Del via

Jagt efter trusler i appaktiviteter

  • Artikel

Apps kan være et værdifuldt indgangspunkt for hackere, så vi anbefaler, at du overvåger uregelmæssigheder og mistænkelig adfærd, der bruger apps. Når du undersøger en besked om appstyring eller gennemgår appens funktionsmåde i miljøet, bliver det vigtigt hurtigt at få indsigt i detaljer om aktiviteter, der udføres af sådanne mistænkelige apps, og udføre afhjælpningshandlinger for at beskytte aktiver i din organisation.

Ved hjælp af appstyring og avancerede jagtfunktioner kan du få fuldstændig indsigt i aktiviteter, der udføres af appsene, og de ressourcer, appen har fået adgang til.

I denne artikel beskrives det, hvordan du kan forenkle appbaseret trusselsjagt ved hjælp af appstyring i Microsoft Defender for Cloud Apps.

Trin 1: Find appen i appstyring

Siden Defender for Cloud Apps Appstyring viser alle Microsoft Entra ID OAuth-apps.

Hvis du vil have flere oplysninger om de data, en bestemt app har adgang til, kan du søge efter den pågældende app på applisten i styring af apps. Alternativt kan du bruge filtrene Dataforbrug eller Tjenester, du har adgang til, til at få vist apps, der har adgang til data på en eller flere af de understøttede Microsoft 365-tjenester.

Trin 2: Få vist data, der er tilgået af apps

  1. Når du har identificeret en app, skal du vælge appen for at åbne ruden med oplysninger om appen.
  2. Vælg fanen Dataforbrug i ruden med appoplysninger for at få vist oplysninger om størrelsen og antallet af ressourcer, som appen har fået adgang til inden for de seneste 30 dage.

Det kan f.eks. være:

Skærmbillede af ruden med appoplysninger med oplysninger om dataforbrug.

Appstyring giver dataanvendelsesbaseret indsigt i ressourcer, f.eks. mails, filer og chat- og kanalmeddelelser på tværs af Exchange Online, OneDrive, SharePoint og Teams.

Når du har et overordnet overblik over de data, der bruges af appen på tværs af tjenester og ressourcer, kan du få oplysninger om appaktiviteterne og de ressourcer, den har adgang til, mens du udfører disse aktiviteter.

  1. Vælg ikonet for jagt på gå-jagt ud for hver ressource for at få vist detaljer om de ressourcer, appen har fået adgang til inden for de seneste 30 dage. Der åbnes en ny fane, der omdirigerer dig til siden Avanceret jagt med en forudindstillet KQL-forespørgsel.
  2. Når siden er indlæst, skal du vælge knappen Kør forespørgsel for at køre KQL-forespørgslen og få vist resultaterne.

Når forespørgslen er kørt, vises forespørgselsresultaterne i tabelformat. Hver række i tabellen svarer til en aktivitet, der udføres af appen for at få adgang til den specifikke ressourcetype. Hver kolonne i tabellen indeholder omfattende kontekst om selve appen, ressourcen, brugeren og aktiviteten.

Når du f.eks. vælger ikonet for jagt på jagt efter apps ud for mailressourcen , kan du bruge appstyring til at få vist følgende oplysninger om alle de mails, appen har fået adgang til inden for de seneste 30 dage i Avanceret jagt:

  • Detaljer om mailen: InternetMessageId, NetworkMessageId, Emne, Afsendernavn og adresse, Modtageradresse, Antal vedhæftede filer og UrlCount
  • Appdetaljer: OAuthApplicationId for den app, der bruges til at sende eller få adgang til mailen
  • Brugerkontekst: ObjectId, AccountDisplayName, IPAddress og UserAgent
  • Kontekst for appaktivitet: OperationType, Tidsstempel for aktiviteten, arbejdsbelastning

Det kan f.eks. være:

Skærmbillede af siden Avanceret jagt for mails.

På samme måde kan du bruge ikonet for jagt på farten i appstyring for at få oplysninger om andre understøttede ressourcer, f.eks. filer, chatbeskeder og kanalmeddelelser. Brug ikonet for jagt på farten ud for en hvilken som helst bruger under fanen Brugere i ruden med appoplysninger for at få oplysninger om alle de aktiviteter, som appen har udført i konteksten af en bestemt bruger.

Det kan f.eks. være:

Skærmbillede af siden Avanceret jagt for brugere.

Trin 4: Anvend avancerede jagtegenskaber

Brug siden Avanceret jagt til at ændre eller justere en KQL-forespørgsel for at hente resultater baseret på dine specifikke krav. Du kan vælge at gemme forespørgslen for fremtidige brugere eller dele et link med andre i din organisation eller eksportere resultaterne til en CSV-fil.

Du kan finde flere oplysninger under Proaktiv jagt efter trusler med avanceret jagt i Microsoft Defender XDR.

Kendte begrænsninger

Når du bruger siden Avanceret jagt til at undersøge data fra appstyring, kan du opleve uoverensstemmelser i dataene. Disse uoverensstemmelser kan skyldes en af nedenstående årsager:

  • Appstyring og avancerede jagtprocesdata separat. Eventuelle problemer, der opstår i en af løsningerne under behandlingen, kan resultere i en uoverensstemmelse.

  • Databehandling af appstyring kan tage flere timer længere tid at fuldføre. På grund af denne forsinkelse dækker den muligvis ikke den seneste appaktivitet, der er tilgængelig på Avanceret jagt.

  • De angivne avancerede jagtforespørgsler er angivet til kun at vise 1k resultater. Selvom du kan redigere en forespørgsel for at få vist flere resultater, vil Avanceret jagt stadig anvende en maksimumgrænse på 10.000 resultater. Appstyring har ikke denne grænse.

Næste trin

Undersøg og afhjælp risikable OAuth-apps