Arbeta med identifierade appar

  • Artikel

Instrumentpanelen för Cloud Discovery är utformad för att visa dig mer om hur molnappar används i din organisation. Den ger en översikt över vilka typer av appar som används, dina öppna aviseringar och risknivåerna för appar i din organisation. Den visar även vilka app-användare som är de mest frekventa användarna av appar och tillhandahåller en platskarta över Apphuvudkontoret. Cloud Discovery-instrumentpanelen har många alternativ för att filtrera data. Med filtrering kan du generera specifika vyer beroende på vad du är mest intresserad av att använda lättförståld grafik för att ge dig en överblick över hela bilden. Mer information finns i Identifierade appfilter.

cloud discovery dashboard.

Kontrollera Cloud Discovery-instrumentpanelen

Det första du bör göra för att få en allmän bild av dina Cloud Discovery-appar är att granska följande information på instrumentpanelen för Cloud Discovery:

  1. Börja med att titta på den övergripande molnappens användning i din organisation i översikten över högnivåanvändning.

  2. Gå sedan en nivå djupare för att se vilka som är de främsta kategorierna som används i din organisation för var och en av de olika användningsparametrarna. Du kan se hur mycket av den här användningen som används av sanktionerade appar.

  3. Gå ännu djupare och se alla appar i en specifik kategori på fliken Identifierade appar .

  4. Du kan se de främsta användarna och käll-IP-adresserna för att identifiera vilka användare som är de mest dominerande användarna av molnappar i din organisation.

  5. Kontrollera hur de identifierade apparna sprids efter geografisk plats (enligt deras hq) på apphögkvarterets karta.

  6. Glöm slutligen inte att granska riskpoängen för den identifierade appen i översikten över apprisk. Kontrollera identifieringsaviseringars status för att se hur många öppna aviseringar du bör undersöka.

Djupdykning i identifierade appar

Om du vill fördjupa dig i de data som Cloud Discovery tillhandahåller använder du filtren för att granska vilka appar som är riskfyllda och vilka som används ofta.

Om du till exempel vill identifiera vanliga riskfyllda molnlagrings- och samarbetsappar kan du använda sidan Identifierade appar för att filtrera efter de appar du vill använda. Sedan kan du ta bort eller blockera dem på följande sätt:

  1. På sidan Identifierade appar går du till Bläddra efter kategori och väljer både Molnlagring och Samarbete.

  2. Använd sedan avancerade filter och ange efterlevnadsriskfaktorntill SOC 2 lika med Nej.

  3. För Användning anger du Användare till större än 50 användare och Transaktioner till större än 100.

  4. Ange säkerhetsriskfaktorn för vilande datakryptering lika med Stöds inte. Ange sedan Riskpoäng lika med 6 eller lägre.

    Discovered app filters.

När resultatet har filtrerats kan du ta bort borttagningen och blockera dem genom att använda kryssrutan massåtgärd för att ta bort alla i en åtgärd. När de har osanktionerats kan du använda ett blockerande skript för att blockera dem från att användas i din miljö.

Med Cloud Discovery kan du fördjupa dig ännu mer i organisationens molnanvändning. Du kan identifiera specifika instanser som används genom att undersöka de identifierade underdomänerna.

Du kan till exempel skilja mellan olika SharePoint-webbplatser:

Subdomain filter.

Kommentar

Djupdykning i identifierade appar stöds endast i brandväggar och proxyservrar som innehåller mål-URL-data. Mer information finns i Brandväggar och proxyservrar som stöds.

Om Defender för molnet Apps inte kan matcha underdomänen som identifierats i trafikloggarna med data som lagras i appkatalogen, taggas underdomänen som Övrigt.

Identifiera resurser och anpassade appar

Med Cloud Discovery kan du också fördjupa dig i dina IaaS- och PaaS-resurser. Du kan identifiera aktivitet på dina resursvärdplattformar och visa åtkomst till data i dina lokala appar och resurser, inklusive lagringskonton, infrastruktur och anpassade appar som finns i Azure, Google Cloud Platform och AWS. Du kan inte bara se den övergripande användningen i dina IaaS-lösningar, utan du kan få insyn i de specifika resurser som finns på var och en och den övergripande användningen av resurserna för att minska risken per resurs.

Från Defender för molnet Appar kan du till exempel övervaka aktivitet, till exempel om mycket data laddas upp, så kan du identifiera vilken resurs den laddas upp till och öka detaljnivån för att se vem som utförde aktiviteten.

Kommentar

Detta stöds endast i brandväggar och proxyservrar som innehåller mål-URL-data. Mer information finns i listan över enheter som stöds i brandväggar och proxyservrar som stöds.

Så här visar du identifierade resurser:

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Molnidentifiering. Välj sedan fliken Identifierade resurser .

    Discovered resources menu.

  2. På sidan Identifierad resurs kan du öka detaljnivån för varje resurs för att se vilka typer av transaktioner som har inträffat, vem som har använt den och sedan öka detaljnivån för att undersöka användarna ytterligare.

    Discovery resources.

  3. För anpassade appar kan du välja de tre knapparna i slutet av raden och välja Lägg till ny anpassad app. Då öppnas fönstret Lägg till den här appen där du kan namnge och identifiera appen så att den kan inkluderas i Cloud Discovery-instrumentpanelen.

Generera en chefsrapport för Cloud Discovery

Det bästa sättet att få en översikt över skugg-IT-användning i organisationen är genom att generera en Cloud Discovery-chefsrapport. Den här rapporten identifierar de största potentiella riskerna och hjälper dig att planera ett arbetsflöde för att minimera och hantera risker tills de har lösts.

Så här genererar du en Chefsrapport för Cloud Discovery:

  1. På Instrumentpanelen för Cloud Discovery väljer du Åtgärder i det övre högra hörnet på instrumentpanelen och väljer sedan Generera Cloud Discovery-verkställande rapport.

  2. Du kan också ändra rapportnamnet.

  3. Välj Generera.

Exkludera entiteter

Om du har systemanvändare, IP-adresser eller enheter som är bullriga men ointressanta, eller entiteter som inte ska visas i Shadow IT-rapporterna, kanske du vill exkludera deras data från Cloud Discovery-data som analyseras. Du kanske till exempel vill undanta all information som kommer från en lokal värd.

Så här skapar du ett undantag:

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under Cloud Discovery väljer du fliken Exkludera entiteter .

  3. Välj antingen fliken Exkluderade användare, Exkluderade grupper, Exkluderade IP-adresser eller Exkluderade enheter och välj knappen +Lägg till för att lägga till ditt undantag.

  4. Lägg till ett användaralias, IP-adress eller enhetsnamn. Vi rekommenderar att du lägger till information om varför undantaget gjordes.

    exclude user.

Kommentar

Alla entitetsundantag gäller för nyligen mottagna data. Historiska data för de exkluderade entiteterna förblir kvar under kvarhållningsperioden (90 dagar).

Hantera kontinuerliga rapporter

Anpassade kontinuerliga rapporter ger bra precision när du övervakar organisationens Cloud Discovery-loggdata. Genom att skapa anpassade rapporter kan du filtrera på specifika geografiska platser, nätverk och platser eller organisationsenheter. Som standard visas bara följande rapporter i rapportväljaren för Cloud Discovery:

  • Den globala rapporten konsoliderar all information på portalen från alla datakällor som du har tagit med i loggarna. Den globala rapporten innehåller inte data från Microsoft Defender för Endpoint.

  • Rapporten för specifik datakälla visar bara information från en särskild datakälla.

Skapa en ny kontinuerlig rapport:

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under Cloud Discovery väljer du Kontinuerlig rapport.

  3. Välj knappen Skapa rapport.

  4. Ange ett rapportnamn.

  5. Välj de datakällor som du vill ta med (alla eller specifika).

  6. Ange de filter som du vill använda för data. Dessa filter kan vara användargrupper, IP-adresstaggar eller IP-adressintervall. Mer information om hur du arbetar med IP-adresstaggar och IP-adressintervall finns i Ordna data efter dina behov.

    create custom continuous report.

Kommentar

Alla anpassade rapporter är begränsade till högst 1 GB okomprimerade data. Om det finns mer än 1 GB data exporteras de första 1 GB data till rapporten.

Ta bort Cloud Discovery-data

Det finns flera skäl till varför du kan vilja ta bort dina Cloud Discovery-data. Vi rekommenderar att du tar bort dem i följande fall:

  • Om du laddade upp loggfilerna manuellt och det har gått lång tid sedan du uppdaterade systemet med nya loggfiler och du inte vill att gamla data ska påverka resultatet.

  • När du anger en ny anpassad datavy gäller den endast för nya data från och med då. Därför kanske du vill radera gamla data och sedan ladda upp loggfilerna igen så att den anpassade datavyn kan hämta händelser i loggfilsdata.

  • Om många användare eller IP-adresser nyligen började arbeta igen efter att ha varit offline under en tid identifieras deras aktivitet som avvikande och kan ge dig falska positiva överträdelser.

Så här tar du bort Cloud Discovery-data:

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under Cloud Discovery väljer du fliken Ta bort data .

    Det är viktigt att du är helt säker på att du vill ta bort data innan du fortsätter. Du kan inte ångra åtgärden, och alla Cloud Discovery-data i systemet tas bort.

  3. Välj knappen Ta bort.

    delete data.

    Kommentar

    Borttagningsprocessen tar några minuter och är inte omedelbar.

Nästa steg

Skapa Cloud Discovery-ögonblicksbildsrapporter

Konfigurera automatisk överföring av loggar för kontinuerlig rapportering

Arbeta med Cloud Discovery-data

Identifiera appar som använder Microsoft Defender för Endpoint-integrering