Megosztás a következőn keresztül:

Felderített alkalmazások megtekintése a Felhőfelderítés irányítópultjával

  • Cikk

A Felhőfelderítés oldal egy irányítópultot biztosít, amely további betekintést nyújt a felhőalkalmazások szervezeten belüli használatába. Az irányítópult áttekintést nyújt a használt alkalmazások típusairól, a nyitott riasztásokról és a szervezeten belüli alkalmazások kockázati szintjeiről. Azt is megjeleníti, hogy kik a legnépszerűbb alkalmazásfelhasználók, és egy alkalmazás központi helytérképét is megjeleníti.

Szűrje a felhőfelderítési adatokat, hogy meghatározott nézeteket hozzon létre attól függően, hogy melyik érdekli a legjobban. További információ: Felderített alkalmazásszűrők.

Előfeltételek

További információ a szükséges szerepkörökről: Rendszergazdai hozzáférés kezelése.

A felhőfelderítési irányítópult áttekintése

Ez az eljárás bemutatja, hogyan szerezhet be kezdeti, általános képet a felhőfelderítési alkalmazásokról a Felhőfelderítés irányítópultján.

  1. A Microsoft Defender portálon válassza a Felhőalkalmazások > Felhőfelderítés lehetőséget.

    Például:

    Képernyőkép a Felhőfelderítés irányítópultról

    A támogatott alkalmazások közé tartoznak a Windows- és macOS-alkalmazások, amelyek mind a Defender – felügyelt végpontok streamje alatt szerepelnek.

  2. Tekintse át a következő információkat:

    1. A magas szintű használat áttekintésével megismerheti a felhőalkalmazások általános használatát a szervezetben.

    2. Egy szinttel mélyebbre ásva megismerheti a szervezetében az egyes használati paraméterekhez használt felső kategóriákat . Figyelje meg, hogy a használat mekkora részét az engedélyezett alkalmazások használják.

    3. A Felderített alkalmazások lapon még mélyebbre léphet, és megtekintheti az adott kategóriába tartozó összes alkalmazást.

    4. Ellenőrizze a legfontosabb felhasználókat és a forrás IP-címeket , és állapítsa meg, hogy mely felhasználók a felhőalkalmazások legmeghatározóbb felhasználói a szervezetben.

    5. Az alkalmazásközpont térképével ellenőrizheti, hogy a felderített alkalmazások hogyan terjednek a földrajzi helyük alapján, a központjuk alapján.

    6. Az alkalmazáskockázat áttekintésével megismerheti a felderített alkalmazások kockázati pontszámát, és ellenőrizheti a felderítési riasztások állapotát , hogy lássa, hány nyitott riasztást kell megvizsgálnia.

A felderített alkalmazások részletes bemutatása

A felhőfelderítési adatok részletesebb megismeréséhez használja a szűrőket a kockázatos vagy gyakran használt alkalmazások kereséséhez.

Ha például azonosítani szeretné a gyakran használt, kockázatos felhőalapú tároló- és együttműködési alkalmazásokat, a Felderített alkalmazások lapon szűrheti a kívánt alkalmazásokat. Ezután törölje vagy tiltsa le őket az alábbiak szerint:

  1. A Microsoft Defender portál Cloud Apps (Felhőalkalmazások) területén válassza a Cloud Discovery (Felhőfelderítés) lehetőséget. Ezután válassza a Felderített alkalmazások lapot.

  2. A Felderített alkalmazások lap Tallózás kategóriája alatt válassza a Felhőbeli tárolás és az Együttműködés lehetőséget.

  3. A speciális szűrőkkel a megfelelőségi kockázati tényezőtSOC 2 = No értékreállíthatja.

  4. A Használat beállításnál állítsa a Felhasználók beállítást 50-nél több felhasználóra, a Tranzakciók beállítást pedig 100-nál nagyobbra.

  5. Állítsa az Inaktív adatok titkosításabiztonsági kockázati tényezőt a Nem támogatott értékre. Ezután állítsa be a kockázati pontszámot 6 vagy alacsonyabb értékre.

    Képernyőkép a felderített mintaalkalmazás-szűrőkről.

Az eredmények szűrése után törölje a jelölést, és tiltsa le őket a tömeges művelet jelölőnégyzetével, hogy az összeset egyetlen műveletben törölje. Ha a rendszer nem engedélyezi őket, használjon blokkoló szkriptet a környezetében való használatuk letiltásához.

A felderített altartományok vizsgálatával azonosíthatja azokat az alkalmazáspéldányokat is, amelyek használatban vannak. Például különbséget kell tenni a különböző SharePoint-webhelyek között:

Altartományszűrő.

Megjegyzés:

A felderített alkalmazások részletes bemutatása csak a cél URL-adatokat tartalmazó tűzfalakban és proxykban támogatott. További információ: Támogatott tűzfalak és proxyk.

Ha Defender for Cloud Apps nem tudja egyeztetni a forgalmi naplókban észlelt altartományt az alkalmazáskatalógusban tárolt adatokkal, az altartomány más címkével lesz megjelölve.

Erőforrások és egyéni alkalmazások felfedezése

A felhőfelderítés lehetővé teszi az IaaS- és PaaS-erőforrások megismerését is. Felfedezheti az erőforrás-üzemeltetési platformokon végzett tevékenységeket, megtekintheti az adatokhoz való hozzáférést a saját üzemeltetésű alkalmazásokban és erőforrásokban, beleértve a tárfiókokat, az Azure-ban, a Google Cloud Platformon és az AWS-en üzemeltetett egyéni alkalmazásokat. Az IaaS-megoldásokban nem csak az általános használat látható, de az egyes erőforrásokon üzemeltetett erőforrásokat és az erőforrások általános használatát is áttekintheti az erőforrásonkénti kockázat mérséklése érdekében.

Ha például nagy mennyiségű adatot tölt fel, fedezze fel, hogy milyen erőforrásba van feltöltve, és részletezze le, hogy ki hajtotta végre a tevékenységet.

Megjegyzés:

Ez csak a cél URL-adatokat tartalmazó tűzfalakban és proxykban támogatott. További információkért tekintse meg a támogatott berendezések listáját a Támogatott tűzfalak és proxyk című témakörben.

A felderített erőforrások megtekintése:

  1. A Microsoft Defender portál Cloud Apps (Felhőalkalmazások) területén válassza a Cloud Discovery (Felhőfelderítés) lehetőséget. Ezután válassza a Felderített erőforrások lapot.

    Képernyőkép a felderített erőforrások menüjéről.

  2. A Felderített erőforrások lapon részletezheti az egyes erőforrásokat, hogy lássa, milyen típusú tranzakciók történtek, ki fért hozzá, majd a részletezés után még tovább vizsgálhatja a felhasználókat.

    Képernyőkép a Felderített erőforrások lapról.

  3. Egyéni alkalmazások esetén válassza a sor végén található beállítások menüt, majd az Új egyéni alkalmazás hozzáadása lehetőséget. Ekkor megnyílik az Alkalmazás hozzáadása párbeszédpanel, ahol elnevezheti és azonosíthatja az alkalmazást, hogy szerepelhessenek a felhőfelderítési irányítópulton.

Felhőfelderítési vezetői jelentés létrehozása

A felhőfelderítési vezetői jelentés létrehozásával a legjobb módja annak, hogy áttekintést kapjon a szervezet árnyék-informatikai funkcióiról. Ez a jelentés azonosítja a leggyakoribb lehetséges kockázatokat, és segít megtervezni egy munkafolyamatot, amely enyhíti és kezeli a kockázatokat, amíg meg nem oldja őket.

Felhőfelderítési vezetői jelentés létrehozása:

  1. A Microsoft Defender portál Cloud Apps (Felhőalkalmazások) területén válassza a Cloud Discovery (Felhőfelderítés) lehetőséget.

  2. A Felhőfelderítés oldalon válassza az ActionsGenerate Cloud Discovery executive report (Műveletek > Cloud Discovery-jelentés létrehozása) lehetőséget.

  3. Igény szerint módosítsa a jelentés nevét, majd válassza a Létrehozás lehetőséget.

Entitások kizárása

Ha olyan rendszerfelhasználókkal, IP-címekkel vagy eszközökkel rendelkezik, amelyek zajosak, de érdektelenek, vagy olyan entitásokkal rendelkezik, amelyeket nem kellene megjeleníteni az árnyék informatikai jelentésekben, érdemes lehet kizárni az adataikat az elemzett felhőfelderítési adatokból. Előfordulhat például, hogy ki szeretné zárni a helyi gazdagépről származó összes információt.

Kizárás létrehozása:

  1. A Microsoft Defender portálon válassza a Beállítások>Cloud Apps>Cloud Discovery>Entitások kizárása lehetőséget.

  2. Válassza a Kizárt felhasználók, a Kizárt csoportok, a Kizárt IP-címek vagy a Kizárt eszközök lapot, majd a +Hozzáadás gombra kattintva adja meg a kizárást.

  3. Adjon hozzá egy felhasználói aliast, IP-címet vagy eszköznevet. Javasoljuk, hogy adjon meg információkat arról, hogy miért történt a kizárás.

    Képernyőkép egy felhasználó kizárásáról.

Megjegyzés:

Minden entitáskizárás csak az újonnan fogadott adatokra vonatkozik. A kizárt entitások előzményadatai a megőrzési időszakon (90 nap) keresztül maradnak.

Folyamatos jelentések kezelése

Az egyéni folyamatos jelentések részletesebben figyelik a szervezet felhőfelderítési naplóadatait. Egyéni jelentéseket hozhat létre adott földrajzi helyekre, hálózatokra, webhelyekre vagy szervezeti egységekre való szűréshez. Alapértelmezés szerint csak a következő jelentések jelennek meg a felhőfelderítési jelentésválasztóban:

  • A globális jelentés összesíti a portálon található összes információt a naplókban szereplő összes adatforrásból. A globális jelentés nem tartalmazza a Végponthoz készült Microsoft Defender adatait.

  • Az Adatforrás-specifikus jelentés csak egy adott adatforrás adatait jeleníti meg.

Új folyamatos jelentés létrehozása:

  1. A Microsoft Defender portálon válassza a Beállítások>Cloud Apps>Cloud Discovery>Continuous report>Create report (Jelentés létrehozása) lehetőséget.

  2. Adja meg a jelentés nevét.

  3. Jelölje ki a felvenni kívánt adatforrásokat (az összeset vagy az adott adatforrást).

  4. Állítsa be a kívánt szűrőket az adatokon. Ezek a szűrők lehetnek felhasználói csoportok, IP-címcímkék vagy IP-címtartományok. Az IP-címcímkék és IP-címtartományok használatával kapcsolatos további információkért lásd : Az adatok rendszerezése az igényeinek megfelelően.

    Képernyőkép egy egyéni folyamatos jelentés létrehozásáról.

Megjegyzés:

Minden egyéni jelentés legfeljebb 1 GB tömörítetlen adatra korlátozódik. Ha több mint 1 GB adat áll rendelkezésre, az első 1 GB adat a jelentésbe lesz exportálva.

Felhőfelderítési adatok törlése

A felhőfelderítési adatok törlését a következő esetekben javasoljuk:

  • Ha manuálisan töltött fel naplófájlokat, hosszú idő telt el azóta, hogy új naplófájlokkal frissítette a rendszert, és nem szeretné, hogy a régi adatok befolyásolják az eredményeket.

  • Amikor új egyéni adatnézetet állít be, az csak az adott pontból származó új adatokra vonatkozik. Ilyen esetekben érdemes lehet törölni a régi adatokat, majd újra feltölteni a naplófájlokat, hogy lehetővé tegye az egyéni adatnézet számára a naplófájladatokban lévő események felvételét.

  • Ha a közelmúltban sok felhasználó vagy IP-cím kezdett újra működni, miután egy ideig offline állapotban volt, a tevékenység rendellenesnek minősül, és téves pozitív szabálysértéseket eredményezhet.

Fontos

Mielőtt így tesz, mindenképpen törölje az adatokat. Ez a művelet visszavonhatatlan, és törli a rendszer összes felhőfelderítési adatát.

Felhőfelderítési adatok törlése:

  1. A Microsoft Defender portálon válassza a Beállítások>Cloud Apps>Cloud Discovery>Adatok törlése lehetőséget.

  2. Válassza a Törlés gombot.

    Képernyőkép a felhőfelderítési adatok törléséről.

Megjegyzés:

A törlési folyamat néhány percet vesz igénybe, és nem azonnali.

Következő lépések

Pillanatkép-felhőfelderítési jelentések létrehozása

Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez

A felhőfelderítési adatok használata

Alkalmazások felderítése Végponthoz készült Microsoft Defender integrációjával