Dela via

Arbeta med identifierade appar

  • Artikel

sidan Molnidentifiering finns en instrumentpanel som är utformad för att ge dig mer insikt i hur molnappar används i din organisation. Instrumentpanelen ger en snabb överblick över vilka typer av appar som används, dina öppna aviseringar och risknivåerna för appar i din organisation. Den visar också vilka dina främsta appanvändare är och tillhandahåller en platskarta för appens huvudkontor.

Filtrera dina molnidentifieringsdata för att generera specifika vyer, beroende på vad som intresserar dig mest. Mer information finns i Identifierade appfilter.

Förutsättningar

Information om de roller som krävs finns i Hantera administratörsåtkomst.

Granska instrumentpanelen för molnidentifiering

Den här proceduren beskriver hur du får en första allmän bild av dina molnidentifieringsappar på instrumentpanelen för molnidentifiering .

  1. I Microsoft Defender-portalen väljer du Molnappar > Molnidentifiering.

    Till exempel:

    Skärmbild av instrumentpanelen för molnidentifiering

    Appar som stöds inkluderar Windows- och macOS-appar, som båda visas under strömmen Defender – hanterade slutpunkter .

  2. Granska följande information:

    1. Använd översikten över högnivåanvändning för att förstå den övergripande molnappens användning i din organisation.

    2. Gå en nivå djupare för att förstå de främsta kategorierna som används i din organisation för var och en av de olika användningsparametrarna. Observera hur mycket av den här användningen som används av sanktionerade appar.

    3. Använd fliken Identifierade appar för att gå ännu djupare och se alla appar i en specifik kategori.

    4. Kontrollera de främsta användarna och källans IP-adresser för att identifiera vilka användare som är de mest dominerande användarna av molnappar i din organisation.

    5. Använd kartan apphögkvarter för att kontrollera hur de identifierade apparna sprids enligt geografisk plats, enligt deras huvudkontor.

    6. Använd översikten över apprisk för att förstå riskpoängen för identifierade appar och kontrollera statusen för identifieringsaviseringar för att se hur många öppna aviseringar du bör undersöka.

Djupdykning i identifierade appar

Om du vill fördjupa dig i molnidentifieringsdata använder du filtren för att söka efter riskfyllda eller vanliga appar.

Om du till exempel vill identifiera vanliga, riskfyllda molnlagrings- och samarbetsappar använder du sidan Identifierade appar för att filtrera efter de appar du vill använda. Ta sedan bort eller blockera dem på följande sätt:

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Molnidentifiering. Välj sedan fliken Identifierade appar .

  2. På fliken Identifierade appar går du till Bläddra efter kategori och väljer både Molnlagring och Samarbete.

  3. Använd de avancerade filtren för att ange efterlevnadsriskfaktorn till SOC 2 = Nej.

  4. För Användning anger du Användare till större än 50 användare och Transaktioner till större än 100.

  5. Ange säkerhetsriskfaktorn för vilande datakryptering lika med Stöds inte. Ange sedan Riskpoäng lika med 6 eller lägre.

    Skärmbild av exempel på identifierade appfilter.

När resultatet har filtrerats tar du bort borttagningen och blockerar dem med hjälp av kryssrutan massåtgärd för att ta bort alla i en åtgärd. När de är osanktionerade använder du ett blockerande skript för att blockera dem från att användas i din miljö.

Du kanske också vill identifiera specifika appinstanser som används genom att undersöka de identifierade underdomänerna. Du kan till exempel skilja mellan olika SharePoint-webbplatser:

Underdomänfilter.

Kommentar

Djupdykning i identifierade appar stöds endast i brandväggar och proxyservrar som innehåller mål-URL-data. Mer information finns i Brandväggar och proxyservrar som stöds.

Om Defender för Cloud Apps inte kan matcha underdomänen som identifierats i trafikloggarna med data som lagras i appkatalogen, taggas underdomänen som Övrigt.

Identifiera resurser och anpassade appar

Med molnidentifiering kan du också undersöka dina IaaS- och PaaS-resurser. Upptäck aktivitet på dina resursvärdplattformar och visa åtkomst till data i dina lokala appar och resurser, inklusive lagringskonton, infrastruktur och anpassade appar som finns i Azure, Google Cloud Platform och AWS. Du kan inte bara se den övergripande användningen i dina IaaS-lösningar, utan du kan få insyn i de specifika resurser som finns på var och en och den övergripande användningen av resurserna för att minska risken per resurs.

Om en stor mängd data till exempel laddas upp identifierar du vilken resurs den laddas upp till och ökar detaljnivån för att se vem som utförde aktiviteten.

Kommentar

Detta stöds endast i brandväggar och proxyservrar som innehåller mål-URL-data. Mer information finns i listan över enheter som stöds i brandväggar och proxyservrar som stöds.

Så här visar du identifierade resurser:

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Molnidentifiering. Välj sedan fliken Identifierade resurser .

    Skärmbild av menyn identifierade resurser.

  2. På sidan Identifierade resurser ökar du detaljnivån för varje resurs för att se vilka typer av transaktioner som har inträffat, vem som har åtkomst till den och sedan öka detaljnivån för att undersöka användarna ytterligare.

    Skärmbild av fliken Identifierade resurser.

  3. För anpassade appar väljer du alternativmenyn i slutet av raden och väljer sedan Lägg till ny anpassad app. Då öppnas dialogrutan Lägg till den här appen , där du kan namnge och identifiera appen så att den kan ingå i instrumentpanelen för molnidentifiering.

Generera en chefsrapport för molnidentifiering

Det bästa sättet att få en översikt över skugg-IT-användning i organisationen är genom att generera en chefsrapport för molnidentifiering. Den här rapporten identifierar de största potentiella riskerna och hjälper dig att planera ett arbetsflöde för att minimera och hantera risker tills de har lösts.

Så här genererar du en chefsrapport för molnidentifiering:

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Molnidentifiering.

  2. På sidan Molnidentifiering väljer du Åtgärder>Generera cloud discovery-chefsrapport.

  3. Du kan också ändra rapportnamnet och sedan välja Generera.

Exkludera entiteter

Om du har systemanvändare, IP-adresser eller enheter som är bullriga men ointressanta, eller entiteter som inte ska visas i Shadow IT-rapporterna, kanske du vill exkludera deras data från molnidentifieringsdata som analyseras. Du kanske till exempel vill undanta all information som kommer från en lokal värd.

Så här skapar du ett undantag:

  1. I Microsoft Defender-portalen väljer du Inställningar>Cloud Apps>Cloud Discovery>Exclude-entiteter.

  2. Välj antingen fliken Exkluderade användare, Exkluderade grupper, Exkluderade IP-adresser eller Exkluderade enheter och välj knappen +Lägg till för att lägga till ditt undantag.

  3. Lägg till ett användaralias, IP-adress eller enhetsnamn. Vi rekommenderar att du lägger till information om varför undantaget gjordes.

    Skärmbild av att exkludering av en användare.

Kommentar

Alla entitetsundantag gäller endast för nyligen mottagna data. Historiska data för de exkluderade entiteterna förblir kvar under kvarhållningsperioden (90 dagar).

Hantera kontinuerliga rapporter

Anpassade kontinuerliga rapporter ger dig mer detaljerad information när du övervakar organisationens loggdata för molnidentifiering. Skapa anpassade rapporter för att filtrera på specifika geografiska platser, nätverk och platser eller organisationsenheter. Som standard visas endast följande rapporter i din molnidentifieringsrapportväljare:

  • Den globala rapporten konsoliderar all information på portalen från alla datakällor som du har tagit med i loggarna. Den globala rapporten innehåller inte data från Microsoft Defender za krajnju tačku.

  • Rapporten för specifik datakälla visar bara information från en särskild datakälla.

Så här skapar du en ny kontinuerlig rapport:

  1. I Microsoft Defender-portalen väljer du Inställningar>Cloud Apps>Cloud Discovery>Kontinuerlig rapport>Skapa rapport.

  2. Ange ett rapportnamn.

  3. Välj de datakällor som du vill ta med (alla eller specifika).

  4. Ange de filter som du vill använda för data. Dessa filter kan vara användargrupper, IP-adresstaggar eller IP-adressintervall. Mer information om hur du arbetar med IP-adresstaggar och IP-adressintervall finns i Ordna data efter dina behov.

    Skärmbild av hur du skapar en anpassad kontinuerlig rapport.

Kommentar

Alla anpassade rapporter är begränsade till högst 1 GB okomprimerade data. Om det finns mer än 1 GB data exporteras de första 1 GB data till rapporten.

Ta bort molnidentifieringsdata

Vi rekommenderar att du tar bort molnidentifieringsdata i följande fall:

  • Om du överförde loggfiler manuellt har det gått lång tid sedan du uppdaterade systemet med nya loggfiler och du vill inte att gamla data ska påverka dina resultat.

  • När du anger en ny anpassad datavy gäller den endast för nya data från och med då. I sådana fall kanske du vill radera gamla data och sedan ladda upp loggfilerna igen så att den anpassade datavyn kan hämta händelser i loggfilsdata.

  • Om många användare eller IP-adresser nyligen började arbeta igen efter att ha varit offline under en tid identifieras deras aktivitet som avvikande och kan ge dig falska positiva överträdelser.

Viktigt!

Se till att du vill ta bort data innan du gör det. Den här åtgärden är oåterkallelig och tar bort alla Cloud Discovery-data i systemet.

Så här tar du bort molnidentifieringsdata:

  1. I Microsoft Defender-portalen väljer du Inställningar>Cloud Apps>Cloud Discovery>Ta bort data.

  2. Välj knappen Ta bort.

    Skärmbild av borttagning av molnidentifieringsdata.

Kommentar

Borttagningsprocessen tar några minuter och är inte omedelbar.

Nästa steg

Skapa Cloud Discovery-ögonblicksbildsrapporter

Konfigurera automatisk överföring av loggar för kontinuerlig rapportering

Arbeta med Cloud Discovery-data

Identifiera appar med hjälp av Microsoft Defender za krajnju tačku integrering