使用 Cloud Discovery 仪表板查看已发现的应用
Cloud discovery 页面提供的仪表板旨在提供更多关于如何在组织中使用云应用的深入见解。 该仪表板可提供一目了然的视图,显示正在使用的应用类型、打开的警报以及组织内应用程序的风险级别。 此外,它还会显示应用的主要用户是谁并提供 App headquarter 位置图。
根据最感兴趣的内容筛选 Cloud Discovery 数据,以便生成特定视图。 有关详细信息,请参阅已发现的应用筛选器。
先决条件
有关所需角色的信息,请参阅管理管理员访问权限。
查看 Cloud Discovery 仪表板
本过程介绍如何在 Cloud discovery 仪表板中初步了解 Cloud Discovery 应用的总体情况。
在 Microsoft Defender 门户中,选择云应用> Cloud Discovery。
例如:
支持的应用包括 Windows 和 macOS 应用,它们都列在 Defender - 托管终结点流下。
查看以下信息:
使用高级使用概述了解贵组织的总体云应用使用情况。
再深入了解贵组织中用于每个不同使用参数的热门类别。 记录下其中有多少使用量是批准的应用使用的。
使用“发现的应用”选项卡更深入地查看特定类别中的所有应用。
查看“热门用户和源 IP 地址”,以确定哪些用户是企业中使用云应用程序最多的用户。
使用“App Headquarters 地图”,以查看发现的应用是如何根据其总部按地理位置分布的。
使用“应用风险概述”了解发现的应用的风险分数,并查看“发现警报状态”以了解应调查多少个未解决的警报。
深入了解发现的应用
要深入了解 Cloud Discovery 数据,可使用筛选器来检查有风险或常用的应用。
例如,如果想要识别有风险的常用云存储和协作应用,请使用“发现的应用”页来筛选你想要的应用。 然后,可以取消批准或阻止它们,如下所示:
在 Microsoft Defender 门户的“Cloud Apps”下,选择“Cloud Discovery”。 然后选择“发现的应用”选项卡。
在“发现的应用”选项卡的“按类别浏览”下,同时选择“云存储”和“协作”。
使用高级筛选器将“合规风险系数”设置为 SOC 2 = No。
对于“使用情况”,将“用户”设置为超过 50 个用户,将“事务”设置为大于 100。
将“静态数据加密”的“安全风险因素”设置为等于“不支持”。 然后将“风险分数”设置为等于 6 或更低。
对结果进行筛选后,请通过使用批量操作复选框执行取消批准和阻止,在一个操作中对所有结果执行取消批准。 一旦取消批准,可以使用阻止脚本来阻止它们在环境中使用。
可能还要通过调查发现的子域来识别正在使用的特定应用实例。 例如,区分不同的 SharePoint 网站:
注意
只有包含目标 URL 数据的防火墙和代理才支持对已发现的应用进行深度挖掘。 有关详细信息,请参阅受支持的防火墙和代理服务器。
如果 Defender for Cloud Apps 无法将流量日志中检测到的子域与存储在应用目录中的数据匹配,则子域将标记为“其他”。
发现资源和自定义应用
通过 Cloud Discovery,还可以深入了解 IaaS 和 PaaS 资源。 在资源托管平台上发现活动,以查看对自托管应用和资源(包括 Azure、Google Cloud Platform 和 AWS 上托管的存储帐户、基础设施和自定义应用)中的数据的访问权限。 你不仅可以看到 IaaS 解决方案中的总体使用情况,还可以了解每个托管的具体资源以及资源的总体使用情况,从而帮助降低每个资源的风险。
例如,如果上传了大量数据,就可以发现数据上传到了什么资源,并深入查看是谁执行了该活动。
注意
仅包含目标 URL 数据的防火墙和代理服务器支持此功能。 有关详细信息,请参阅受支持的防火墙和代理服务器中受支持的设备列表。
要查看已发现的资源:
在 Microsoft Defender 门户的“Cloud Apps”下,选择“Cloud Discovery”。 然后选择“发现的资源”选项卡。
在“发现的资源”页面中,可以深入到每个资源,以便查看发生的事务类型和访问者,然后向下钻取,以便进一步调查用户。
对于自定义应用,请选择行尾的选项菜单,然后选择“添加新的自定义应用”。 这样将打开“添加此应用”对话框,然后可以在此命名和标识应用程序,以便将其包含在 Cloud Discovery 仪表板中。
生成 Cloud Discovery 主管人员报表
获取整个组织中影子 IT 使用情况概述的最佳方式,是生成 Cloud Discovery 主管人员报表。 此报表会标识出最严重的潜在风险,帮助你规划工作流来降低并管理风险,直到解决问题。
要生成 Cloud Discovery 主管人员报表:
在 Microsoft Defender 门户的“Cloud Apps”下,选择“Cloud Discovery”。
在“Cloud discovery”页面中,选择操作>生成 Cloud Discovery 执行报表。
(可选)更改报表名称,然后选择“生成”。
排除实体
如果有一些系统用户、IP 地址或设备产生了大量无价值的数据,或有实体不应出现在影子 IT 报表中,你可能希望从分析的 Cloud Discovery 数据中排除其数据。 例如,你可能希望排除来自本地主机的所有信息。
若要创建排除,请执行以下操作:
在 Microsoft Defender 门户中,选择设置>云应用>Cloud Discovery>排除实体。
选择“排除的用户”、“排除的组”、“排除的 IP 地址”或“排除的设备”选项卡,然后选择“+添加”按钮添加排除项。
添加用户别名、IP 地址或设备名称。 建议添加有关排除原因的信息。
注意
所有实体排除仅适用于新收到的数据。 已排除的实体的历史数据会保留到保持期结束(90 天)。
管理连续报表
自定义连续报表在监视组织的 Cloud Discovery 日志数据时提供更多的粒度。 创建自定义报表,以便对特定地理位置、网络和站点或组织单位进行筛选。 默认情况下,只有以下报表出现在 Cloud Discovery 报表选择器中:
全局报表可从日志中包含的所有数据源整合门户中的所有信息。 全局报表不包含来自 Microsoft Defender for Endpoint 的数据。
数据源特定报报表仅显示特定数据源的信息。
创建新的连续报表:
在 Microsoft Defender 门户中,选择设置>云应用>Cloud Discovery>连续报表>创建报告。
输入报表的名称。
选择想要包括的数据源(所有数据源或特定数据源)。
设置要对数据使用的筛选器。 这些筛选器可以是“用户组”、“IP 地址标记”或“IP 地址范围”。 有关使用 IP 地址标记和 IP 地址范围的详细信息,请参阅根据需求组织数据。
注意
所有自定义报表的解压缩数据不得超过 1GB。 如果数据超过 1GB,前 1GB 的数据会导出到报表中。
删除 Cloud Discovery 数据
建议在以下情况下删除 Cloud Discovery 数据:
如果手动上传了日志文件,那么在使用新日志文件更新系统之后,已经过去了很长时间,并且你不希望旧数据影响结果。
设置新的自定义数据视图时,它只会应用于该时间点以后的新数据。 在这种情况下,你可能需要清除旧数据,然后重新上传日志文件,以便自定义数据视图能够捕捉日志文件数据中的事件。
如果在处于脱机状态一段时间后多个用户或 IP 地址最近开始运行,他们的活动会被标识为异常,而且可能会发送多个假正冲突。
重要
在执行此操作之前,请确定是否要删除数据。 此操作不可逆转,会删除系统中的所有 Cloud Discovery 数据。
删除 Cloud Discovery 数据:
在 Microsoft Defender 门户中,选择设置>云应用>Cloud Discovery>删除数据。
选择“删除”按钮。
注意
删除过程需要几分钟,并不是立即完成的。