Utwórz raport.>

  2. Wprowadź nazwę raportu.

  3. Wybierz źródła danych, które chcesz dołączyć (wszystkie lub tylko określone).

  4. Ustaw filtry, które mają być na danych. Te filtry mogą być grupami użytkowników, tagami adresów IP lub zakresami adresów IP. Aby uzyskać więcej informacji o pracy z tagami i zakresami adresów IP, zobacz Organizowanie danych zgodnie z potrzebami.

    Zrzut ekranu przedstawiający tworzenie niestandardowego raportu ciągłego.

Uwaga

Wszystkie raporty niestandardowe są ograniczone do maksymalnie 1 GB nieskompresowanych danych. Jeśli istnieje więcej niż 1 GB danych, pierwsze 1 GB danych zostanie wyeksportowanych do raportu.

Usuwanie danych odnajdywania w chmurze

Zalecamy usunięcie danych odnajdywania w chmurze w następujących przypadkach:

  • Jeśli pliki dziennika zostały przekazane ręcznie, minęło dużo czasu od czasu zaktualizowania systemu przy użyciu nowych plików dziennika i nie chcesz, aby stare dane wpływały na wyniki.

  • Po ustawieniu nowego niestandardowego widoku danych ma zastosowanie tylko do nowych danych z tego punktu. W takich przypadkach możesz chcieć wymazać stare dane, a następnie ponownie przekazać pliki dziennika, aby umożliwić niestandardowy widok danych w celu pobrania zdarzeń w danych pliku dziennika.

  • Jeśli wielu użytkowników lub adresów IP ostatnio zaczęło działać ponownie po przejściu do trybu offline przez jakiś czas, ich działanie jest identyfikowane jako nietypowe i może spowodować fałszywe naruszenia dodatnie.

Ważne

Przed wykonaniem tej czynności upewnij się, że chcesz usunąć dane. Ta akcja jest nieodwracalna i usuwa wszystkie dane odnajdywania w chmurze w systemie.

Aby usunąć dane rozwiązania Cloud Discovery:

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia>Aplikacje>w chmurze Cloud Discovery>Usuń dane.

  2. Wybierz przycisk Usuń.

    Zrzut ekranu przedstawiający usuwanie danych odnajdywania w chmurze.

Uwaga

Proces usuwania zajmuje kilka minut i nie jest procesem natychmiastowym.

Następne kroki

Tworzenie raportów odnajdywania migawek w chmurze

Konfigurowanie automatycznego przekazywania dzienników na potrzeby raportów ciągłych

Praca z danymi odnajdywania w chmurze

Odnajdywanie aplikacji przy użyciu integracji Ochrona punktu końcowego w usłudze Microsoft Defender