內建報告參考資料

 

適用於: Microsoft Cloud App Security

建議您使用內建報告作為起點建立自訂報告,有點像您的自訂報告根據的範本。- 下表提供一份內建報告的清單,以及您可能想要用它們來監視的事件類型。-

報告類型內建報告名稱-描述
安全性活動 (依位置)此報告會列出您雲端應用程式之活動的起始國家/地區,以及代表每個國家/地區活動量的不同參數,例如事件數目、使用者數目等。請使用它來取得使用者的地理分布概觀。
安全性活動來源 (依使用者)從數個位置在雲端環境中執行活動,或使用過多 IP 位址數量的使用者。 這些使用者可能出差中,但是也有可能他們的認證遭到誤用。
安全性瀏覽器利用瀏覽器攻擊是最常見的攻擊方式。- 廠商投資龐大的資源來保護瀏覽軟體,並建立有效的更新機制將更新傳播至端點。 若使用更新已到期很久的已過時瀏覽器,會使得它成為威脅行動者以可用的入侵套件來進行攻擊的輕鬆目標。 這份報告列出過去 30 天內使用者用來存取您雲端服務的瀏覽器。
安全性IP 位址此報告會列出裝置用來在由 Cloud App Security 保護之雲端環境中執行活動的 IP 位址。 報告是根據 Cloud App Security 所累積的稽核記錄檔。 IP 位址通常與地理位置和來源組織相關聯。 您可以使用此報告來找出連接到您受保護服務的可疑 IP 位址。 您可以按一下每個 IP 位址的稽核記錄檔,即可加以檢視。
安全性IP 位址 - 具權限的帳戶此報告會列出裝置用來在 Cloud App Security 保護之雲端環境中執行系統管理活動的 IP 位址。 報告是根據 Cloud App Security 所累積的稽核記錄檔。 IP 位址通常與地理位置和來源組織相關聯。 您可以使用此報告來找出連接到您受保護服務的可疑 IP 位址。 您可以按一下每個 IP 位址的稽核記錄檔,即可加以檢視。
安全性使用的 OS作業系統 (OS) 安全性缺陷很容易導致非常危險的漏洞。 廠商投資龐大的資源來保護作業系統,並建立有效的更新機制將更新傳播至端點。 不過,不包含在更新機制中且已不支援的已過時作業系統,會成為威脅行動者以可用的入侵套件來進行攻擊的輕鬆目標。 這份報告列出過去 30 天內使用者用來存取您雲端服務的作業系統。
安全性純遠端使用者下列使用者永遠不會與公司內的另一位員工共用 IP 位址。 這是遠端團隊或員工、承包商和外部支援服務的特性。 不過,這也可能表示攻擊者所留下的後門程式使用者。
使用者管理雲端應用程式概觀此報告會列出您的雲端應用程式,以及代表每個應用程式中之活動量的不同參數,例如檔案數目、使用者數目等。請使用它來取得不同應用程式的概觀,以及使用者使用它們的程度。
使用者管理非使用中帳戶非使用中帳戶是指能存取您雲端執行個體的帳戶,但它們在過去 60 天內未執行任何事件。 這暗示這些帳戶已不再使用,應該暫停它們,以防止威脅行動者或離職員工的未來存取。 遵循此最佳做法不僅提升了安全性狀態,也能降低營運成本。-
使用者管理具權限的使用者此報告會列出在公司服務中已提升權限的使用者,例如系統管理員。 這類具權限的帳戶是威脅行動者慣用的攻擊方式,因為它們可能會允許威脅行動者充分地存取公司資訊和網路組態。 如果有在過去一個月未使用的具權限帳戶,可能表示企業中缺乏 IT 安全性認知,這可能會助長一波資料缺口。 您可以透過稽核記錄進一步研究提高權限之使用者的權限使用情形,並考慮撤銷不必要的權限。
使用者管理具特殊權限的帳戶Salesforce 有幾種類型的具權限帳戶,包括修改所有資料、檢視所有資料和管理所有使用者。 這類具權限的帳戶是威脅行動者慣用的攻擊方式,因為它們可能會允許他們充分地存取公司資訊和組態。
使用者管理使用者登入此報告會詳細列出每個使用者在每個服務中進行的登入嘗試次數、成功登入次數,和失敗登入嘗試百分比。 高百分比的失敗登入嘗試可能表示使用者帳戶在某個時間點遭受攻擊。
管理資料資料保留資料保留原則處理維護您擁有長達預先決定之時間長度的資訊的問題、封存資訊的程序、超過時間限制時終結資訊的指導方針,以及在訴訟時處理資訊的特殊機制。- 資料保留是複雜的平衡動作。 就一方面而言,您需要儲存法律規定以及對您的企業很重要的資訊。 在另一方面,您應該盡快刪除不相關、過時且不具生產力的資料。 使用雲端來儲存資料增加了問題的複雜度。 如同過去的書面資料,雲端資料仍然需要根據法律、商業和個人的需求而保留某段時間期間。 在雲端環境中強制執行資料保留原則的另一項優點,是能夠釋出儲存空間,降低雲端營運成本。 下列報告可讓您查看儲存在雲端環境中的資料,這對於將現有資料保留原則延伸到雲端環境中是極重要的一步。
管理資料資料共用概觀此報告會列出儲存在您雲端服務中的檔案數目,並根據存取權限而區分。 雲端服務讓共用變得很容易,因為易於存取且無所不在。

未與擁有者以外的任何人共用的檔案,稱為私人檔案。 如果共用檔案,Cloud App Security 會區別四種類型的狀態︰

公開共用的 (web) 檔案是不需要驗證,甚至是透過搜尋引擎結果就能存取的檔案。

公開共用檔案是不需要驗證就能使用連結來存取的檔案。

外部共用檔案是可由組織外部人員在向雲端服務驗證自己之後即可存取的檔案。

內部共用檔案是可以由您組織所有或部分使用者存取的檔案。
管理資料副檔名此報告會列出雲端服務中儲存之檔案的副檔名。 請使用它來取得您雲端中的檔案類型概觀,以及它們的共用方式。
管理資料域內共用 (依網域)此報告會列出與您的員工共用檔案的來源網域。 報告中的每個網域會詳細指出哪些共同作業者在共用檔案、共用多少個檔案,以及公司使用者檔案的共用對象。 接受外部共同作業是被動的,因此沒有原則可對您的員工強制執行。 不過,您可能會發現有些檔案應該是公司檔案,但實際上由外部所擁有並透過共用存取,且在最差的情況下,可能透過共用檔案對您的員工發動網路釣魚攻擊。
管理資料孤立檔案此報告會列出不在使用中但在 Cloud App Security 所保護的其中一項雲端服務中仍然擁有檔案的使用者。 這些檔案不受管理,且在違反相容性或原則時無法究責。 應該將它們刪除,或是將擁有權轉移給使用中的使用者。
管理資料域外共用 (依網域)此報告會列出您的員工與其共用公司檔案的網域。 報告中的每個網域會詳細指出哪些公司使用者正與該網域共用檔案、共用了哪些檔案,以及檔案共用對象是哪些共同作業者。 建議您透過每個相關服務之 [服務] 頁面中的 [檔案] 索引標籤來管理與這些網域的共用。
管理資料共用檔案的擁有者此報告會列出正與外界共用公司檔案的使用者。 外部共用檔案會與特定的外部共同作業者共用。 公開共用檔案可供網際網路上的任何人透過私人連結存取,且只有明確公開連結的人可以找到。 公開共用檔案 (網際網路) 可供任何人甚至是透過搜尋引擎結果來於網際網路上存取。 如果您發現共用過多檔案數量的使用者,建議您使用 [檔案] 索引標籤調查這些過多共用權限的本質,並連絡這些使用者來進一步了解他們的外部共用使用情形。
管理資料個人使用者帳戶此報告會列出可以存取 Cloud App Security 所保護之雲端服務檔案的外部使用者帳戶,這些帳戶被懷疑為個人使用者帳戶。 每個個人帳戶的宣稱擁有者會記錄在公司使用者資料行。 配對會使用我們的專屬演算法來計算。 與員工的個人帳戶共用公司資料,會為您的機密資料帶來威脅,如下所示︰

(1) 個人帳戶不是由您的安全性與 IT 小組佈建。 它們可能已在其不知情的情況下遭到入侵,而且它們不受公司的安全性原則 (例如密碼重設) 的限制。

(2) 使用者與其個人帳戶共用公司資料時,可能不像與外部共用作業者共用時那麼小心。

(3) 內部共同作業者可能會受到社交工程攻擊。 攻擊者可能會使用類似如下的其中一個員工名稱帳戶 (例如 john.doe@contoso.com 或 jdoe12@gmail.com),並藉由要求機密資料的權限而獲得存取權。 內部共同作業者可能在不知情的情況下與攻擊者的帳戶共用公司資料。 Cloud App Security 不建議使用個人帳戶。
管理資料機密檔案的名稱此報告會列出需要您留意的檔案,因為根據檔案名稱的啟發式掃描,其共用權限可能不適合其內容。 這種啟發式掃描很有幫助,可以識別機密檔案,而不需要進行完整的內容掃描。 在報告中的每個檔案會被視為機密,因為根據掃描,它已被識別為屬於「類別」資料行中詳述的類別。

控制
如需技術支援,請瀏覽 Cloud App Security 的輔助支援頁面。
Premier 客戶也可以直接從 Premier 支援入口網站選擇 Cloud App Security。

顯示: