Работа с обнаруженными приложениями

Статья
06/14/2024

Страница Cloud Discovery предоставляет панель мониторинга, предназначенную для получения дополнительных сведений о том, как облачные приложения используются в вашей организации. На панели мониторинга представлен краткий обзор типов используемых приложений, открытых оповещений и уровней риска приложений в вашей организации. Кроме того, он показывает, кто является вашим лучшим пользователем приложения, и предоставляет карту расположения штаб-квартиры приложений.

Отфильтруйте данные Cloud Discovery для создания определенных представлений в зависимости от того, какие интересы вам больше всего нужны. Дополнительные сведения см. в статьях "Обнаруженные фильтры приложений".

Необходимые компоненты

Сведения о необходимых ролях см. в разделе "Управление доступом администратора".

Просмотр панели мониторинга облачного обнаружения

В этой процедуре описывается, как получить начальную общую картину приложений облачного обнаружения на панели мониторинга Cloud Discovery .

На портале Microsoft Defender выберите Cloud apps > Cloud Discovery.

Например:

Поддерживаемые приложения включают приложения Windows и macOS, которые перечислены в потоке управляемых конечных точек Defender.
Просмотрите следующие сведения.
1. Используйте общие сведения об использовании облачных приложений в организации.
2. Ознакомьтесь с одним уровнем более глубоко, чтобы понять основные категории , используемые в организации для каждого из различных параметров использования. Обратите внимание, сколько из этого используется санкционированными приложениями.
3. Перейдите на вкладку "Обнаруженные приложения" и просмотрите все приложения в определенной категории.
4. Проверьте лучших пользователей и исходные IP-адреса, чтобы определить, какие пользователи являются наиболее доминирующими пользователями облачных приложений в вашей организации.
5. Используйте карту штаб-квартиры приложений, чтобы проверить, как обнаруженные приложения распределяются в соответствии с географическим расположением, в соответствии с их штаб-квартирой.
6. Используйте обзор риска приложений, чтобы понять оценку риска обнаруженных приложений и проверить состояние оповещений обнаружения, чтобы узнать, сколько открытых оповещений следует исследовать.

Подробное знакомство с обнаруженными приложениями

Чтобы глубже ознакомиться с данными об обнаружении облака, используйте фильтры для проверки рискованных или часто используемых приложений.

Например, если вы хотите определить часто используемые, рискованные облачные хранилища и приложения совместной работы, используйте страницу "Обнаруженные приложения" для фильтрации нужных приложений . Затем отмените или заблокируйте их следующим образом:

На портале Microsoft Defender в разделе "Облачные приложения" выберите Cloud Discovery. Затем выберите вкладку "Обнаруженные приложения ".
На вкладке "Обнаруженные приложения" в разделе "Обзор по категориям" выберите облачное хранилище и совместную работу.
Используйте расширенные фильтры, чтобы задать коэффициентриска соответствия требованиям SOC 2 = No.
Для использования задайте пользователям больше 50 пользователей и транзакций значение более 100.
Для параметра Фактор риска безопасности в категории Шифрование неактивных данных укажите значение Не поддерживается. Затем установите значение 6 или ниже для параметра Оценка риска.

После фильтрации результатов отмена и блокировка их с помощью флажка массового действия для отмены их всех в одном действии. После того как они не будут несанкционированными, используйте скрипт блокировки, чтобы заблокировать их использование в вашей среде.

Кроме того, может потребоваться определить определенные экземпляры приложений, которые используются, исследуя обнаруженные поддомены. Например, различайте разные сайты SharePoint:

Фильтр поддомена.

Примечание.

Подробные сведения об обнаруженных приложениях поддерживаются только в брандмауэрах и прокси-серверах, содержащих целевые ДАННЫЕ URL-адреса. Дополнительные сведения см. в разделе "Поддерживаемые брандмауэры и прокси-серверы".

Если Defender для облака Приложения не могут соответствовать поддомену, обнаруженном в журналах трафика с данными, хранящимися в каталоге приложений, поддомен помечен как "Другое".

Обнаружение ресурсов и пользовательских приложений

Облачное обнаружение также позволяет вам перейти к ресурсам IaaS и PaaS. Обнаружение действий на платформах размещения ресурсов, просмотр доступа к данным в приложениях и ресурсах, в том числе учетных записей хранения, инфраструктуры и пользовательских приложений, размещенных в Azure, Google Cloud Platform и AWS. Вы не только можете увидеть общее использование в решениях IaaS, но вы можете получить представление о конкретных ресурсах, размещенных на каждом из них, и общем использовании ресурсов, чтобы снизить риск на каждый ресурс.

Например, если отправляется большой объем данных, узнайте, в каком ресурсе он отправлен, и проверите, кто выполнил действие.

Примечание.

Это поддерживается только в брандмауэрах и прокси-серверах, которые содержат данные целевых URL-адресов. Для получения дополнительных сведений см. список поддерживаемых устройств в разделе Поддерживаемые брандмауэры и прокси-серверы.

Чтобы просмотреть обнаруженные ресурсы, выполните приведенные ниже действия.

На портале Microsoft Defender в разделе "Облачные приложения" выберите Cloud Discovery. Затем выберите вкладку "Обнаруженные ресурсы ".
На странице "Обнаруженные ресурсы" подробно изучите каждый ресурс, чтобы узнать, какие виды транзакций произошли, кто к нему обращается, а затем детализируйте, чтобы изучить пользователей еще дальше.
Для пользовательских приложений выберите меню параметров в конце строки и нажмите кнопку "Добавить новое пользовательское приложение". Откроется диалоговое окно "Добавить это приложение ", где можно назвать и определить приложение, чтобы его можно было включить в панель мониторинга облачного обнаружения.

Создание исполнительного отчета об обнаружении облака

Лучший способ получить обзор использования теневого ИТ-отдела в вашей организации заключается в создании исполнительного отчета об облачном обнаружении. С его помощью вы можете определить главные потенциальные риски и спланировать рабочий процесс по их минимизации и контролю, пока они не будут устранены.

Чтобы создать исполнительный отчет об облачном обнаружении, выполните приведенные действия.

На портале Microsoft Defender в разделе "Облачные приложения" выберите Cloud Discovery.
На странице Cloud Discovery выберите "Действия>" Создать исполнительный отчет Cloud Discovery.
При необходимости измените имя отчета и нажмите кнопку "Создать".

Исключение сущностей

Если у вас есть системные пользователи, IP-адреса или устройства, которые являются шумными, но неинтересными, или сущностями, которые не должны отображаться в теневых ИТ-отчетах, вы можете исключить их данные из проанализированных данных облачного обнаружения. Например, может потребоваться исключить все сведения, исходящие из локального узла.

Чтобы создать исключение, выполните приведенные действия.

На портале Microsoft Defender выберите параметры облачных>приложений>Cloud Discovery>Исключить сущности.
Выберите вкладку "Исключенные пользователи", "Исключенные группы", "Исключенные IP-адреса" или "Исключенные устройства" и нажмите кнопку +Добавить, чтобы добавить исключение.
Добавьте псевдоним пользователя, IP-адрес или имя устройства. Мы рекомендуем указать еще и причину создания этого исключения.

Примечание.

Все исключения сущностей применяются только к недавно полученным данным. Исторические данные исключенных сущностей остаются в течение периода хранения (90 дней).

Управление непрерывными отчетами

Пользовательские непрерывные отчеты обеспечивают более подробную степень детализации при мониторинге данных журнала облачного обнаружения организации. Создайте настраиваемые отчеты для фильтрации по определенным географическим расположениям, сетям и сайтам или подразделениям. По умолчанию в селекторе отчетов облачного обнаружения отображаются только следующие отчеты:

Глобальный отчет объединяет на портале все сведения из всех источников данных, включенных в журналы. Глобальный отчет не содержит данные из Microsoft Defender для конечной точки.
Отчет об отдельном источнике данных содержит только сведения для конкретного источника данных.

Создание нового непрерывного отчета:

На портале Microsoft Defender выберите "Параметры>cloud Apps>Cloud Discovery>Непрерывное создание отчета".>
Введите имя отчета.
Выберите источники данных, которые требуется включить (все или отдельные).
Задайте фильтрацию по нужным данным. Фильтры можно применить к группам пользователей, тегам IP-адресов или диапазонам IP-адресов. Дополнительные сведения о работе с диапазонами и тегами IP-адресов см. в статье Организация данных в соответствии с потребностями.

Примечание.

Все пользовательские отчеты могут содержать не больше 1 ГБ несжатых данных. Если объем данных превышает 1 ГБ, в отчет экспортируется первый 1 ГБ данных.

Удаление данных об обнаружении облака

Рекомендуется удалить данные об обнаружении облака в следующих случаях:

Если вы вручную отправили файлы журнала, прошло долгое время, так как вы обновили систему с новыми файлами журналов, и вам не нужны старые данные, влияющие на результаты.
При настройке нового пользовательского представления данных он применяется только к новым данным с этого момента. В таких случаях может потребоваться удалить старые данные, а затем снова отправить файлы журнала, чтобы включить пользовательское представление данных для сбора событий в данных файла журнала.
Если многие пользователи или IP-адреса недавно начали работать снова после того, как в автономном режиме в течение некоторого времени, их активность определяется как аномальная и может дать вам ложные положительные нарушения.

Внимание

Прежде чем это сделать, убедитесь, что вы хотите удалить данные. Это действие является irreversbile и удаляет все данные Cloud Discovery в системе.

Чтобы удалить данные об обнаружении облака, выполните приведенные действия.