Visualizzare le app individuate con il dashboard di Cloud Discovery

La pagina Cloud Discovery fornisce un dashboard progettato per offrire maggiori informazioni sull'uso delle app cloud nell'organizzazione. Il dashboard offre una visualizzazione immediata dei tipi di app usate, degli avvisi aperti e dei livelli di rischio delle app nell'organizzazione. Mostra anche chi sono gli utenti principali dell'app e fornisce una mappa della posizione della sede centrale dell'app.

Filtrare i dati di Cloud Discovery per generare visualizzazioni specifiche, a seconda degli interessi più specifici. Per altre informazioni, vedere Filtri app individuati.

Prerequisiti

Per informazioni sui ruoli necessari, vedere Gestire l'accesso amministratore.

Esaminare il dashboard di Cloud Discovery

Questa procedura descrive come ottenere un quadro generale iniziale delle app di Cloud Discovery nel dashboard di Cloud Discovery .

  1. Nel portale di Microsoft Defender selezionare App > cloud Cloud Discovery.

    Ad esempio:

    Screenshot del dashboard di Cloud Discovery

    Le app supportate includono app Windows e macOS, entrambe elencate nel flusso di endpoint gestiti di Defender.

  2. Esaminare le informazioni seguenti:

    1. Usare la panoramica generale sull'utilizzo per comprendere l'uso complessivo delle app cloud nell'organizzazione.

    2. Approfondimento di un livello per comprendere le categorie principali usate nell'organizzazione per ognuno dei diversi parametri d'uso. Si noti la quantità di questo utilizzo da parte delle app approvate.

    3. Usare la scheda App individuate per approfondire e visualizzare tutte le app in una categoria specifica.

    4. Controllare gli utenti principali e gli indirizzi IP di origine per identificare quali utenti sono gli utenti più dominanti delle app cloud nell'organizzazione.

    5. Usa la mappa della sede centrale dell'app per verificare la modalità di diffusione delle app individuate in base alla posizione geografica, in base alla sede centrale.

    6. Usare la panoramica dei rischi dell'app per comprendere il punteggio di rischio delle app individuate e controllare lo stato degli avvisi di individuazione per verificare il numero di avvisi aperti da analizzare.

Approfondimento sulle app individuate

Per approfondire i dati di Cloud Discovery, usare i filtri per verificare la presenza di app rischiose o di uso comune.

Ad esempio, se si vuole identificare le app di archiviazione cloud e collaborazione rischiose, usare la pagina App individuate per filtrare le app desiderate. Annullare l'approvazione o bloccarli nel modo seguente:

  1. Nel portale di Microsoft Defender, in App cloud selezionare Cloud Discovery. Scegliere quindi la scheda App individuate.

  2. Nella scheda App individuate, in Sfoglia per categoria selezionare Sia Archiviazione cloud che Collaborazione.

  3. Usare i filtri avanzati per impostare Il fattore di rischio di conformità su SOC 2 = No.

  4. Per Utilizzo impostare Utenti su più di 50 utenti e transazioni su maggiore di 100.

  5. Impostare Fattore di rischio della sicurezza per Crittografia dei dati inattivi uguale a Non supportato. Impostare quindi Punteggio di rischio su 6 o su un valore inferiore.

    Screenshot dei filtri app individuati di esempio.

Dopo aver filtrato i risultati, annullare l'approvazione e bloccarli usando la casella di controllo azione bulk per annullarle tutte in un'unica azione. Dopo l'annullamento dell'approvazione, usare uno script di blocco per impedirne l'uso nell'ambiente.

È anche possibile identificare istanze specifiche dell'app in uso analizzando i sottodomini individuati. Ad esempio, distinguere tra siti di SharePoint diversi:

Filtro sottodominio.

Nota

Le immersioni approfondite nelle app individuate sono supportate solo in firewall e proxy che contengono dati URL di destinazione. Per altre informazioni, vedere Firewall e proxy supportati.

Se Defender per il cloud Le app non possono corrispondere al sottodominio rilevato nei log del traffico con i dati archiviati nel catalogo delle app, il sottodominio viene contrassegnato come Altro.

Individuare risorse e app personalizzate

Cloud Discovery consente anche di approfondire le risorse IaaS e PaaS. Individuare le attività nelle piattaforme di hosting delle risorse, visualizzare l'accesso ai dati tra app e risorse self-hosted, tra cui account di archiviazione, infrastruttura e app personalizzate ospitate in Azure, Google Cloud Platform e AWS. Non solo è possibile visualizzare l'utilizzo complessivo nelle soluzioni IaaS, ma è possibile ottenere visibilità sulle risorse specifiche ospitate in ognuna e sull'utilizzo complessivo delle risorse, per ridurre il rischio per ogni risorsa.

Ad esempio, se viene caricata una grande quantità di dati, individuare la risorsa caricata ed eseguire il drill-down per vedere chi ha eseguito l'attività.

Nota

Questa azione è supportata solo nei firewall e nei proxy che contengono dati degli URL di destinazione. Per altre informazioni, esaminare l'elenco di appliance supportate in Proxy e firewall supportati.

Per visualizzare le risorse individuate:

  1. Nel portale di Microsoft Defender, in App cloud selezionare Cloud Discovery. Scegliere quindi la scheda Risorse individuate.

    Screenshot del menu delle risorse individuate.

  2. Nella pagina Risorse individuate eseguire il drill-down in ogni risorsa per visualizzare i tipi di transazioni che si sono verificati, chi ha eseguito l'accesso e quindi eseguire il drill-down per analizzare ulteriormente gli utenti.

    Screenshot della scheda Risorse individuate.

  3. Per le app personalizzate, selezionare il menu opzioni alla fine della riga e quindi selezionare Aggiungi nuova app personalizzata. Verrà visualizzata la finestra di dialogo Aggiungi questa app , in cui è possibile assegnare un nome e identificare l'app in modo che possa essere inclusa nel dashboard di Cloud Discovery.

Generare un report esecutivo di Cloud Discovery

Il modo migliore per ottenere una panoramica dell'uso di Shadow IT nell'organizzazione consiste nel generare un report esecutivo di Cloud Discovery. Il report identifica i rischi potenziali principali e consente di pianificare un flusso di lavoro per ridurre e gestire i rischi finché questi non vengono risolti.

Per generare un report esecutivo di Cloud Discovery:

  1. Nel portale di Microsoft Defender, in App cloud selezionare Cloud Discovery.

  2. Nella pagina Cloud Discovery selezionare Azioni>Genera report esecutivo di Cloud Discovery.

  3. Facoltativamente, modificare il nome del report e quindi selezionare Genera.

Escludere le entità

Se si hanno utenti di sistema, indirizzi IP o dispositivi rumorosi ma non interessati o entità che non devono essere presentate nei report SHADOW IT, è possibile escludere i dati dai dati di Cloud Discovery analizzati. Ad esempio, è possibile escludere tutte le informazioni provenienti da un host locale.

Per creare un'esclusione:

  1. Nel portale di Microsoft Defender selezionare Impostazioni>Cloud Apps>Cloud Discovery>Escludi entità.

  2. Selezionare la scheda Utenti esclusi, Gruppi esclusi, Indirizzi IP esclusi o Dispositivi esclusi e selezionare il pulsante +Aggiungi per aggiungere l'esclusione.

  3. Aggiungere un alias utente, un indirizzo IP o un nome del dispositivo. È consigliabile aggiungere informazioni sui motivi dell'esclusione.

    Screenshot dell'esclusione di un utente.

Nota

Tutte le esclusioni di entità si applicano solo ai dati appena ricevuti. I dati cronologici delle entità escluse rimangono nel periodo di conservazione (90 giorni).

Gestire i report continui

I report continui personalizzati offrono una maggiore granularità durante il monitoraggio dei dati di log di Cloud Discovery dell'organizzazione. Creare report personalizzati per filtrare in base a posizioni geografiche, reti e siti specifici o unità organizzative. Per impostazione predefinita, nel selettore di report di Cloud Discovery vengono visualizzati solo i report seguenti:

  • Il report globale consolida tutte le informazioni nel portale da tutte le origini dati incluse nei log. Il report globale non include i dati di Microsoft Defender per endpoint.

  • Il report specifico dell'origine dati mostra solo le informazioni relative a un'origine dati specifica.

Per creare un nuovo report continuo:

  1. Nel portale di Microsoft Defender selezionare Impostazioni>Cloud Apps>Cloud Discovery>Report Creazione report> continuo.

  2. Immettere un nome per il report.

  3. Selezionare l'origine dati da includere (tutte o un'origine specifica).

  4. Impostare i filtri da usare sui dati. Questi filtri possono basarsi su gruppi di utenti, tag di indirizzi IP o intervalli di indirizzi IP. Per altre informazioni sull'uso dei tag di indirizzi IP e degli intervalli di indirizzi IP, vedere Organizzare i dati in base alle esigenze.

    Screenshot della creazione di un report continuo personalizzato.

Nota

Tutti i report personalizzati sono limitati a un massimo di 1 GB di dati non compressi. In presenza di più di 1 GB di dati, nel report verrà esportato il primo GB di dati.

Eliminazione dei dati di Cloud Discovery

È consigliabile eliminare i dati di Cloud Discovery nei casi seguenti:

  • Se i file di log sono stati caricati manualmente, è trascorso molto tempo dopo l'aggiornamento del sistema con nuovi file di log e non si desidera che i dati precedenti influiscano sui risultati.

  • Quando si imposta una nuova vista dati personalizzata, si applica solo ai nuovi dati da quel punto in avanti. In questi casi, potrebbe essere necessario cancellare i dati obsoleti e quindi caricare di nuovo i file di log per consentire alla visualizzazione dati personalizzata di raccogliere eventi nei dati del file di log.

  • Se molti utenti o indirizzi IP hanno recentemente iniziato a funzionare di nuovo dopo essere offline per un certo periodo di tempo, l'attività viene identificata come anomale e potrebbe fornire violazioni false positive.

Importante

Assicurarsi di voler eliminare i dati prima di eseguire questa operazione. Questa azione è irreversabile ed elimina tutti i dati di Cloud Discovery nel sistema.

Per eliminare i dati di Cloud Discovery:

  1. Nel portale di Microsoft Defender selezionare Impostazioni>App>cloud Cloud Discovery>Elimina dati.

  2. Seleziona il pulsante Elimina.

    Screenshot dell'eliminazione dei dati di Cloud Discovery.

Nota

Il processo di eliminazione richiede alcuni minuti e non è immediato.

Passaggi successivi