Trabalhar com aplicações detetadas
O dashboard da Cloud Discovery foi concebido para lhe dar mais informações sobre a forma como as aplicações na cloud estão a ser utilizadas na sua organização. Ele fornece uma visão geral rápida de quais tipos de aplicativos estão sendo usados, seus alertas abertos e os níveis de risco dos aplicativos em sua organização. Também mostra quem são os principais utilizadores de aplicações e fornece um mapa com a localização da Sede da Aplicação. O Cloud Discovery Dashboard tem muitas opções para filtrar os dados. A filtragem permite-lhe gerar vistas específicas dependendo do que está mais interessado em utilizar gráficos fáceis de compreender para lhe dar uma imagem completa num piscar de olhos. Para obter mais informações, consulte Filtros de aplicativos descobertos.
Rever o Dashboard da Cloud Discovery
A primeira coisa que você deve fazer para obter uma visão geral de seus aplicativos do Cloud Discovery é revisar as seguintes informações no Painel do Cloud Discovery:
Primeiro, observe o uso geral do aplicativo na nuvem em sua organização na visão geral de uso de alto nível.
Em seguida, mergulhe um nível mais fundo para ver quais são as principais categorias usadas em sua organização para cada um dos diferentes parâmetros de uso. Você pode ver quanto desse uso é por aplicativos sancionados.
Aprofunde-se ainda mais e veja todos os aplicativos em uma categoria específica na guia Aplicativos descobertos .
Você pode ver os principais usuários e endereços IP de origem para identificar quais usuários são os usuários mais dominantes de aplicativos em nuvem em sua organização.
Verifique como os aplicativos descobertos se espalham de acordo com a localização geográfica (de acordo com sua sede) no mapa da sede do aplicativo.
Por fim, não se esqueça de revisar a pontuação de risco do aplicativo descoberto na Visão geral de risco do aplicativo. Verifique o status dos alertas de descoberta para ver quantos alertas abertos você deve investigar.
Aprofunde-se em aplicativos descobertos
Se você quiser se aprofundar nos dados que o Cloud Discovery fornece, use os filtros para analisar quais aplicativos são arriscados e quais são comumente usados.
Por exemplo, se você quiser identificar aplicativos de colaboração e armazenamento em nuvem arriscados comumente usados, poderá usar a página Aplicativos descobertos para filtrar os aplicativos desejados. Em seguida, você pode dessancioná-los ou bloqueá-los da seguinte forma:
Na página Aplicações descobertas, em Procurar por categoria, selecione Armazenamento na nuvem e Colaboração.
Em seguida, use os filtros avançados e defina Fator de risco de conformidade como SOC 2 igual a Não.
Em Uso, defina Usuários como maior que 50 usuários e Transações como maior que 100.
Defina o fator de risco de segurança para Criptografia de dados em repouso igual a Não suportado. Em seguida, defina Pontuação de risco igual a 6 ou inferior.
Depois que os resultados forem filtrados, você poderá dessancioná-los e bloqueá-los usando a caixa de seleção de ação em massa para dessancioná-los todos em uma única ação. Depois que eles não forem sancionados, você poderá usar um script de bloqueio para impedir que eles sejam usados em seu ambiente.
O Cloud Discovery permite que você se aprofunde ainda mais no uso da nuvem da sua organização. Você pode identificar instâncias específicas que estão em uso investigando os subdomínios descobertos.
Por exemplo, você pode diferenciar entre diferentes sites do SharePoint:
Nota
Mergulhos profundos em aplicativos descobertos são suportados apenas em firewalls e proxies que contêm dados de URL de destino. Para obter mais informações, consulte Firewalls e proxies suportados.
Se o Defender for Cloud Apps não puder corresponder ao subdomínio detetado nos logs de tráfego com os dados armazenados no Catálogo de aplicativos, o subdomínio será marcado como Outro.
Descubra recursos e aplicações personalizadas
O Cloud Discovery também permite que você se aprofunde em seus recursos de IaaS e PaaS. Você pode descobrir atividades em suas plataformas de hospedagem de recursos, visualizando o acesso a dados em seus aplicativos e recursos auto-hospedados, incluindo contas de armazenamento, infraestrutura e aplicativos personalizados hospedados no Azure, no Google Cloud Platform e na AWS. Você não só pode ver o uso geral em suas soluções IaaS, mas também pode obter visibilidade dos recursos específicos hospedados em cada um deles e do uso geral dos recursos para ajudar a reduzir o risco por recurso.
Por exemplo, a partir do Defender for Cloud Apps, pode monitorizar a atividade, por exemplo, se muitos dados forem carregados, pode descobrir para que recurso é carregado e detalhar para ver quem realizou a atividade.
Nota
Isso é suportado apenas em firewalls e proxies que contêm dados de URL de destino. Para obter mais informações, consulte a lista de dispositivos suportados em Firewalls e proxies suportados.
Para visualizar os recursos descobertos:
No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Descoberta na nuvem. Em seguida, escolha a guia Recursos descobertos .
Na página Recurso descoberto, você pode detalhar cada recurso para ver quais tipos de transações ocorreram, quem o acessou e, em seguida, fazer uma busca detalhada para investigar ainda mais os usuários.
Para aplicativos personalizados, você pode selecionar os três botões no final da linha e escolher Adicionar novo aplicativo personalizado. Isso abrirá a janela Adicionar este aplicativo que permite nomear e identificar o aplicativo para que ele possa ser incluído no painel do Cloud Discovery.
Gerar relatório executivo do Cloud Discovery
A melhor maneira de obter uma visão geral do uso do Shadow IT em toda a sua organização é gerando um relatório executivo do Cloud Discovery. Este relatório identifica os principais riscos potenciais e ajuda-o a planear um fluxo de trabalho para mitigar e gerir os riscos até que sejam resolvidos.
Para gerar um relatório executivo do Cloud Discovery:
No painel do Cloud Discovery, selecione Ações no canto superior direito do painel e, em seguida, escolha Gerar relatório executivo do Cloud Discovery.
Opcionalmente, altere o nome do relatório.
Selecione Gerar.
Excluir entidades
Se você tiver usuários do sistema, endereços IP ou dispositivos barulhentos, mas desinteressantes, ou entidades que não devem ser apresentadas nos relatórios do Shadow IT, convém excluir seus dados dos dados do Cloud Discovery analisados. Por exemplo, talvez você queira excluir todas as informações originadas de um host local.
Para criar uma exclusão:
No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.
Em Cloud Discovery, selecione a guia Excluir entidades .
Escolha a guia Usuários excluídos, Grupos excluídos, Endereços IP excluídos ou Dispositivos excluídos e selecione o botão +Adicionar para adicionar sua exclusão.
Adicione um alias de usuário, endereço IP ou nome de dispositivo. Recomendamos adicionar informações sobre o motivo da exclusão.
Nota
Qualquer exclusão de entidade aplica-se a dados recém-recebidos. Os dados históricos das entidades excluídas permanecerão durante o período de retenção (90 dias).
Gerir relatórios contínuos
Os relatórios contínuos personalizados proporcionam granularidade ao monitorizar os dados de registo da Cloud Discovery da sua organização. Ao criar relatórios personalizados, é possível filtrar localizações geográficas, redes e sites específicos ou unidades organizacionais. Por predefinição, apenas os seguintes relatórios são apresentados no seu seletor de relatórios da Cloud Discovery:
O Relatório global consolida todas as informações no portal de todas as origens de dados que incluiu nos seus registos. O relatório global não inclui dados do Microsoft Defender for Endpoint.
O relatório específico de origem de dados apresenta apenas as informações de uma origem de dados específica.
Para criar um novo relatório contínuo:
No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.
Em Cloud Discovery, selecione Relatório contínuo.
Selecione o botão Criar relatório .
Introduza um nome de relatório.
Selecione as origens de dados que quer incluir (todas ou específicas).
Defina os filtros desejados nos dados. Esses filtros podem ser grupos de usuários, tags de endereço IP ou intervalos de endereços IP. Para mais informações sobre como trabalhar com etiquetas de endereço IP e intervalos de endereço IP, veja a secção Organize the data according to your needs (Organizar os dados de acordo com as suas necessidades).
Nota
Todos os relatórios personalizados são limitados a um máximo de 1 GB de dados não compactados. Se houver mais de 1 GB de dados, os primeiros 1 GB de dados serão exportados para o relatório.
Eliminar dados da Cloud Discovery
Existem várias razões para querer eliminar os dados da Cloud Discovery. Recomendamos eliminá-los nos seguintes casos:
Se tiver carregado os ficheiros de registo manualmente, tiver passado muito tempo desde a última vez que atualizou o sistema com ficheiros de registo novos e não quiser que os dados antigos afetem os resultados.
Quando você define uma nova exibição de dados personalizada, ela se aplica somente a novos dados a partir desse ponto. Portanto, você pode querer apagar dados antigos e, em seguida, carregar seus arquivos de log novamente para habilitar a exibição de dados personalizada para pegar eventos nos dados do arquivo de log.
Se muitos utilizadores ou endereços IP tiverem voltado a funcionar recentemente depois de terem estado offline durante algum tempo, a sua atividade será identificada como anómala e poderá dar-lhe violações de falsos positivos.
Para eliminar os dados da Cloud Discovery:
No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.
Em Cloud Discovery, selecione a guia Excluir dados .
É importante ter a certeza de que quer eliminar os dados antes de continuar, pois não pode ser anulada e elimina todos os dados da Cloud Discovery no sistema.
Selecione o botão Eliminar.
Nota
O processo de eliminação demora alguns minutos e não é imediato.