Работа с обнаруженными приложениями
Панель мониторинга Cloud Discovery призвана предоставить вам более полную информацию об использовании облачных приложений в организации. В нем представлен краткий обзор того, какие типы приложений используются, открытые оповещения и уровни риска приложений в вашей организации. На ней также показано, кто наиболее активно пользуется приложениями, и приводится карта размещения приложений. Панели мониторинга Cloud Discovery предоставляют множество возможностей для фильтрации данных. Фильтрация позволяет создавать конкретные представления интересующих вас данных и наглядные графические элементы для мгновенного получения полной картины. Дополнительные сведения см. в статьях "Обнаруженные фильтры приложений".
Просмотр панели мониторинга Cloud Discovery
Чтобы получить общее представление о приложениях Cloud Discovery, откройте панель мониторинга Cloud Discovery и просмотрите следующую информацию.
Во-первых, ознакомьтесь с общими сведениями об использовании облачных приложений в организации в обзоре высокого уровня использования.
Затем перейдите на уровень ниже и просмотрите основные категории приложений, используемых в организации для каждого из параметров использования. Вы можете узнать, сколько из этого используется санкционированными приложениями.
Перейдите еще на уровень ниже и просмотрите приложения, относящиеся к определенной категории, с помощью вкладки Обнаруженные приложения.
Вы можете просмотреть наиболее активных пользователей и исходные IP-адреса, чтобы узнать, кто из пользователей чаще всего пользуется облачными приложениями в организации.
Узнайте, как обнаруженные приложения распределены географически на карте головных офисов приложений.
Наконец, не забудьте проверить оценку риска обнаруженного приложения в обзоре риска приложения. Проверьте состояние оповещений об обнаружении, чтобы увидеть количество открытых и подлежащих проверке оповещений.
Подробный анализ обнаруженных приложений
Чтобы подробно проанализировать данные, которые предоставляет Cloud Discovery, используйте фильтры. С их помощью можно узнать, какие приложения являются ненадежными и какие из них используются чаще всего.
Например, чтобы определить часто используемые рискованные облачные приложения для хранения данных и совместной работы, можно отфильтровать их на странице "Обнаруженные приложения". Затем можно отменить их санкционирование или заблокировать их, выполнив указанные ниже действия.
На странице Обнаруженные приложения в области Просмотр по категориям выберите категории Облачное хранилище и Совместная работа.
Затем используйте расширенные фильтры и задайте коэффициентриска соответствия soC 2 равно No.
Для использования задайте пользователям больше 50 пользователей и транзакций значение более 100.
Для параметра Фактор риска безопасности в категории Шифрование неактивных данных укажите значение Не поддерживается. Затем установите значение 6 или ниже для параметра Оценка риска.
После получения результатов фильтрации можно отменить санкционирование приложений и заблокировать их все сразу с помощью флажка группового действия. После отмены санкционирования приложений можно запретить их использование в среде с помощью скрипта блокировки.
Cloud Discovery позволяет более глубоко изучить использование облака вашей организации. Вы сможете найти конкретные используемые экземпляры, исследуя обнаруженные поддомены.
Например, можно различать различные сайты SharePoint:
Примечание.
Подробные сведения об обнаруженных приложениях поддерживаются только в брандмауэрах и прокси-серверах, содержащих целевые ДАННЫЕ URL-адреса. Дополнительные сведения см. в разделе "Поддерживаемые брандмауэры и прокси-серверы".
Если Defender для облака Приложения не могут соответствовать поддомену, обнаруженном в журналах трафика с данными, хранящимися в каталоге приложений, поддомен помечен как "Другое".
Обнаружение ресурсов и пользовательских приложений
Cloud Discovery также позволяет глубоко изучить ресурсы IaaS и PaaS. Вы можете обнаруживать действия на разных платформах размещения ресурсов, просматривая доступ к данным в приложениях и ресурсах, в том числе учетных записей хранения, инфраструктуры и пользовательских приложений, размещенных в Azure, Google Cloud Platform и AWS. Вы не только можете увидеть общее использование в решениях IaaS, но вы можете получить представление о конкретных ресурсах, размещенных на каждом из них, и общем использовании ресурсов, чтобы снизить риск на каждый ресурс.
Например, из приложений Defender для облака вы можете отслеживать действия, такие как при отправке большого количества данных, вы можете узнать, какой ресурс он отправляется и детализировать, чтобы узнать, кто выполнил действие.
Примечание.
Это поддерживается только в брандмауэрах и прокси-серверах, которые содержат данные целевых URL-адресов. Для получения дополнительных сведений см. список поддерживаемых устройств в разделе Поддерживаемые брандмауэры и прокси-серверы.
Чтобы просмотреть обнаруженные ресурсы, выполните приведенные ниже действия.
На портале Microsoft Defender в разделе "Облачные приложения" выберите Cloud Discovery. Затем выберите вкладку "Обнаруженные ресурсы ".
На странице "Обнаруженные ресурсы" вы можете детализировать каждый ресурс, чтобы узнать, какие виды транзакций произошли, которые к нему обращаются, а затем детализировать, чтобы изучить пользователей еще дальше.
Для пользовательских приложений можно выбрать три кнопки в конце строки и нажать кнопку "Добавить новое пользовательское приложение". Откроется окно "Добавить это приложение", которое позволяет вам присвоить имя и определить приложение, чтобы оно было включено на панель мониторинга Cloud Discovery.
Создание исполнительного отчета Cloud Discovery
Лучший способ получить обзор использования теневых ИТ в вашей организации — создать исполнительный отчет Cloud Discovery. С его помощью вы можете определить главные потенциальные риски и спланировать рабочий процесс по их минимизации и контролю, пока они не будут устранены.
Чтобы создать исполнительный отчет Cloud Discovery, сделайте следующее:
На панели мониторинга Cloud Discovery выберите "Действия" в правом верхнем углу панели мониторинга и выберите "Создать исполнительный отчет Cloud Discovery".
При необходимости измените имя отчета.
Выберите Создать.
Исключение сущностей
Если у вас есть системные пользователи, IP-адреса или устройства, которые являются шумными, но неинтересными или сущностями, которые не должны отображаться в теневых ИТ-отчетах, вы можете исключить их данные из проанализированных данных Cloud Discovery. Например, может потребоваться исключить все сведения, исходящие из локального узла.
Создание исключения:
На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".
В разделе Cloud Discovery выберите вкладку "Исключить сущности ".
Выберите вкладку "Исключенные пользователи", "Исключенные группы", "Исключенные IP-адреса" или "Исключенные устройства" и нажмите кнопку "+Добавить", чтобы добавить исключение.
Добавьте псевдоним пользователя, IP-адрес или имя устройства. Мы рекомендуем указать еще и причину создания этого исключения.
Примечание.
Любое исключение сущности применяется к недавно полученным данным. Исторические данные исключенных сущностей останутся в течение срока хранения (90 дней).
Управление непрерывными отчетами
Настраиваемые непрерывные отчеты обеспечивают детальный просмотр сведений при мониторинге данных журнала Cloud Discovery в вашей организации. Создавая настраиваемые отчеты, можно фильтровать по определенным географическим расположениям, сетям и сайтам или подразделениям. По умолчанию в средстве выбора отчетов Cloud Discovery отображаются только следующие отчеты:
Глобальный отчет объединяет на портале все сведения из всех источников данных, включенных в журналы. Глобальный отчет не содержит данные из Microsoft Defender для конечной точки.
Отчет об отдельном источнике данных содержит только сведения для конкретного источника данных.
Чтобы создать непрерывный отчет, выполните указанные ниже действия.
На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".
В разделе Cloud Discovery выберите непрерывный отчет.
Нажмите кнопку "Создать отчет ".
Введите имя отчета.
Выберите источники данных, которые требуется включить (все или отдельные).
Задайте фильтрацию по нужным данным. Фильтры можно применить к группам пользователей, тегам IP-адресов или диапазонам IP-адресов. Дополнительные сведения о работе с диапазонами и тегами IP-адресов см. в статье Организация данных в соответствии с потребностями.
Примечание.
Все пользовательские отчеты могут содержать не больше 1 ГБ несжатых данных. Если объем данных превышает 1 ГБ, в отчет экспортируется первый 1 ГБ данных.
Удаление данных Deleting Cloud
Существует ряд причин, по которым может потребоваться удалить данные Cloud Discovery. Удалять их рекомендуется в следующих случаях:
Если вы вручную отправили файлы журнала, а с момента добавления в систему новых файлов прошло слишком много времени, и вы не хотите сохранять старые данные, которые могут повлиять на результаты.
Когда вы настраиваете новое пользовательское представление данных, оно применяется только к данным, созданным после этого момента. Возможно, вы захотите удалить старые данные и отправить файлы журнала повторно, чтобы позволить настраиваемому представлению использовать события из этих данных.
Если недавно многие пользователи или IP-адреса снова начали работать после некоторого периода бездействия, их активность будет расценена как аномальная, что даст вам большое число ложных сообщений о нарушениях.
Удаление данных Cloud Discovery:
На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".
В разделе Cloud Discovery выберите вкладку "Удалить данные ".
Прежде чем продолжить, важно хорошо осознавать готовность удалить данные. Эта операция не может быть отменена и она удаляет все данные Cloud Discovery в системе.
Нажмите кнопку Удалить.
Примечание.
Процесс удаления выполняется не мгновенно, а занимает несколько минут.