Использование панели управления активности приложений

Эта статья объясняет, как пользоваться панелью управления активностями приложений для мониторинга активностей в SaaS-приложениях. Панель управления активностями приложений является вкладкой в мониторинге приложений в приложении управления Cato (CMA).

Обзор

Панель управления активностью приложений обеспечивает централизованную и всестороннюю видимость активностей пользователей в используемых в вашей экосистеме SaaS-приложениях. Панель содержит данные из нескольких функций для объединения санкционированных и несанкционированных приложений, которые отслеживаются как встроенно, так и внеполосно. Это позволяет обнаруживать любые аномалии, обеспечивать соответствие и оптимизировать реакцию на инциденты с единой панели.

Панель управления активностью приложений позволяет мониторить:

Активность пользователей в теневом IT и санкционированных приложениях
- На основе инспекции трафика в соответствии с вашей Политикой контроля приложений вы можете посмотреть активности каждого пользователя
- Эти данные отображаются на панели мониторинга облачной активности только если включены Контроль приложений и инспекция TLS
- Для получения дополнительной информации см. Cloud Access Security Broker (CASB)
Каждую активность нерегулируемых и управляемых пользователей
- На основе интеграции API с разрешенными приложениями
- Для получения дополнительной информации см. What is App Activities
Входы в разрешенные приложения
- На основе пользователей, входящих в приложение через SSO и API интеграции с вашим поставщиком идентификационных данных
- Поддерживается для Microsoft Entra ID
- Для получения дополнительной информации см. Configuring the Microsoft Entra ID (Azure AD) Connector и Configuring the Microsoft Entra ID Protection Connector for Sign-In Anomaly Data

Примечание

Примечание: Некоторые виджеты на панели управления требуют, чтобы Контроль приложений был включен с правилом, которое мониторит всю облачную активность во всех облачных приложениях.

Доступ к панели управления активностями приложения

Панель управления активностями приложения — это вкладка внутри мониторинга приложений в Приложении Управления Cato (CMA). Для получения дополнительной информации о других вкладках, смотрите Использование панели управления приложениями.

Чтобы получить доступ к панели управления активностями приложения:

С меню навигации нажмите Безопасность > Приложения.
Нажмите вкладку Активности.

Понимание общих компонентов панели управления активностью приложения

Виджеты в разделе Аудиторские действия содержат два компонента, которые помогают определить тенденции использования:

Переключение Встроенные/API: Этот переключатель переключает данные между приложениями, отслеживаемыми встроенно, и приложениями, отслеживаемыми через API.
Индикатор роста/снижения: Если конкретная метрика изменяется более чем на 100% за определенный период, рядом с метрикой появляется стрелка. Если было увеличение, рядом появляется красная стрелка, указывающая вверх. Если есть снижение, появляется зеленая стрелка, указывающая вниз. Наведя курсор на метрику, вы можете увидеть точное процентное изменение.
Категории активностей: Активности, выполненные в приложении, сгруппированы в Категории активностей на панели. Это позволяет отслеживать, фильтровать и визуализировать активность в SaaS приложениях, чтобы эффективно управлять и исследовать поведение пользователей. Для получения дополнительной информации см. What is Application Control via API with Audit Activities?.

Пользовательские примеры

Это примеры аналитики, которую вы можете получить из виджетов панели управления активностью приложения:

Подозрительные загрузки: Обнаружение больших или необычных загрузок данных. Например, конкретный сотрудник скачивает значительно больше данных, чем обычно, что может указывать на эксфильтрацию данных или внутренние угрозы.
Изменения разрешений: Отслеживание и обзор случаев, когда разрешения пользователей изменяются, помогая выявлять несанкционированный доступ или повышение привилегий.

Начинаем с панели управления активностями приложения

Панель управления активностью приложения делится на три раздела:

Обзор: Обобщённая информация о количестве приложений, используемых в вашей экосистеме
Аудиторские действия: Сводка принятых мер, приложений, которые были вовлечены, и пользователей, которые их выполняли как для встроенных, так и для внеполосных приложений.
Входы через SSO: Видимость для событий входа через SSO в арендатора Microsoft Entra ID вашей организации

Эти таблицы объясняют виджеты в панели управления активностями приложения.

Понимание раздела Обзор

Эта таблица объясняет виджеты в разделе Обзор:

Имя	Описание
Приложения, отслеживаемые в режиме inline	Количество приложений, отслеживаемых решением CASB от CATO. Это значение не изменяется при изменении диапазона времени или фильтра.
Приложения, отслеживаемые через API	Количество приложений, отслеживаемых через API. Это значение не изменяется при изменении диапазона времени или фильтра.
Несанкционированные	Количество несанкционированных приложений, используемых в вашем аккаунте. Это значение не изменяется при изменении диапазона времени или фильтра.
Доступ вне Cato	Количество приложений, доступ к которым осуществлен вне Cato (например, в облачных приложениях – отображаются только при настройке EntraID).

Понимание раздела Аудиторские действия

Эта таблица объясняет виджеты в разделе Аудиторские действия:

Имя	Описание
Активность во времени	Частота возникновения каждой категории активностей в течение диапазона времени и фильтра.
Пользователи	Частота, с которой каждый пользователь завершил активность.
Распределение активностей	Распределение каждой активности как процент от общего числа активностей.
Приложения	Частота, с которой активность произошла в каждом приложении.
Файлы	Файлы, которые были загружены или скачаны.

Понимание раздела для аномальной активности SaaS

Раздел аномальной активности SaaS содержит два виджета: Наблюдения по SaaS, которые отображают количество событий аномальной активности по заголовку или серьезности. Виджет Приложения отображает приложения, в которых была обнаружена аномальная активность SaaS.

Понимание раздела Входы через SSO

Эта таблица объясняет виджеты в разделе Входы через SSO:

Имя	Описание
Активность входа в санкционированные приложения	Показывает информацию о входе в систему через SSO для всех санкционированных SaaS-приложений вашей организации, использующих SSO. Вы можете нажать на строку приложения, чтобы отобразить страницу Событий с предварительной фильтрацией по событиям входа для данного приложения. Это столбцы виджета: # Входов в систему - Общее количество входов в приложение, включая успешные и неудачные # Вне Cato - Указывает пользователей, которые аутентифицировались в приложении напрямую через общедоступный Интернет и не через облако Cato. Трафик приложения через общедоступный интернет не защищен службами безопасности Cato Cloud. # Неудачных попыток входа - Количество неудачных попыток входа в приложение # Арендаторов - Количество арендаторов Microsoft Entra ID, связанных с входами в это приложение. Это число может включать арендаторов, внешних по отношению к вашей организации, если вы настроили доступ внешнего ID между арендаторами, и вход в систему был выполнен из внешнего источника. Наведите мышку на количество арендаторов, затем наведите на подсказку, чтобы отобразить ID арендаторов, как они появляются в событиях входа для приложения. Вы можете использовать ID арендатора, чтобы фильтровать страницу Событий и показывать события для этого арендатора. Если вход был выполнен из внешнего источника, вы можете использовать ID арендатора, чтобы посмотреть детали связанного события о внешнем источнике Нажмите на строку приложения, чтобы отобразить страницу Событий с предварительной фильтрацией по событиям входа для данного приложения
Категории активностей по странам	Показывает следующую информацию о входах из каждой страны: # Вход - Общее количество входов для страны, включая успешные и неудачные входы # Неудачные входы - Количество неудачных попыток входа для страны
Топ пользователей с неудачными входами	Список пользователей с наибольшим количеством неудачных входов для одного приложения, с названием приложения и количеством неудачных входов.
Топ входов вне Cato	Список пользователей с наибольшим количеством входов для одного приложения вне, с названием приложения и количеством неудачных входов.
Лучшие аномалии при входе в систему	Список пользователей с наибольшим количеством аномалий при входе.
Активность входа в систему со временем	Демонстрирует общее количество входов и неудачные входы на хронологии Подведите мышь к графику, чтобы показать подробности входа для точки на хронологии Нажмите на переключатель, чтобы показать или скрыть график Нажмите и перетащите, чтобы увеличить: Время входов Количество входов
Аномалии	Аномальные входы в ваш арендатор Entra ID, которые могут указывать на вредоносную активность. Типы аномалий включают: нетипичное путешествие, аномальный токен, подозрительный браузер, непривычные параметры входа, вредоносный IP-адрес, подозрительные правила манипуляции с почтовым ящиком, атаки методом подборки пароля, невозможное путешествие, новая страна, активность с анонимного IP-адреса, подозрительная переадресация почты, массовый доступ к конфиденциальным файлам, подтвержденный IP-адрес злоумышленника, обнаружен дополнительный риск, анонимный IP-адрес, администратор подтвердил, что пользователь компрометирован, угрозы Microsoft Entra.
Распределение входов по операционным системам	Показывает количество входов в приложения, выполненных на каждой операционной системе. Наведите курсором мыши на раздел диаграммы, чтобы отобразить количество входов для этой операционной системы и его процент от общего количества входов.
Распределение входов по браузерам	Показывает количество входов в приложения, выполненных на каждом браузере. Наведите курсором мыши на раздел диаграммы, чтобы отобразить количество входов для этого браузера и его процент от общего количества входов.