Working with discovered apps (Trabalhar com aplicações detetadas)

Nota

  • Rebaptizámo-Microsoft Cloud App Security. Agora chama-se Microsoft Defender for Cloud Apps. Nas próximas semanas, atualizaremos as imagens e instruções aqui e em páginas relacionadas. Para mais informações sobre a mudança, consulte este anúncio. Para saber mais sobre o recente renomeamento dos serviços de segurança da Microsoft, consulte o blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps agora faz parte da Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem as suas tarefas de segurança num local. Isto simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorizar e gerir a segurança através das suas identidades, dados, dispositivos, apps e infraestruturas da Microsoft. Para mais informações sobre estas alterações, consulte Microsoft Defender for Cloud Apps em Microsoft 365 Defender.

O dashboard da Cloud Discovery foi concebido para lhe dar mais informações sobre a forma como as aplicações na cloud estão a ser utilizadas na sua organização. Ele fornece uma visão geral de que tipos de aplicações estão sendo usadas, seus alertas abertos, e os níveis de risco de apps na sua organização. Também mostra quem são os principais utilizadores de aplicações e fornece um mapa com a localização da Sede da Aplicação. O Cloud Discovery Dashboard tem muitas opções para filtrar os dados. A filtragem permite-lhe gerar visualizações específicas dependendo do que mais lhe interessa em usar gráficos fáceis de entender para lhe dar uma imagem completa num ápice. Para mais informações, consulte os filtros de aplicações Descobertos.

painel de descoberta de nuvem.

Rever o Dashboard da Cloud Discovery

A primeira coisa que deve fazer para obter uma imagem geral das suas aplicações Cloud Discovery é rever as seguintes informações no Painel de Descobertas da Nuvem:

  1. Em primeiro lugar, veja o uso geral de aplicativos em nuvem na sua organização na visão geral de alto nível de utilização.

  2. Em seguida, mergulhe um nível mais profundo para ver quais são as categorias de topo usadas no seu org para cada um dos diferentes parâmetros de uso. Você pode ver quanto deste uso é por aplicações sancionadas.

  3. Vá ainda mais fundo e veja todas as aplicações numa categoria específica no separador apps Descoberto .

  4. Pode ver os principais utilizadores e endereços IP de origem para identificar quais os utilizadores mais dominantes de aplicações na nuvem na sua organização.

  5. Verifique como as aplicações descobertas se espalharam de acordo com a localização geográfica (de acordo com o seu QG) no mapa da Sede da App.

  6. Por fim, não se esqueça de rever a pontuação de risco da aplicação descoberta na visão geral do risco da App. Verifique o estado dos alertas de descoberta para ver quantos alertas abertos deve investigar.

Mergulho profundo em aplicativos descobertos

Se quiser mergulhar profundamente nos dados que o Cloud Discovery fornece, utilize os filtros para rever quais as aplicações que são arriscadas e que são normalmente utilizadas.

Por exemplo, se quiser identificar aplicações de armazenamento e colaboração de risco comum, pode utilizar a página de aplicações Descoberta para filtrar as aplicações que pretende. Em seguida , pode desanusá-los ou bloqueá-los da seguinte forma:

  1. Na página de aplicações Descoberta , em Browse por categoria selecione tanto o armazenamento em nuvem como a colaboração.

  2. Em seguida, use os filtros Avançados e decite o fator de risco de conformidade para SOC 2 é igual a Falso

  3. Para o Uso, coloque os Utilizadores a mais de 50 utilizadores e a utilização de Transações superior a 100.

  4. Definir o fator de risco de segurança para dados em repouso encriptação é igual a não suportado. Em seguida, definir a pontuação de risco é igual a 6 ou menos.

Descobertos filtros de aplicativos.

Depois de filtrar os resultados, pode desanuquiá-los e bloqueá-los utilizando a caixa de verificação de ação a granel para desanuquiar todos numa só ação. Depois de não serem divulgados, pode usar um script de bloqueio para impedir que sejam usados no seu ambiente.

O Cloud Discovery permite-lhe mergulhar ainda mais no uso da nuvem da sua organização. Pode identificar casos específicos que estão a ser utilizados investigando os subdomínios descobertos.

Por exemplo, pode diferenciar diferentes sites sharePoint.

Isto é suportado apenas em firewalls e proxies que contêm dados de URL alvo. Para obter mais informações, consulte a lista de aparelhos suportados em firewalls e proxies suportados.

Filtro de subdomínio.

Descubra recursos e aplicativos personalizados

A Cloud Discovery também permite mergulhar profundamente nos seus recursos IaaS e PaaS. Você pode descobrir atividade através das suas plataformas de hospedagem de recursos, visualizando o acesso aos dados através das suas aplicações e recursos auto-hospedados, incluindo contas de armazenamento, infraestruturas e aplicações personalizadas hospedadas no Azure, Google Cloud Platform e AWS. Não só pode ver o uso geral nas suas soluções IaaS, como pode obter visibilidade nos recursos específicos que são hospedados em cada um, e no uso geral dos recursos, para ajudar a mitigar o risco por recurso.

Por exemplo, a partir do Defender for Cloud Apps pode monitorizar a atividade, como se muitos dados forem carregados, pode descobrir para que recurso é carregado e perfurar para ver quem executou a atividade.

Nota

Isto é suportado apenas em firewalls e proxies que contêm dados de URL alvo. Para obter mais informações, consulte a lista de aparelhos suportados em firewalls e proxies suportados.

Para visualizar os recursos descobertos:

  1. No portal Defender for Cloud Apps, selecione Discover e, em seguida, descobriu recursos.

    Menu de recursos descobertos.

  2. Na página de recursos descoberto, é possível aprofundar cada recurso para ver que tipo de transações ocorreram, quem acedeu à sua informação e, em seguida, perfurar para investigar ainda mais os utilizadores.

    Recursos de descoberta.

  3. Para aplicações personalizadas, pode selecionar os três botões no final da linha e escolher Adicionar a aplicação personalizada. Isto abrirá a janela de aplicações personalizada Add que permite nomear e identificar a aplicação para que possa ser incluída no painel cloud Discovery.

Gerar relatório executivo da Cloud Discovery

A melhor maneira de obter uma visão geral do uso de SHADOW IT em toda a sua organização é gerando um relatório executivo da Cloud Discovery. Este relatório identifica os principais riscos potenciais e ajuda-o a planear um fluxo de trabalho para mitigar e gerir riscos até que sejam resolvidos.

Para gerar um relatório executivo da Cloud Discovery:

  1. A partir do painel Cloud Discovery, selecione os três pontos no canto superior direito do painel e, em seguida, escolha o relatório executivo de Generate Cloud Discovery.

  2. Opcionalmente, mude o nome do relatório.

  3. Selecione Gerar.

Excluir entidades

Se tiver utilizadores do sistema, endereços IP ou dispositivos barulhentos mas desinteressantes, ou entidades que não devam ser apresentadas nos relatórios de TI shadow, poderá querer excluir os seus dados dos dados da Cloud Discovery que são analisados. Por exemplo, pode querer excluir todas as informações originárias de um hospedeiro local.

Para criar uma exclusão:

  1. No portal, sob o ícone de definições, selecione Definições.

  2. Em Cloud Discovery, selecione o separador Desemfinição de entidades .

  3. Escolha os utilizadores excluídos, grupos de utilizadores, endereços IP ou separadores de dispositivos excluídos e selecione o + botão para adicionar a sua exclusão.

  4. Adicione um pseudónimo de utilizador, endereço IP ou nome do dispositivo. Recomendamos a adição de informações sobre o porquê da exclusão ter sido feita.

    excluir o utilizador.

Nota

Qualquer exclusão de entidade aplica-se a dados recentemente recebidos. Os dados históricos das entidades excluídas permanecerão durante o período de retenção (90 dias).

Gerir relatórios contínuos

Os relatórios contínuos personalizados proporcionam granularidade ao monitorizar os dados de registo da Cloud Discovery da sua organização. Ao criar relatórios personalizados, é possível filtrar em localizações geográficas específicas, redes e sites ou unidades organizacionais. Por predefinição, apenas os seguintes relatórios são apresentados no seu seletor de relatórios da Cloud Discovery:

  • O Relatório global consolida todas as informações no portal de todas as origens de dados que incluiu nos seus registos. O relatório global não inclui dados de Microsoft Defender para Endpoint.

  • O relatório específico de origem de dados apresenta apenas as informações de uma origem de dados específica.

Para criar um novo relatório contínuo:

  1. No portal, sob o ícone de definições, selecione Definições.

  2. No âmbito da Cloud Discovery, selecione Relatório Contínuo.

  3. Selecione o botão 'Criar relatório '.

  4. Introduza um nome de relatório.

  5. Selecione as origens de dados que quer incluir (todas ou específicas).

  6. Desa parte dos filtros que pretende nos dados. Estes filtros podem ser grupos de utilizadores, etiquetas de endereço IP ou intervalos de endereços IP. Para mais informações sobre como trabalhar com etiquetas de endereço IP e intervalos de endereço IP, veja a secção Organize the data according to your needs (Organizar os dados de acordo com as suas necessidades).

    criar relatório contínuo personalizado.

Nota

Todos os relatórios personalizados estão limitados a um máximo de 1 GB de dados não comprimidos. Se houver mais de 1 GB de dados, os primeiros 1 GB de dados serão exportados para o relatório.

Eliminar dados da Cloud Discovery

Existem várias razões para querer eliminar os dados da Cloud Discovery. Recomendamos eliminá-los nos seguintes casos:

  • Se tiver carregado os ficheiros de registo manualmente, tiver passado muito tempo desde a última vez que atualizou o sistema com ficheiros de registo novos e não quiser que os dados antigos afetem os resultados.

  • Quando definir uma nova visão de dados personalizada, ela aplicar-se-á apenas a novos dados a partir desse ponto. Assim, pode querer apagar dados antigos e, em seguida, carregar novamente os seus ficheiros de registo para permitir que a vista de dados personalizados recolha eventos nos dados do ficheiro de registo.

  • Se muitos utilizadores ou endereços IP recentemente começarem a trabalhar novamente depois de estarem offline por algum tempo, a sua atividade será identificada como anómala e poderá dar-lhe falsas violações positivas.

Para eliminar os dados da Cloud Discovery:

  1. No portal, sob o ícone de definições, selecione Definições.

  2. No Cloud Discovery, selecione o separador de dados Delete .

    É importante ter a certeza de que quer eliminar os dados antes de continuar, pois não pode ser anulada e elimina todos os dados da Cloud Discovery no sistema.

  3. Selecione o botão Eliminar.

    eliminar dados.

    Nota

    O processo de eliminação demora alguns minutos e não é imediato.

Passos seguintes