Просмотр обнаруженных приложений с помощью панели мониторинга Cloud Discovery

На странице Cloud Discovery представлена панель мониторинга, предназначенная для получения дополнительных сведений о том, как облачные приложения используются в вашей организации. Панель мониторинга предоставляет представление типов используемых приложений, открытых оповещений и уровней риска приложений в вашей организации. В нем также показано, кто является вашими лучшими пользователями приложения, и предоставляется карта расположения штаб-квартиры приложения .

Отфильтруйте данные cloud discovery для создания определенных представлений в зависимости от того, что вас больше всего интересует. Дополнительные сведения см. в разделе Обнаруженные фильтры приложений.

Предварительные условия

Сведения о необходимых ролях см. в разделе Управление доступом администратора.

Просмотр панели мониторинга облачного обнаружения

В этой процедуре описывается, как получить начальную общую картину приложений облачного обнаружения на панели мониторинга cloud discovery .

  1. На портале Microsoft Defender выберите Облачные приложения > Cloud Discovery.

    Например:

    Снимок экрана: панель мониторинга cloud discovery

    Поддерживаемые приложения включают приложения для Windows и macOS, которые оба перечислены в потоке Defender — управляемые конечные точки.

  2. Ознакомьтесь со следующими сведениями:

    1. Используйте обзор использования на высоком уровне, чтобы понять общее использование облачных приложений в вашей организации.

    2. Перейдите на один уровень глубже, чтобы понять основные категории , используемые в организации для каждого из различных параметров использования. Обратите внимание на то, сколько из этого используется санкционированными приложениями.

    3. Перейдите на вкладку Обнаруженные приложения , чтобы еще глубже просмотреть все приложения в определенной категории.

    4. Проверьте основных пользователей и исходные IP-адреса , чтобы определить, какие пользователи являются наиболее доминирующими пользователями облачных приложений в вашей организации.

    5. Используйте карту штаб-квартир приложений, чтобы проверить, как обнаруженные приложения распределяются по географическому расположению их штаб-квартир.

    6. Используйте обзор рисков приложений, чтобы понять оценку риска обнаруженных приложений, и проверьте состояние оповещений об обнаружении, чтобы узнать, сколько открытых оповещений нужно проверить.

Подробное изучение обнаруженных приложений

Чтобы подробнее изучить данные об обнаружении облачных приложений, используйте фильтры, чтобы проверить наличие рискованных или часто используемых приложений.

Например, если вы хотите определить часто используемые, рискованные облачные хранилища и приложения для совместной работы, используйте страницу Обнаруженные приложения , чтобы отфильтровать нужные приложения. Затем отмените или заблокируйте эти приложения следующим образом:

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Обнаружение облаков. Затем перейдите на вкладку Обнаруженные приложения .

  2. На вкладке Обнаруженные приложения в разделе Обзор по категории выберите Облачное хранилище и Совместная работа.

  3. Используйте расширенные фильтры, чтобы задать для фактора риска соответствия значение SOC 2 = Нет.

  4. Для параметра Использование задайте для параметра Пользователи значение больше 50 пользователей, а для транзакций — значение больше 100.

  5. Установите для шифрования данных при хранениикоэффициент риска безопасности со значением Не поддерживается. Затем установите оценку риска , равную 6 или ниже.

    Снимок экрана: обнаруженные фильтры приложений.

После фильтрации результатов снимите санкционирование и заблокируйте отфильтрованные приложения, используя флажок массовых действий, чтобы снять санкционирование со всех этих приложений за одно действие. После того как приложения не будут несанкционированны, используйте скрипт блокировки, чтобы заблокировать использование этих приложений в вашей среде.

Вы также можете определить конкретные экземпляры приложений, которые используются, путём анализа обнаруженных поддоменов. Например, различайте различные сайты SharePoint:

Фильтр поддомена.

Примечание.

Функция обнаруженных поддоменов будет прекращена до 31 декабря 2025 г. После этого поддержка поддоменов обнаружения не будет предоставляться.

Подробные сведения об обнаруженных приложениях поддерживаются только в брандмауэрах и прокси-серверах, содержащих данные целевого URL-адреса. Дополнительные сведения см. в разделе Поддерживаемые брандмауэры и прокси-серверы.

Если Defender for Cloud Apps не может сопоставить поддомен, обнаруженный в журналах трафика, с данными, хранящимися в каталоге приложений, поддомен помечается как Other.

Обнаружение ресурсов и пользовательских приложений

Обнаружение облачных ресурсов также позволяет углубиться в анализ ваших ресурсов IaaS и PaaS. Узнайте о действиях на платформах размещения ресурсов, просматривая доступ к данным в локальных приложениях и ресурсах, включая учетные записи хранения, инфраструктуру и пользовательские приложения, размещенные в Azure, Google Cloud Platform и AWS. Вы можете не только увидеть общее использование в решениях IaaS, но и получить представление о конкретных ресурсах, размещенных в каждом из них, и об общем использовании ресурсов, чтобы помочь снизить риск для каждого ресурса.

Например, если отправляется большой объем данных, узнайте, какой ресурс получил отправленные данные, и проверите, кто выполнил действие.

Примечание.

Обнаружение ресурсов IaaS и PaaS поддерживается только в межсетевых экранах и прокси-серверах, содержащих данные о целевых URL-адресах. Дополнительные сведения см. в списке поддерживаемых устройств в разделе Поддерживаемые брандмауэры и прокси-серверы.

Чтобы просмотреть обнаруженные ресурсы, выполните приведенные ниже действия.

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Обнаружение облаков. Затем перейдите на вкладку Обнаруженные ресурсы .

    Снимок экрана: меню обнаруженных ресурсов.

  2. На странице Обнаруженные ресурсы выполните детализацию по каждому ресурсу, чтобы узнать, какие типы транзакций выполнялись, кто к ним обращается, а затем детализируйте, чтобы изучить пользователей еще больше.

    Снимок экрана: список обнаруженных ресурсов.

  3. Для пользовательских приложений выберите меню параметров в конце строки, а затем выберите Добавить новое пользовательское приложение. Откроется диалоговое окно Добавление этого приложения , в котором можно назвать и определить приложение, чтобы его можно было включить в панель мониторинга облачного обнаружения.

Создание исполнительного отчета об обнаружении облака

Лучший способ получить общие сведения об использовании теневых ИТ в организации — создать исполнительный отчет об обнаружении облака. Этот отчет определяет основные потенциальные риски и помогает спланировать рабочий процесс для снижения рисков и управления ими до тех пор, пока они не будут устранены.

Чтобы создать отчет об облачном обнаружении, выполните приведенные далее действия.

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Обнаружение облаков.

  2. На странице Обнаружение в облаке выберите Действия>Создать исполнительный отчет Cloud Discovery.

  3. При необходимости измените имя отчета и нажмите кнопку Создать.

Примечание.

Сводный отчет для руководителей обновляется до шести страничного отчета с целью предоставления четкого, краткого & практического обзора при сохранении глубины и целостности исходного анализа. Начиная с 1 сентября 2025 г. точка данных cloud Discovery Alerts больше не будет включена в сводный отчет исполнительного руководства.

Исключение сущностей

Если у вас есть системные пользователи, IP-адреса или устройства, которые создают много шума, но не представляют интереса, либо объекты, которые не должны отображаться в отчетах по теневым ИТ, вы можете исключить их данные из данных обнаружения облачных приложений, которые анализируются. Например, может потребоваться исключить всю информацию, полученную от локального узла.

Чтобы создать исключение, выполните приведенные далее действия.

  1. На портале Microsoft Defender выберите Параметры Облачные>приложения>Cloud Discovery>Исключить сущности.

  2. Выберите вкладку Исключенные пользователи, Исключенные группы, Исключенные IP-адреса или Исключенные устройства и нажмите кнопку +Добавить , чтобы добавить исключение.

  3. Добавьте псевдоним пользователя, IP-адрес или имя устройства. Рекомендуется добавить сведения о том, почему было сделано исключение.

    Снимок экрана: параметр исключения пользователей из отчета Cloud Discovery.

Примечание.

  • Все исключения сущностей применяются только к вновь полученным данным. Исторические данные исключенных сущностей остаются в течение периода хранения (90 дней).
  • Исключение сущностей поддерживается только для глобального потока отчетов. Сущности из Microsoft Defender для конечной точки и потока прокси-сервера Cloud App Security не поддерживаются для исключения.

Управление непрерывными отчетами

Настраиваемые непрерывные отчеты позволяют получать более подробные данные при мониторинге данных журнала обнаружения облачных ресурсов вашей организации. Создавайте настраиваемые отчеты для фильтрации по определенным географическим расположениям, сетям и сайтам или подразделениям. По умолчанию в селекторе отчетов об облачном обнаружении отображаются только следующие отчеты:

  • Глобальный отчет объединяет все сведения на портале из всех источников данных, включенных в журналы. Глобальный отчет не включает данные из Microsoft Defender для конечной точки.

  • В отчете об источнике данных отображаются только сведения из определенного источника данных.

Чтобы создать новый непрерывный отчет, выполните приведенные далее действия.

  1. На портале Microsoft Defender выберите Параметры Облачные>приложения>Cloud Discovery>Непрерывный отчет>Создать отчет.

  2. Введите название отчета.

  3. Выберите источники данных, которые нужно включить (все или конкретные).

  4. Задайте нужные фильтры для данных. Это могут быть группы пользователей, теги IP-адресов или диапазоны IP-адресов. Дополнительные сведения о работе с тегами IP-адресов и диапазонами IP-адресов см. в разделе Упорядочение данных в соответствии с вашими потребностями.

    Снимок экрана: создание непрерывного отчета.

Примечание.

Все пользовательские отчеты ограничены не более 1 ГБ несжатых данных. Если объем данных превышает 1 ГБ, первые 1 ГБ данных будут экспортированы в отчет.

Удаление данных облачного обнаружения

Рекомендуется удалять данные обнаружения в облаке в следующих случаях:

  • Если вы вручную отправили файлы журнала, прошло много времени, так как вы обновили систему новыми файлами журналов, и вы не хотите, чтобы старые данные влияли на ваши результаты.

  • При настройке нового пользовательского представления данных оно применяется только к новым данным, начиная с этого момента. В таких случаях может потребоваться удалить старые данные, а затем повторно загрузить файлы журналов, чтобы настраиваемое представление данных могло обнаруживать события в данных файлов журналов.

  • Если многие пользователи или IP-адреса недавно начали работать снова после некоторого времени в автономном режиме, их активность определяется как аномальная и может привести к ложноположительным нарушениям.

Важно!

Перед этим обязательно удалите данные. Удаление данных об обнаружении облака необратимо и удаляет все данные об обнаружении облака в системе.

Чтобы удалить данные обнаружения в облаке, выполните приведенные далее действия.

  1. На портале Microsoft Defender выберите Параметры Облачные>приложения>Cloud Discovery>Удалить данные.

  2. Нажмите кнопку Удалить .

    Снимок экрана: удаление данных облачного обнаружения.

Примечание.

Процесс удаления занимает несколько минут и не является немедленным.

Дальнейшие действия