検出されたアプリの処理

  • [アーティクル]

Cloud Discovery ページは、組織におけるクラウド アプリの利用状況を詳細に理解できるように設計されてたダッシュボードを提供します。 ダッシュボードでは、使用されているアプリの種類、未処理のアラート、組織のアプリのリスク レベルをひとめで確認できます。 また、アプリを一番多く使っているユーザーが表示され、アプリの本社の所在地が地図で示されます。

最も関心のある内容に応じて、Cloud Discovery データをフィルター処理して特定のビューを生成します。 詳しくは、「検出されたアプリのフィルター」をご覧ください。

前提条件

必要なロールの詳細については、「管理者アクセスの管理」を参照してください。

クラウド検出ダッシュボードを確認する

この手順では、Cloud Discovery ダッシュボードで Cloud Discovery アプリの初期の一般的な画像を取得する方法について説明します。

  1. Microsoft Defender ポータルで、[クラウド アプリ]> [Cloud Discovery] の順に選択します。

    次に例を示します。

    Cloud Discovery ダッシュボードのスクリーンショット

    サポートされているアプリには、Windows アプリと macOS アプリが含まれます。これらはどちらも、Defender - マネージド エンドポイント ストリームの下に一覧表示されます。

  2. 次の情報を確認します。

    1. ハイレベルの使用状況概要を使用して、組織のクラウド アプリに全体的な使用状況を把握します。

    2. 次に、1 段階詳細に調べるため、さまざまな使用状況パラメーター別に組織で最も使用されているトップ カテゴリを確認します。 承認されたアプリによって、この使用量がどれだけあるかをメモします。

    3. さらに詳細なレベルに進み、[検出されたアプリ] タブで特定のカテゴリのすべてのアプリを確認します。

    4. アプリを最も多く使用しているユーザーやソース IP アドレスを確認すると、組織でクラウド アプリを最も頻繁に使用しているユーザーを特定できます。

    5. アプリ本社マップを使用して、検出されたアプリが地理的場所や本社に基づいてどのように配布されているかを確認します。

    6. [アプリのリスク概要] を使用して、検出されたアプリのリスク スコアを把握し、[検出アラート状態] を確認して、調査すべき未処理のアラート数を確認します。

検出されたアプリの詳細情報

Cloud Discovery データをさらに詳しく調べるには、フィルターを使用して、危険なアプリや一般的に使用されるアプリを確認します。

たとえば、よく使われる危険性の高いクラウド ストレージ アプリやコラボレーション アプリを識別する場合は、[検出されたアプリ] ページでフィルターを使って該当するアプリを抽出できます。 その後、次のようにして、そのようなアプリを非承認またはブロックします。

  1. Microsoft 365 Defender ポータルの [クラウド アプリ] で、[Cloud Discovery] を選択します。 次に、[検出されたアプリ] タブを選択します。

  2. [検出されたアプリ] タアブの [カテゴリ別に参照] で、[クラウド ストレージ][コラボレーション] の両方を選びます。

  3. 高度なフィルターを使用して、[コンプライアンス リスク要因][SOC 2] = [いいえ] に設定します。

  4. [使用状況] については、[ユーザー] を 50 ユーザーより多くなるように設定します。さらに [トランザクション] を 100 より多くなるように設定します。

  5. [セキュリティ リスク要因] については、[保存データの暗号化][サポートされていません] に設定します。 次に、[リスク スコア] を 6 以下に設定します。

    検出されたアプリ フィルターのサンプルのスクリーンショット。

結果をフィルター処理した後は、すべてのアプリを 1 つのアクションで非承認にする一括操作チェックボックスを使って、アプリを非承認にしてブロックすることができます。 アプリを非承認にした後は、ブロッキング スクリプトを使って、アプリが環境内で使われないようにブロックすることができます。

検出されたサブドメインを調査して、使用されている特定のアプリインスタンスを識別することも可能です。 たとえば、異なる SharePoint サイトを区別することができます。

サブドメイン フィルター。

Note

検出されたアプリの詳細な調査は、ターゲット URL データが含まれているファイアウォールとプロキシにおいてのみサポートされます。 詳細については、「サポートされているファイアウォールとプロキシ」を参照してください。

データがアプリ カタログに格納された状態で、Defender for Cloud Apps がトラフィック ログで検出されたサブドメインと一致しない場合、サブドメインメインは [その他] としてタグ付けされます。

リソースとカスタム アプリを検出する

Cloud Discovery を使用すると、IaaS および PaaS リソースを詳しく調べることもできます。 リソース ホスティング プラットフォーム全体のアクティビティを検出し、Azure、Google Cloud Platform、AWS でホストされているストレージ アカウント、インフラストラクチャ、カスタム アプリなどのセルフホスト アプリとリソースにわたるデータへのアクセスを表示できます。 IaaS ソリューションの全体的な使用状況を確認できるだけでなく、それぞれでホストされている特定のリソースとリソースの全体的な使用状況を可視化して、リソースごとのリスクを軽減することができます。

たとえば、大量のデータがアップロードされた場合は、アップロード先のリソースを検出し、ドリルダウンしてアクティビティを実行したユーザーを確認します。

Note

これは、ターゲット URL データが含まれているファイアウォールとプロキシにおいてのみサポートされます。 詳細については、「サポートされているファイアウォールとプロキシ」でサポートされているアプライアンスの一覧をご覧ください。

検出されたリソースを表示するには:

  1. Microsoft 365 Defender ポータルの [クラウド アプリ] で、[Cloud Discovery] を選択します。 次に、[検出されたリソース] タブを選択します。

    検出されたリソース メニューのスクリーンショット。

  2. [検出されたリソース] ページでは、各リソースをドリルダウンして、どのような種類のトランザクションが発生したか、誰がアクセスしたかを確認し、さらにドリルダウンしてユーザーを調査できます。

    検出されたリソース タブのスクリーンショット。

  3. カスタム アプリの場合は、行の末尾にあるオプション メニューを選択すると、[新しいカスタム アプリの追加] を選択できます。 これで、[このアプリを追加] ダイアログが開き、Cloud Discovery ダッシュボードに含まれるようにアプリに名前を付け、認識できるようになります。

クラウド検出に関するエグゼクティブ レポートを生成する

組織全体でのシャドウ IT の使用の概要を得る最良の方法が、Cloud Discovery エグゼクティブ レポートを生成することです。 このレポートでは上位の潜在的なリスクが特定され、そのリスクが解決されるまでリスクの軽減と管理を行うためのワークフローを計画するのに役立ちます。

Cloud Discovery エグゼクティブ レポートを生成するには:

  1. Microsoft 365 Defender ポータルの [クラウド アプリ] で、[Cloud Discovery] を選択します。

  2. [Cloud Discovery] ページで、[アクション]>[Cloud Discovery エグゼクティブ レポートを生成] の順に選択します。

  3. 必要に応じて、レポート名を変更し、[生成] を選択します。

エンティティの除外

ノイズは多いが興味のないシステム ユーザー、IP アドレス、デバイス、またはシャドウ IT レポートに表示すべきでないエンティティがある場合は、分析される Cloud Discovery データからそれらのデータを除外することができます。 たとえば、ローカル ホストから発信されるすべての情報を除外したい場合があります。

除外を作成するには:

  1. Microsoft Defender ポータルで、[設定]>[クラウド アプリ]>[Cloud Discovery]>[エンティティを除外] の順に選択します。

  2. [除外されたユーザー][除外されたグループ][除外された IP アドレス]、または [除外されたデバイス] タブのいずれかを選択し、[+追加] ボタンをクリックして除外対象を追加します。

  3. ユーザーのエイリアス、IP アドレス、またはデバイス名を追加します。 除外した理由についての情報を追加することをお勧めします。

    除外されたユーザーのスクリーンショット。

Note

すべてのエンティティの除外は、新しく受信したデータにのみ適用されます。 除外されたエンティティの履歴データは、保持期間 (90 日) まで残ります。

継続的レポートの管理

カスタムの継続的レポートを使用すると、組織の Cloud Discovery ログ データを詳細に監視できます。 カスタム レポートを作成し、特定の地理的な場所、ネットワークとサイト、または組織単位をフィルター処理します。 既定では、Cloud Discovery レポート セレクターには次のレポートのみが表示されます。

  • グローバル レポートでは、ログに含まれるすべてのデータ ソースからポータルに収集されたデータが、統合表示されます。 グローバル レポートには、Microsoft Defender for Endpoint からのデータは含まれません。

  • データ ソースごとのレポートには、特定のデータ ソースの情報のみが表示されます。

新しい継続的レポートを作成するには:

  1. Microsoft Defender ポータルで、[設定]>[クラウド アプリ]>[Cloud Discovery]>[継続的レポート]>[レポートを柵瀬] の順に選択します。

  2. レポート名を入力します。

  3. 含めるデータ ソースを選択します (全部または一部)。

  4. データに必要なフィルターを設定します。 これらのフィルターには、[ユーザー グループ][IP アドレス タグ][IP アドレスの範囲] があります。 IP アドレス タグと IP アドレスの範囲の使用方法の詳細については、「Organize the data according to your needs (必要に応じてデータを整理する)」を参照してください。

    カスタムの継続的レポートの作成を示すスクリーンショット。

Note

すべてのカスタム レポートは、圧縮されていないデータで最大 1 GB までに制限されます。 1 GB を超えるデータがある場合は、最初の 1 GB のデータがレポートにエクスポートされます。

Cloud Discovery データの削除

次の場合、クラウド検出データを削除することをお勧めします。

  • ログ ファイルの手動アップロードし、長い時間が経過してから新しいログ ファイルでシステムを更新したが、その結果に古いデータからの影響を与えたくない場合。

  • 新しいカスタム データ ビューを設定した場合、それ以後は新しいデータのみが適用対象となります。 このような場合、古いデータを消去してから再びログ ファイルをアップロードすることで、そのログ ファイル データ内のイベントのみが取得されるカスタム データ ビュー有効化できます。

  • 多くのユーザーまたは IP アドレスが、しばらくオフラインであった後に最近作業を開始した際に、それらのアクティビティが異常と識別され、擬陽性が発生する場合があります。

重要

実行する前に、データを削除してください。 このアクションは不可逆的であり、システム内のすべての Cloud Discovery データを削除します。

Cloud Discovery データを削除するには:

  1. Microsoft Defender ポータルで、[設定]>[クラウド アプリ]>[Cloud Discovery]>[データを削除] の順に選択します。

  2. 削除 ボタンを選択します。

    Cloud Discovery データの削除のスクリーンショット。

Note

すぐには削除されず、削除処理には数分かかります。

次のステップ

Cloud Discovery のスナップショット レポートを作成する

継続的なレポートのために自動ログ アップロードを構成する

Cloud Discovery データでの作業

Microsoft Defender for Endpoint の統合を使用してアプリを検出する