Sdílet prostřednictvím

Vyhledávání hrozeb v aktivitách aplikací

  • Článek

Aplikace můžou být pro útočníky cenným vstupním bodem, proto doporučujeme monitorovat anomálie a podezřelé chování, které aplikace používají. Při zkoumání upozornění zásad správného řízení aplikací nebo při kontrole chování aplikace v prostředí je důležité rychle získat přehled o podrobnostech aktivit, které tyto podezřelé aplikace provádějí, a provádět nápravné akce k ochraně prostředků ve vaší organizaci.

Pomocí zásad správného řízení aplikací a pokročilých možností proaktivního vyhledávání můžete získat úplný přehled o aktivitách aplikací a prostředcích, ke které aplikace přistupovaly.

Tento článek popisuje, jak můžete zjednodušit proaktivní vyhledávání hrozeb na základě aplikací pomocí zásad správného řízení aplikací v Microsoft Defender for Cloud Apps.

Krok 1: Vyhledání aplikace v zásadách správného řízení aplikací

Na stránce zásad správného řízení aplikací Defender for Cloud Apps jsou uvedeny všechny aplikace Microsoft Entra ID OAuth.

Pokud chcete získat další podrobnosti o datech, ke kterým konkrétní aplikace přistupuje, vyhledejte tuto aplikaci v seznamu aplikací v části Zásady správného řízení aplikací. Případně můžete použít filtry Využití dat nebo Přístup ke službám k zobrazení aplikací, které mají přístup k datům v jedné nebo několika podporovaných službách Microsoftu 365.

Krok 2: Zobrazení dat přístupných aplikacemi

  1. Jakmile aplikaci identifikujete, vyberte ji a otevřete podokno podrobností o aplikaci.
  2. Výběrem karty Využití dat v podokně podrobností aplikace zobrazíte informace o velikosti a počtu prostředků, ke které aplikace za posledních 30 dnů přistupovala.

Příklady:

Snímek obrazovky s podoknem podrobností o aplikaci s podrobnostmi o využití dat

Zásady správného řízení aplikací poskytují přehledy o využití dat pro prostředky, jako jsou e-maily, soubory a zprávy chatu a kanálu napříč Exchange Online, OneDrivem, SharePointem a Teams.

Jakmile budete mít základní přehled o datech používaných aplikací napříč službami a prostředky, můžete chtít znát podrobnosti o aktivitách aplikace a prostředcích, ke kterým při provádění těchto aktivit přistupovala.

  1. Výběrem ikony go-hunt vedle každého prostředku zobrazíte podrobnosti o prostředcích, ke které aplikace za posledních 30 dnů přistupovala. Otevře se nová karta, která vás přesměruje na stránku Rozšířené proaktivní vyhledávání s předpřipraveným dotazem KQL.
  2. Jakmile se stránka načte, výběrem tlačítka Spustit dotaz spusťte dotaz KQL a zobrazte výsledky.

Po spuštění dotazu se výsledky dotazu zobrazí v tabulkové podobě. Každý řádek v tabulce odpovídá aktivitě, kterou aplikace provádí za účelem přístupu ke konkrétnímu typu prostředku. Každý sloupec v tabulce poskytuje komplexní kontext týkající se samotné aplikace, prostředku, uživatele a aktivity.

Když například vedle prostředku Email vyberete ikonu go-hunt, umožní vám zásady správného řízení aplikací zobrazit následující informace pro všechny e-maily, ke které aplikace v posledních 30 dnech v rozšířeném proaktivním vyhledávání přistupovala:

  • Podrobnosti e-mailu: InternetMessageId, NetworkMessageId, Předmět, Jméno a adresa odesílatele, Adresa příjemce, AttachmentCount a UrlCount
  • Podrobnosti o aplikaci: OAuthApplicationId aplikace použité k odeslání e-mailu nebo přístupu k e-mailu
  • Kontext uživatele: ObjectId, AccountDisplayName, IPAddress a UserAgent
  • Kontext aktivity aplikace: OperationType, Časové razítko aktivity, Úloha

Příklady:

Snímek obrazovky se stránkou rozšířeného vyhledávání pro e-maily

Podobně můžete pomocí ikony go-hunt v zásadách správného řízení aplikací získat podrobnosti o dalších podporovaných prostředcích, jako jsou soubory, zprávy chatu a zprávy kanálu. Pomocí ikony go-hunt vedle libovolného uživatele na kartě Uživatelé v podokně podrobností aplikace získáte podrobnosti o všech aktivitách, které aplikace provádí v kontextu konkrétního uživatele.

Příklady:

Snímek obrazovky se stránkou rozšířeného vyhledávání pro uživatele

Krok 4: Použití pokročilých možností proaktivního vyhledávání

Na stránce Rozšířené proaktivní vyhledávání můžete upravit nebo upravit dotaz KQL tak, aby načítá výsledky na základě vašich konkrétních požadavků. Můžete se rozhodnout uložit dotaz pro budoucí uživatele, sdílet odkaz s ostatními uživateli ve vaší organizaci nebo exportovat výsledky do souboru CSV.

Další informace najdete v tématu Proaktivní vyhledávání hrozeb s pokročilým proaktivním vyhledáváním v Microsoft Defender XDR.

Známá omezení

Při použití stránky rozšířeného proaktivního vyhledávání ke zkoumání dat ze zásad správného řízení aplikací si můžete všimnout nesrovnalostí v datech. Tyto nesrovnalosti můžou být způsobené jedním z následujících důvodů:

  • Zásady správného řízení aplikací a pokročilá data procesu proaktivního vyhledávání zvlášť. Jakékoli problémy, na které při zpracování narazí některé z řešení, můžou vést k nesrovnalostem.

  • Zpracování dat zásad správného řízení aplikací může trvat několik hodin. Kvůli tomuto zpoždění nemusí zahrnovat nedávné aktivity aplikací, které jsou k dispozici v rozšířeném proaktivním vyhledávání.

  • Zadané dotazy rozšířeného proaktivního vyhledávání jsou nastavené tak, aby zobrazovaly pouze 1k výsledků. I když můžete upravit dotaz tak, aby se zobrazilo více výsledků, rozšířené proaktivní vyhledávání stále použije maximální limit 10 tisíc výsledků. Zásady správného řízení aplikací nemají tento limit.

Další kroky

Zkoumání a náprava rizikových aplikací OAuth