Ad hoc-handlingsvejledning – Microsoft Defender for Cloud Apps
Denne artikel indeholder en liste over månedlige driftsaktiviteter, som vi anbefaler, at du udfører med Microsoft Defender for Cloud Apps.
Månedlige aktiviteter kan udføres oftere eller efter behov, afhængigt af dit miljø og dine behov.
Gennemse Microsofts tjenestetilstand
Hvor: Kontrollér følgende placeringer:
- Vælg Tilstand > Tjenestetilstand i Microsoft 365 Administration
- Status for Microsoft 365 Tjenestetilstand
- X: https://twitter.com/MSFT365status
Hvis du oplever problemer med en cloudtjeneste, anbefaler vi, at du kontrollerer opdateringer af tjenestetilstand for at finde ud af, om det er et kendt problem med en igangværende løsning, før du ringer til support eller bruger tid på fejlfinding.
Kør avancerede jagtforespørgsler
Hvor: På Microsoft Defender XDR Portal skal du vælge Avanceret > jagt og forespørgsel om Defender for Cloud Apps data.
Persona: SOC-analytikere
På samme måde som med at gennemgå aktivitetslogge kan avanceret jagt bruges som en planlagt aktivitet ved hjælp af brugerdefinerede registreringer eller ad hoc-forespørgsler til proaktivt at jage efter trusler.
Avanceret jagt er et samlet værktøj, der giver dig mulighed for at jage efter trusler på tværs af Microsoft Defender XDR. Vi anbefaler, at du gemmer ofte anvendte forespørgsler for hurtigere manuel trusselsjagt og afhjælpning.
Følgende eksempelforespørgsler er nyttige, når du forespørger efter Defender for Cloud Apps data:
Søg efter Poster for Office – FileDownloaded Events
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
Søg efter poster af typen Office - MailItemsAccessed Details
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
Søg efter Udtræk aktivitetsobjekters poster
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
Søg efter Microsoft Entra ID – Føj til rolleposter
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
Søg efter Microsoft Entra ID – gruppe tilføjer poster
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
Gennemse fil karantæner
Hvor: På Microsoft Defender XDR-portalen skal du vælge Filer til cloudapps>. Forespørgsel om elementer, hvor True er sat i = karantæne.
Persona: Administratorer af overholdelse af angivne standarder
Brug Defender for Cloud Apps til at registrere uønskede filer, der er gemt i dit cloudmiljø, og som efterlader dig sårbar. Tag øjeblikkelig handling for at stoppe dem i deres spor ved hjælp af Administration karantæne til at låse de filer, der udgør en trussel. Administration karantæne kan hjælpe dig med at beskytte filer i cloudmiljøet, afhjælpe problemer og forhindre, at der opstår fremtidige lækager.
Filer i Administration karantæne kan blive gennemgået som en del af en undersøgelse af vigtige beskeder, og du kan blive bedt om at administrere karantænefiler af hensyn til styring og overholdelse af angivne standarder.
Du kan få flere oplysninger under Forstå, hvordan karantæne fungerer.
Gennemse scorer for app-risiko
Hvor: På Microsoft Defender XDR-portalen skal du vælge Cloud apps > Cloud app-katalog.
Persona: Administratorer af overholdelse af angivne standarder
Kataloget over cloudapps satser risikoen for dine cloudapps baseret på lovmæssig certificering, branchestandarder og bedste praksis. Vi anbefaler, at du gennemgår scoren for hver af appsene i dit miljø for at sikre, at den stemmer overens med virksomhedens regler.
Når du har kontrolleret en apps risikoscore, kan det være en god idé at sende en anmodning om at ændre scoren eller tilpasse risikoscoren i metrikværdier for cloudregistreringsscore>.
Du kan finde flere oplysninger under Find din cloudapp, og beregn risikoscores.
Slet registreringsdata i skyen
Hvor: På Microsoft Defender XDR Portal skal du vælge Indstillinger > Cloudapps > Cloud Discovery > Slet data.
Persona: Administratorer af overholdelse af angivne standarder
Vi anbefaler, at du sletter data fra cloudregistrering i følgende scenarier:
- Hvis du har ældre, manuelt overførte logfiler, og du ikke vil have gamle data, der påvirker dine resultater.
- Når du ønsker, at en ny brugerdefineret datavisning skal indeholde hændelser i alle logfildata, herunder ældre filer. Brugerdefinerede datavisninger gælder kun for nye data, der er tilgængelige fra dette tidspunkt, så vi anbefaler, at du sletter alle gamle data og uploader dem igen for at inkludere dem i brugerdefinerede datavisninger.
- Når mange brugere eller IP-adresser begyndte at arbejde igen efter at have været offline i et stykke tid, skal du slette gamle data for at forhindre, at den nye aktivitet identificeres som unormal med falske positive overtrædelser.
Du kan finde flere oplysninger under Sletning af registreringsdata i skyen.
Generér en executiverapport for cloudregistrering
Hvor: På Microsoft Defender XDR-portalen skal du vælge Cloudapps > Handlinger i cloudregistreringsdashboard >>
Persona: Administratorer af overholdelse af angivne standarder
Vi anbefaler, at du bruger en cloudregistreringsrapport til at få et overblik over Shadow IT, der bruges på tværs af din organisation. Administrationsrapporter for cloudregistrering identificerer de største potentielle risici og hjælper dig med at planlægge en arbejdsproces for at afhjælpe og administrere risici, indtil de er løst.
Du kan finde flere oplysninger under Generér rapport over cloudregistreringsdirektører.
Generér en rapport med et snapshot af cloudregistrering
Hvor: På Microsoft Defender XDR-portalen skal du vælge Cloudapps > Handlinger i cloudregistreringsdashboard >>
Persona: Administratorer af sikkerhed og overholdelse af angivne standarder
Hvis du endnu ikke har en log, og du vil se et eksempel på, hvordan en kan se ud, kan du downloade en eksempellogfil.
Du kan finde flere oplysninger under Opret øjebliksbillede af cloudregistreringsrapporter.