使用 Cloud Discovery 儀錶板檢視探索到的應用程式
[ 雲端探索 ] 頁面提供儀錶板,其設計目的是讓您深入瞭解雲端應用程式在組織中使用的方式。 儀錶板可讓您快速檢視正在使用的應用程式類型、開啟的警示,以及組織中應用程式的風險層級。 它也會顯示您最上層應用程式用戶是誰,並提供 應用程式總部位置 地圖。
根據您最感興趣的項目,篩選您的 Cloud Discovery 數據以產生特定檢視。 如需詳細資訊,請參閱 探索到的應用程式篩選。
必要條件
如需所需角色的資訊,請參閱 管理系統管理員存取權。
檢閱雲端探索儀錶板
此程序說明如何在 Cloud Discovery 儀錶板中 取得雲端探索 應用程式的初始、一般圖片。
在 Microsoft Defender 入口網站中,選取 [ 雲端應用程式 > 雲端探索]。
例如:
支援的應用程式包括 Windows 和 macOS 應用程式,這兩者都列在 Defender - 受控端點 串流之下。
檢閱下列資訊:
使用高階使用量概觀來了解組織中的整體雲端應用程式使用方式。
深入探討一個層級,以瞭解 組織中針對每個不同使用參數所使用的最上層類別 。 請注意,此使用量有多少是由獲批准的應用程式使用。
使用 [ 探索到的應用程式 ] 索引標籤,更深入地查看特定類別中的所有應用程式。
檢查頂級使用者和來源IP位址,以識別哪些使用者是您組織中雲端應用程式最佔主導地位的使用者。
根據應用程式的總部,使用應用程式總部地圖來檢查探索到的應用程式如何根據地理位置散佈。
使用應用程式風險概觀來瞭解探索到應用程式的風險分數,並檢查探索警示狀態,以查看您應該調查多少個開啟的警示。
深入瞭解探索到的應用程式
若要深入瞭解雲端探索數據,請使用篩選來檢查是否有風險或常用的應用程式。
例如,如果您想要識別常用的、有風險的雲端記憶體和共同作業應用程式,請使用 [ 探索到的應用程式 ] 頁面來篩選您想要的應用程式。 然後, 取消批准或封鎖 它們,如下所示:
在 Microsoft Defender 入口網站的 [Cloud Apps] 下,選取 [雲端探索]。 然後選擇 [ 探索到的應用程式] 索引 標籤。
在 [探索到的應用程式] 索引卷標的 [瀏覽依據] 類別下,選取 [雲端記憶體] 和 [共同作業]。
使用進階篩選將合規性風險因素設定為SOC 2 = 否。
針對 [使用量],將 [使用者] 設定為大於 50 個使用者,並將 [交易] 設定為大於 100。
將 [安全性風險因素] 設定為 [待用資料加密] 等於 [不支援]。 然後設定 [風險分數] 等於或小於 6。
篩選結果之後, 請使用 [大量動作] 複選框將其全部取消批准,並加以封鎖。 一旦他們未經批准,請使用封鎖腳本來封鎖它們,使其無法用於您的環境中。
您也可以藉由調查探索到的子域來識別正在使用的特定應用程式實例。 例如,區分不同的SharePoint網站:
注意
只有包含目標 URL 資料的防火牆和 Proxy 才支援深入探討探索到的應用程式。 如需詳細資訊,請參閱 支援的防火牆和 Proxy。
如果 適用於雲端的 Defender 應用程式無法比對流量記錄中偵測到的子域與儲存在應用程式目錄中的數據,則子域會標記為 [其他]。
探索資源和自定義應用程式
雲端探索也可讓您深入瞭解 IaaS 和 PaaS 資源。 探索跨資源裝載平臺的活動,檢視您自我裝載應用程式和資源的存取權,包括 Azure 上裝載的記憶體帳戶、基礎結構和自定義應用程式,以及 AWS 上裝載的自定義應用程式。 您不僅可以看到 IaaS 解決方案的整體使用量,還可以查看裝載於每個解決方案的特定資源,以及資源的整體使用量,以協助降低每個資源的風險。
例如,如果上傳大量數據,請探索上傳至哪些資源,然後向下切入以查看誰執行活動。
注意
不過只有包含目標 URL 資料的防火牆與 Proxy 才支援此功能。 如需詳細資訊,請參閱支援的防火牆和 Proxy 中支援的設備清單。
若要檢視探索到的資源:
在 Microsoft Defender 入口網站的 [Cloud Apps] 下,選取 [雲端探索]。 然後選擇 [ 探索到的資源] 索引 標籤。
在 [ 探索到的資源] 頁面中,向下切入到每個資源,以查看發生何種交易、存取交易的人員,然後向下切入以進一步調查使用者。
![[探索到的資源] 索引卷標的螢幕快照。](media/discovery-resources.png)
針對自定義應用程式,選取數據列結尾的選項功能表,然後選取[ 新增自定義應用程式]。 這會開啟 [ 新增此應用程式 ] 對話框,您可以在其中命名並識別應用程式,使其可以包含在雲端探索儀錶板中。
產生雲端探索執行報告
取得整個組織影子 IT 使用概觀的最佳方式,是產生雲端探索執行報告。 這份報告會找出最高的潛在風險,並協助您規劃工作流程以降低風險,並在風險解決之前加以管控。
若要產生雲端探索執行報告:
在 Microsoft Defender 入口網站的 [Cloud Apps] 下,選取 [雲端探索]。
從 [雲端探索] 頁面中,選取 [動作>產生 Cloud Discovery 執行報告]。
選擇性地變更報表名稱,然後選取 [ 產生]。
排除實體
如果您有系統使用者、IP 位址或裝置,這些裝置在陰影 IT 報告中不應顯示,或不應該顯示在陰影 IT 報告中的裝置、IP 位址或裝置,您可能會想要從分析的雲端探索數據中排除其數據。 例如,您可能想要排除源自本機主機的所有資訊。
若要建立排除專案:
在 Microsoft Defender 入口網站中,選取 [設定>Cloud Apps>Cloud Discovery>排除實體]。
選取 [排除的使用者]、[排除的群組]、[排除的IP 位址] 或 [排除的裝置] 索引卷標,然後選取 [+新增] 按鈕以新增排除專案。
新增用戶別名、IP 位址或裝置名稱。 建議您新增為何排除這些內容的相關資訊。
注意
所有實體排除專案僅適用於新接收的數據。 排除實體的歷程記錄數據會持續到保留期間(90 天)。
管理連續報告
自定義連續報告可讓您在監視組織的雲端探索記錄數據時,提供更細微的粒度。 建立自定義報表,以篩選特定地理位置、網路和網站,或組織單位。 根據預設,只有下列報告會出現在您的雲端探索報表選取器中:
全域報告將記錄檔所含全部資料來源的所有資訊合併在入口網站中。 全域報表不包含來自 適用於端點的 Microsoft Defender 的數據。
資料來源特定報告只顯示特定資料來源的資訊。
若要建立新的連續報表:
在 Microsoft Defender 入口網站中,選取 [設定>Cloud Apps>Cloud Discovery>連續報告建立報告]。>
輸入報告名稱。
選取您要包含的資料來源 (全部或特定)。
設定要對資料執行的篩選。 這些篩選可以是使用者群組、IP 位址標籤或 IP 位址範圍。 如需使用 IP 位址標記和 IP 位址範圍的詳細資訊,請參閱根據需求組織資料。
注意
所有的自訂報告都有 1 GB 未壓縮資料的上限。 如果資料量超過 1 GB,則前 1 GB 的資料將會輸出至報告。
刪除雲端探索數據
建議您在下列情況下刪除雲端探索資料:
如果您手動上傳記錄檔,自從您使用新的記錄檔更新系統之後,經過很長的時間,而且您不希望影響結果的舊數據。
當您設定新的自定義數據檢視時,它只會套用至該點的新數據。 在這種情況下,您可能會想要清除舊數據,然後再次上傳記錄檔,以啟用自定義數據檢視來挑選記錄檔數據中的事件。
如果許多使用者或IP位址在離線一段時間後最近重新開始運作,則其活動會識別為異常,並可能會為您提供誤判違規。
重要
請務必先刪除數據,再執行此動作。 此動作無法復原,並刪除 系統中的所有 雲端探索數據。
若要刪除雲端探索資料:
在 Microsoft Defender 入口網站中,選取 [設定>Cloud Apps>Cloud Discovery>刪除數據]。
選取刪除按鈕。
注意
刪除程序需要幾分鐘,不會立即完成。