Trabalhando com aplicativos descobertos

Artigo
06/17/2024

O painel Cloud Discovery fornece mais informações sobre como os aplicativos de nuvem estão sendo usados na sua organização. O painel fornece uma visão geral rápida de quais tipos de aplicativos estão sendo usados, seus alertas abertos e os níveis de risco dos aplicativos na sua organização. Ele também mostra quem são os principais usuários do aplicativo e fornece um mapa do local da Matriz de Aplicativo.

Filtre seus dados de Cloud Discovery para gerar exibições específicas, dependendo do que mais lhe interessa. Para obter mais informações, consulte: Descobrir aplicativos.

Pré-requisitos

Para obter informações sobre as funções necessárias, consulte Gerenciar o acesso de administrador.

Examinar o Painel do Cloud Discovery

Este procedimento descreve como obter uma imagem inicial e geral de seus aplicativos de descoberta de nuvem no painel de Cloud Discovery.

No portal do Microsoft Defender, selecione Aplicativos em nuvem > Cloud Discovery.

Por exemplo:

Os aplicativos compatíveis incluem aplicativos do Windows e do macOS, que estão listados no fluxo de pontos de extremidade gerenciados do Defender.
Reveja as seguintes informações:
1. Use a visão geral de alto nível de uso para entender o uso geral de aplicativos em nuvem em sua organização.
2. Aprofunde-se ainda mais para entender as principais categorias usadas na sua organização para cada um dos diferentes parâmetros de uso. Observe quanto desse uso ocorre por aplicativos sancionados.
3. Use a guia Aplicativos descobertos para ir ainda mais fundo e ver todos os aplicativos em uma categoria específica.
4. Verifique os principais usuários e endereços IP de origem para identificar quais usuários são os mais dominantes nos aplicativos de nuvem na sua organização.
5. Use o Mapa da Matriz do Aplicativo para verificar como os aplicativos descobertos se espalham de acordo com a localização geográfica, de acordo com sua matriz.
6. Use a Visão geral de risco de aplicativos para entender a pontuação de risco dos aplicativos descobertos e verificar o status de alertas de descoberta para ver quantos alertas abertos você deve investigar.

Aprofunde-se nos aplicativos descobertos

Para se aprofundar nos dados de Cloud Discovery, use os filtros para verificar se há aplicativos arriscados ou comumente usados.

Por exemplo, se você quiser identificar aplicativos de colaboração e de armazenamento de nuvem arriscados usados com frequência, poderá usar a página Aplicativos descobertos para os aplicativos que você deseja filtrar. Então você pode cancelar a sanção ou bloqueá-los da seguinte maneira:

No portal do Microsoft Defender, em Aplicativos de Nuvem, selecione Cloud Discovery. Em seguida, escolha a guia Aplicativos descobertos.
Na guia Aplicativos descobertos, em Procurar por categoria, selecione Armazenamento em nuvem e Colaboração.
Use os filtros avançados para definir o fator de risco de conformidade como SOC 2 = No.
Em Uso, defina Usuários como mais de 50 usuários e Transações como mais de 100.
Defina o Fator de risco de segurança como Criptografia de dados em repouso é igual a Não tem suporte. Em seguida, defina Pontuação de risco como igual a 6 ou menos.

Depois que os resultados são filtrados, você pode cancelar a sanção e bloqueá-los usando a caixa de seleção de ação em massa para cancelar a sanção de todos eles em uma ação só. Depois que eles tiverem a sanção cancelada, você poderá usar um script de bloqueio para impedir que sejam usados em seu ambiente.

Talvez você também queira identificar instâncias específicas do aplicativo que estão em uso investigando os subdomínios descobertos. Por exemplo, você pode diferenciar entre os diferentes sites do SharePoint:

Filtro de subdomínio.

Observação

Esse aprofundamento em aplicativos descobertos tem suporte apenas em firewalls e proxies que contenham dados de URL de destino. Para obter mais informações, confira Firewalls e proxies com suporte.

Se o Defender para Aplicativos de Nuvem não puder corresponder o subdomínio detectado nos logs de tráfego aos dados armazenados no catálogo de aplicativos, o subdomínio será marcado como Outro.

Descubra recursos e aplicativos personalizados

O Cloud Discovery também permite que você se aprofunde em seus recursos de IaaS e PaaS. Você pode descobrir atividades em suas plataformas de hospedagem de recursos, visualizando o acesso a dados em seus aplicativos e recursos autohospedados, incluindo contas de armazenamento, infraestrutura e aplicativos personalizados hospedados no Azure, Google Cloud Platform e AWS. Você não apenas pode ver o uso geral em suas soluções IaaS, mas também pode obter visibilidade dos recursos específicos hospedados em cada um e do uso geral dos recursos para ajudar a reduzir o risco por recurso.

Por exemplo, se uma grande quantidade de dados for carregada, descubra para qual recurso ela foi carregada e faça uma busca detalhada para ver quem executou a atividade.

Observação

Isso tem suporte apenas em firewalls e proxies que contêm dados de URL de destino. Para obter informações, confira a lista de dispositivos compatíveis em Proxies e firewalls compatíveis.

Para exibir os recursos descobertos:

No portal do Microsoft Defender, em Aplicativos de Nuvem, selecione Cloud Discovery. Em seguida, escolha a guia Recursos descobertos.
Na página Recursos descobertos você pode fazer uma busca detalhada em cada recurso para ver quais tipos de transações ocorreram, quem o acessou e, em seguida, fazer uma busca detalhada para investigar ainda mais os usuários.
Para aplicativos personalizados, você pode selecionar o menu de opções no final da linha e escolher Adicionar novo aplicativo personalizado. Isso abrirá a caixa de diálogo Adicionar este aplicativo que permite nomear e identificar o aplicativo para que ele possa ser incluído no painel do Cloud Discovery.

Gerar relatório executivo do Cloud Discovery

A melhor maneira de obter uma visão geral do uso de Shadow IT na organização é gerando um relatório executivo do Cloud Discovery. Este relatório identifica os principais riscos potenciais e ajuda você a planejar um fluxo de trabalho para atenuar e gerenciar os riscos até que eles sejam resolvidos.

Para gerar um relatório executivo do Cloud Discovery:

No portal do Microsoft Defender, em Aplicativos de Nuvem, selecione Cloud Discovery.
Na página Cloud Discovery, selecione Ações>gerar relatório executivo do Cloud Discovery.
Opcionalmente, altere o nome do relatório e selecione Gerar.

Excluir entidades

Se você tem usuários do sistema, endereços IP ou computadores ruidosos, mas desinteressantes, ou aplicativos que não são relevantes, talvez queira excluir os dados deles dos dados do Cloud Discovery que são analisados. Por exemplo, talvez você queira excluir todas as informações provenientes de um host local.

Para criar uma exclusão:

No portal do Microsoft Defender, selecione Configurações de Aplicativos em Nuvem>Cloud Discovery>Excluir entidades>.
Selecione a guia Usuários excluídos, Grupos excluídos, Endereços de IP excluídos, or Dispositivos excluídos e pressione o botão +Adicionar para adicionar sua exclusão.
Adicione um alias do usuário, um endereço IP ou um nome do computador. É recomendável adicionar informações sobre por que a exclusão foi feita.

Observação

Todas as exclusões de entidade se aplicam apenas aos dados recém-recebidos. Os dados históricos das entidades excluídas permanecem durante o período de retenção (90 dias).

Gerenciar relatórios contínuos

Relatórios contínuos personalizados fornecem maior granularidade ao monitorar os dados de log do Cloud Discovery da sua organização. Crie relatórios personalizados para filtrar por localizações geográficas, redes, sites ou unidades organizacionais específicas. Por padrão, somente os relatórios a seguir aparecem no seu seletor de relatório do Cloud Discovery:

O Relatório global consolida todas as informações no portal de todas as fontes de dados incluídas em seus logs. O relatório global não inclui dados do Microsoft Defender para Ponto de Extremidade.
O Relatório específico de fonte de dados mostra apenas informações para uma fonte de dados específica.

Para criar um novo relatório contínuo:

No portal do Microsoft Defender, selecione Configurações>Aplicativos em nuvem>Cloud Discovery>Relatório contínuo>Criar relatório.
Insira um nome de relatório.
Selecione as fontes de dados que você deseja incluir.
Defina os filtros que você deseja nos dados. Esses filtros podem ser Grupos de usuários, Marcas de endereço IP ou Intervalos de endereços IP. Para obter mais informações sobre como trabalhar com marcas de endereço IP e intervalos de endereço IP, consulte Organizar os dados de acordo com suas necessidades.

Observação

Todos os relatórios personalizados são limitados a no máximo 1 GB de dados não compactados. Se houver mais de 1 GB de dados, o primeiro GB de dados será exportado para o relatório.

Excluindo dados do Cloud Discovery

Recomendamos excluir dados de Cloud Discovery nos seguintes casos:

Se você carregou os arquivos de log manualmente e passou muito tempo antes de atualizar o sistema com novos arquivos de log e você não deseja dados antigos afetando os resultados.
Quando você define uma nova exibição de dados personalizada, ela será aplicada somente aos novos dados desse ponto em diante. Nesses casos, você talvez queira apagar os dados antigos e, em seguida, carregar seus arquivos de log novamente para habilitar a exibição de dados personalizada para escolher eventos nos dados do arquivo de log.
Se vários usuários ou endereços IP tiverem começado a funcionar de novo recentemente após ficarem um período offline, sua atividade será identificada como anômala e poderá gerar violações falso-positivas.

Importante

Certifique-se de que pretende eliminar dados antes de o fazer. Essa ação é irreversível e exclui todos os dados do Cloud Discovery no sistema.

Para excluir os dados do Cloud Discovery:

No portal do Microsoft Defender, selecione Configurações>Aplicativos em nuvem>Cloud Discovery>Excluir dados.
Selecione o botão Excluir.