Sdílet prostřednictvím

Denní provozní příručka – Microsoft Defender for Cloud Apps

  • Článek

Tento článek obsahuje seznam každodenních provozních aktivit, které doporučujeme provádět s Defender for Cloud Apps.

Kontrola výstrah a incidentů

Výstrahy a incidenty jsou dvě z nejdůležitějších položek, které by měl váš tým SOC (Security Operations) každý den kontrolovat.

  • Pravidelně roztřižujte incidenty a výstrahy z fronty incidentů v Microsoft Defender XDR a upřednostňují výstrahy s vysokou a střední závažností.

  • Pokud pracujete se systémem SIEM, je váš systém SIEM obvykle první zastávkou pro třídění. Systémy SIEM poskytují více kontextu s dalšími protokoly a funkcemi SOAR. Pak použijte Microsoft Defender XDR k hlubšímu porozumění časové ose výstrahy nebo incidentu.

Určení priorit incidentů z Microsoft Defender XDR

Kde: V Microsoft Defender XDR vyberte Incidenty & výstrahy.

Persona: SOC analysts

Při třídění incidentů:

  1. Na řídicím panelu incidentů vyfiltrujte následující položky:

    Filtr Hodnoty
    Stav Nové, Probíhá
    Závažnost Vysoká, Střední, Nízká
    Zdroj služby Nechte zaškrtnuté všechny zdroje služeb. Kontrola všech zdrojů služeb by měla obsahovat nejpřesnější výstrahy s korelací mezi ostatními úlohami Microsoft XDR. Výběrem Defender for Cloud Apps zobrazíte položky, které pocházejí konkrétně z Defender for Cloud Apps.

  2. Výběrem jednotlivých incidentů zkontrolujte všechny podrobnosti. Zkontrolujte všechny karty incidentu, protokol aktivit a rozšířené proaktivní vyhledávání.

    Na kartě Důkaz a odpověď na incidentu vyberte jednotlivé položky důkazů. Vyberte nabídku > možností Prozkoumat a pak podle potřeby vyberte Protokol aktivit nebo Přejít do vyhledávání.

  3. Vyřešte své incidenty. U každého incidentu vyberte Spravovat incident a pak vyberte jednu z následujících možností:

    • Pravdivě pozitivní
    • Falešně pozitivní
    • Informační, očekávaná aktivita

    U pravdivých výstrah zadejte typ ošetření, který vašemu bezpečnostnímu týmu pomůže zobrazit vzory hrozeb a chránit vaši organizaci před riziky.

  4. Až budete připraveni zahájit aktivní šetření, přiřaďte incident uživateli a aktualizujte stav incidentu na Probíhá.

  5. Při nápravě incidentu vyřešte všechny propojené a související aktivní výstrahy.

Další informace najdete tady:

Určení priorit incidentů ze systému SIEM

Persona: SOC analysts

Předpoklady: Musíte být připojeni k systému SIEM a doporučujeme integraci s Microsoft Sentinel. Další informace najdete tady:

Integrace Microsoft Defender XDR s Microsoft Sentinel umožňuje streamovat všechny incidenty Microsoft Defender XDR do Microsoft Sentinel a udržovat je synchronizované mezi oběma portály. Microsoft Defender XDR incidenty v Microsoft Sentinel zahrnovat všechny související výstrahy, entity a relevantní informace, které poskytují dostatečný kontext pro posouzení a zahájení předběžného šetření.

Po Microsoft Sentinel zůstanou incidenty synchronizované s Microsoft Defender XDR, abyste při vyšetřování mohli používat funkce z obou portálů.

  • Při instalaci datového konektoru Microsoft Sentinel pro Microsoft Defender XDR nezapomeňte zahrnout možnost Microsoft Defender for Cloud Apps.
  • Zvažte použití rozhraní API pro streamování k odesílání dat do centra událostí, kde je můžete využívat prostřednictvím libovolného partnerského SIEM s konektorem centra událostí nebo je umístit do služby Azure Storage.

Další informace najdete tady:

Kontrola dat detekce hrozeb

Kde: Na portálu Microsoft Defender XDR vyberte:

  • Incidenty & výstrahy
  • Zásady cloudových aplikací > – > Správa zásad – Detekce > hrozeb
  • Aplikace Oauth pro cloudové aplikace >

Persona: Správci zabezpečení a analytici SOC

Detekce hrozeb v cloudových aplikacích je místo, kde se mnoho analytiků SOC zaměřuje na své každodenní aktivity a identifikuje vysoce rizikové uživatele, kteří vykazují neobvyklé chování.

Defender for Cloud Apps detekce hrozeb využívá analýzu hrozeb Microsoftu a data průzkumu zabezpečení. Výstrahy jsou dostupné v Microsoft Defender XDR a měly by se pravidelně kontrolovat podle jejich priorit.

Když se správci zabezpečení a analytici SOC zabývají výstrahami, zpracovávají následující hlavní typy zásad detekce hrozeb:

Osoba: Správce zabezpečení

Nezapomeňte vytvořit zásady ochrany před hrozbami, které vaše organizace potřebuje, včetně zpracování všech požadavků.

Kontrola zásad správného řízení aplikací

Kde: Na portálu Microsoft Defender XDR vyberte:

  • Incidenty & výstrahy
  • Incidenty & výstrahy / Zásady správného řízení aplikací

Persona: SOC analysts

Zásady správného řízení aplikací nabízejí podrobný přehled a kontrolu nad aplikacemi OAuth. Zásady správného řízení aplikací pomáhají bojovat proti stále sofistikovanějším kampaním, které využívají aplikace nasazené místně i v cloudových infrastrukturách a vytváří výchozí bod pro eskalaci oprávnění, laterální pohyb a exfiltraci dat.

Zásady správného řízení aplikací se poskytují společně s Defender for Cloud Apps. Výstrahy jsou k dispozici také v Microsoft Defender XDR a měly by se pravidelně kontrolovat podle jejich priorit.

Další informace najdete tady:

Kontrola stránky přehledu zásad správného řízení aplikací

Kde: Na portálu Microsoft Defender XDR vyberte:

  • Incidenty & výstrahy
  • Cloud Apps > Přehled zásad správného řízení > aplikací

Persona: SoC analysts and Security administrator

Doporučujeme, abyste provedli rychlé každodenní vyhodnocení stavu dodržování předpisů vašich aplikací a incidentů. Zkontrolujte například následující podrobnosti:

  • Počet privilegovaných nebo vysoce privilegovaných aplikací
  • Aplikace s neověřeným vydavatelem
  • Využití dat pro služby a prostředky, ke kterým se přistupovalo pomocí Graph API
  • Počet aplikací, které přistupovaly k datům s nejběžnějšími popisky citlivosti
  • Počet aplikací, které přistupovaly k datům s popisky citlivosti a bez nich ve službách Microsoftu 365
  • Přehled incidentů souvisejících se zásadami správného řízení aplikací

Na základě dat, která zkontrolujete, můžete chtít vytvořit nové zásady správného řízení nebo upravit zásady správného řízení aplikací.

Další informace najdete tady:

Kontrola dat aplikace OAuth

Kde: Na portálu Microsoft Defender XDR vyberte:

  • Incidenty & výstrahy
  • Cloudové aplikace > Azure AD zásad správného řízení > aplikací

Doporučujeme denně kontrolovat seznam aplikací s podporou OAuth spolu s relevantními metadaty aplikace a daty o využití. Výběrem aplikace zobrazíte podrobnější přehledy a informace.

Zásady správného řízení aplikací používají algoritmy detekce založené na strojovém učení k detekci neobvyklého chování aplikací ve vašem Microsoft Defender XDR tenantovi a generují výstrahy, které můžete zobrazit, prozkoumat a vyřešit. Kromě této integrované funkce detekce můžete použít sadu výchozích šablon zásad nebo vytvořit vlastní zásady aplikací, které generují další upozornění.

Další informace najdete tady:

Vytváření a správa zásad správného řízení aplikací

Kde: Na portálu Microsoft Defender XDR vyberte Cloudové aplikace > Zásady správného řízení > aplikací.

Osoba: Správci zabezpečení

Doporučujeme denně kontrolovat aplikace OAuth, abyste měli pravidelný podrobný přehled a kontrolu. Generování upozornění na základě algoritmů strojového učení a vytváření zásad aplikace pro zásady správného řízení aplikací

Další informace najdete tady:

Kontrola řízení podmíněného přístupu k aplikacím

Kde: Na portálu Microsoft Defender XDR vyberte:

  • Incidenty & výstrahy
  • Zásady cloudových aplikací > – > Správa zásad > – Podmíněný přístup

Pokud chcete nakonfigurovat řízení podmíněného přístupu k aplikacím, vyberte Nastavení > Cloudové aplikace > Řízení podmíněného přístupu k aplikacím.

Osoba: Správce zabezpečení

Řízení podmíněného přístupu k aplikacím umožňuje monitorovat a řídit přístup k uživatelským aplikacím a relacím v reálném čase na základě zásad přístupu a relací.

Vygenerované výstrahy jsou k dispozici v Microsoft Defender XDR a měly by se pravidelně kontrolovat podle jejich priorit.

Ve výchozím nastavení nejsou nasazené žádné zásady přístupu ani relací, a proto nejsou k dispozici žádná související upozornění. Můžete připojit libovolnou webovou aplikaci pro práci s ovládacími prvky přístupu a relací, Microsoft Entra ID aplikace se automaticky onboardují. Podle potřeby vaší organizace doporučujeme vytvořit zásady relací a přístupu.

Další informace najdete tady:

Persona: Správce SOC

Doporučujeme denně kontrolovat upozornění řízení podmíněného přístupu k aplikacím a protokol aktivit. Protokoly aktivit můžete filtrovat podle zdroje, řízení přístupu a řízení relací.

Další informace najdete v tématu Kontrola výstrah a incidentů.

Kontrola stínového IT – Cloud Discovery

Kde: Na portálu Microsoft Defender XDR vyberte:

  • Incidenty & výstrahy
  • Cloudové aplikace > Cloud Discovery / Katalog cloudových aplikací
  • Zásady cloudových > aplikací > – Správa > zásad – Stínové IT

Osoba: Správci zabezpečení

Defender for cloud apps analyzuje protokoly provozu s katalogem cloudových aplikací více než 31 000 cloudových aplikací. Aplikace jsou seřazené a hodnocené na základě více než 90 rizikových faktorů, které poskytují průběžný přehled o používání cloudu, stínovém IT a rizicích, která stínové IT představuje pro vaši organizaci.

Výstrahy související s cloud discovery jsou k dispozici v Microsoft Defender XDR a měly by se pravidelně kontrolovat podle priorit.

Vytvořte zásady zjišťování aplikací, které spustí upozorňování a označování nově zjištěných aplikací na základě určitých podmínek, jako jsou skóre rizika, kategorie a chování aplikací, jako je denní provoz a stažené data.

Tip

Doporučujeme integrovat Defender for Cloud Apps s Microsoft Defender for Endpoint, abyste mohli objevovat cloudové aplikace mimo podnikovou síť nebo zabezpečené brány a na koncových bodech používat akce zásad správného řízení.

Další informace najdete tady:

Persona: Správci zabezpečení a dodržování předpisů, analytici SOC

Pokud máte velký počet zjištěných aplikací, můžete použít možnosti filtrování, abyste se dozvěděli více o zjištěných aplikacích.

Další informace najdete v tématu Filtry a dotazy zjištěných aplikací v Microsoft Defender for Cloud Apps.

Kontrola řídicího panelu Cloud Discovery

Kde: Na portálu Microsoft Defender XDR vyberte Řídicí panel Cloud Discovery > cloudových aplikací>.

Persona: Správci zabezpečení a dodržování předpisů, analytici SOC

Doporučujeme denně kontrolovat řídicí panel cloud discovery. Řídicí panel Cloud Discovery je navržený tak, aby vám poskytl lepší přehled o tom, jak se cloudové aplikace používají ve vaší organizaci, a nabízí přehled o tom, jaké děti se používají aplikace, vaše otevřená upozornění a úrovně rizik aplikací ve vaší organizaci.

Na řídicím panelu Cloud Discovery:

  1. Pomocí widgetů v horní části stránky porozumíte celkovému využití cloudových aplikací.

  2. Vyfiltrujte grafy řídicího panelu tak, aby se vygenerovala konkrétní zobrazení v závislosti na vašem zájmu. Příklady:

    • Seznamte se s hlavními kategoriemi aplikací používaných ve vaší organizaci, zejména u schválených aplikací.
    • Zkontrolujte riziková skóre zjištěných aplikací.
    • Vyfiltrujte zobrazení, abyste viděli své aplikace v konkrétních kategoriích.
    • Zobrazte hlavní uživatele a IP adresy a identifikujte uživatele, kteří jsou nejdomnějšími uživateli cloudových aplikací ve vaší organizaci.
    • Zobrazte si data aplikací na mapě světa, abyste pochopili, jak se zjištěné aplikace šíří podle zeměpisné polohy.

Po prostudování seznamu zjištěných aplikací ve vašem prostředí doporučujeme, abyste své prostředí zabezpečili schválením bezpečných aplikací (schválené aplikace), zákazem nežádoucích aplikací (neschválené aplikace) nebo použitím vlastních značek.

Můžete také chtít proaktivně kontrolovat a používat značky u aplikací dostupných v katalogu cloudových aplikací předtím, než je zjistíte ve vašem prostředí. Abyste mohli tyto aplikace lépe řídit, vytvořte relevantní zásady cloud discovery aktivované konkrétními značkami.

Další informace najdete tady:

Tip

V závislosti na konfiguraci vašeho prostředí můžete těžit z bezproblémového a automatizovaného blokování nebo dokonce funkcí upozornění a informování, které poskytuje Microsoft Defender for Endpoint. Další informace najdete v tématu Integrace Microsoft Defender for Endpoint s Microsoft Defender for Cloud Apps.

Kontrola ochrany informací

Kde: Na portálu Microsoft Defender XDR vyberte:

  • Incidenty & výstrahy
  • Soubory cloudových aplikací >
  • Zásady > cloudových aplikací > – Správa zásad – > Ochrana informací

Persona: Správci zabezpečení a dodržování předpisů, analytici SOC

Defender for Cloud Apps zásady souborů a upozornění umožňují vynucovat širokou škálu automatizovaných procesů. Vytvořte zásady pro zajištění ochrany informací, včetně průběžných kontrol dodržování předpisů, právních úloh eDiscovery a ochrany před únikem informací (DLP) pro veřejně sdílený citlivý obsah.

Kromě třídění výstrah a incidentů doporučujeme, aby týmy SOC spouštěly další proaktivní akce a dotazy. Na stránce Soubory cloudových aplikací > zkontrolujte následující otázky:

  • Kolik souborů je veřejně sdíleno, aby k nim kdokoli měl přístup bez odkazu?
  • Se kterými partnery sdílíte soubory pomocí odchozího sdílení?
  • Mají některé soubory citlivé názvy?
  • Sdílí se některé soubory s něčím osobním účtem?

Výsledky těchto dotazů použijte k úpravě existujících zásad souborů nebo k vytvoření nových zásad.

Další informace najdete tady:

Související obsah

Microsoft Defender for Cloud Apps provozní příručka