Del via

Daglig driftsvejledning – Microsoft Defender for Cloud Apps

  • Artikel

Denne artikel indeholder en liste over daglige driftsaktiviteter, som vi anbefaler, at du udfører med Defender for Cloud Apps.

Gennemse beskeder og hændelser

Beskeder og hændelser er to af de vigtigste elementer, som dit SOC-team (Security Operations) skal gennemgå dagligt.

  • Triage hændelser og beskeder regelmæssigt fra hændelseskøen i Microsoft Defender XDR og prioritere vigtige beskeder med høj og medium alvorsgrad.

  • Hvis du arbejder med et SIEM-system, er dit SIEM-system normalt det første stop for triage. SIEM-systemer giver mere kontekst med ekstra logge og SOAR-funktionalitet. Brug derefter Microsoft Defender XDR til at få en bedre forståelse af en besked eller hændelsestidslinje.

Triage dine hændelser fra Microsoft Defender XDR

Hvor: I Microsoft Defender XDR skal du vælge Hændelser & beskeder

Persona: SOC-analytikere

Ved triaging af hændelser:

  1. I hændelsesdashboardet skal du filtrere efter følgende elementer:

    Filter Værdier
    Status Ny, i gang
    Alvorlighed Høj, Mellem, Lav
    Tjenestekilde Hold alle tjenestekilder markeret. Hvis du holder alle tjenestekilder markeret, skal der vises beskeder med den største pålidelighed med korrelation på tværs af andre Microsoft XDR-arbejdsbelastninger. Vælg Defender for Cloud Apps for at få vist elementer, der specifikt kommer fra Defender for Cloud Apps.

  2. Vælg hver hændelse for at gennemse alle detaljer. Gennemse alle faner i hændelsen, aktivitetsloggen og avanceret jagt.

    På fanen Beviser og svar under hændelsen skal du vælge hvert element i bevismaterialet. Vælg menuen > Indstillinger Undersøg, og vælg derefter Aktivitetslog eller Gå på jagt efter behov.

  3. Triage dine hændelser. For hver hændelse skal du vælge Administrer hændelse og derefter vælge en af følgende indstillinger:

    • Sand positiv
    • Falsk positiv
    • Informationsaktivitet, forventet aktivitet

    For sande beskeder skal du angive behandlingstypen for at hjælpe dit sikkerhedsteam med at se trusselsmønstre og forsvare din organisation mod risici.

  4. Når du er klar til at starte din aktive undersøgelse, skal du tildele hændelsen til en bruger og opdatere hændelsesstatussen til Igangværende.

  5. Når hændelsen afhjælpes, skal du løse alle sammenkædede og relaterede aktive beskeder.

Du kan finde flere oplysninger under:

Triage dine hændelser fra dit SIEM-system

Persona: SOC-analytikere

Forudsætninger: Du skal have forbindelse til et SIEM-system, og vi anbefaler, at du integrerer med Microsoft Sentinel. Du kan finde flere oplysninger under:

Integration af Microsoft Defender XDR med Microsoft Sentinel giver dig mulighed for at streame alle Microsoft Defender XDR hændelser til Microsoft Sentinel og holde dem synkroniseret mellem begge portaler. Microsoft Defender XDR hændelser i Microsoft Sentinel omfatter alle tilknyttede beskeder, enheder og relevante oplysninger, hvilket giver tilstrækkelig kontekst til at foretage en foreløbig undersøgelse.

Når hændelserne er i Microsoft Sentinel, forbliver de synkroniseret med Microsoft Defender XDR, så du kan bruge funktionerne fra begge portaler i din undersøgelse.

  • Når du installerer Microsoft Sentinel dataconnector til Microsoft Defender XDR, skal du sørge for at inkludere indstillingen Microsoft Defender for Cloud Apps.
  • Overvej at bruge en streaming-API til at sende data til en hændelseshub, hvor de kan forbruges via en partner-SIEM med en hændelseshub-connector eller placeres i Azure Storage.

Du kan finde flere oplysninger under:

Gennemse data til trusselsregistrering

Hvor: På Microsoft Defender XDR-portalen skal du vælge:

  • Hændelser & beskeder
  • Politikker for politikker for > administration af politikker for > cloudapps > Trusselsregistrering
  • Oauth-apps i cloudapps >

Persona: Sikkerhedsadministratorer og SOC-analytikere

Trusselsregistrering af cloudapps er stedet, hvor mange SOC-analytikere fokuserer deres daglige aktiviteter og identificerer brugere med høj risiko, der viser unormal adfærd.

Defender for Cloud Apps trusselsregistrering bruger Microsoft threat intelligence- og sikkerhedsforskningsdata. Beskeder er tilgængelige i Microsoft Defender XDR og bør behandles regelmæssigt.

Når sikkerhedsadministratorer og SOC-analytikere håndterer beskeder, håndterer de følgende primære typer politikker for trusselsregistrering:

Persona: Sikkerhedsadministrator

Sørg for at oprette de politikker for trusselsbeskyttelse, der kræves af din organisation, herunder håndtering af eventuelle forudsætninger.

Gennemse programstyring

Hvor: På Microsoft Defender XDR-portalen skal du vælge:

  • Hændelser & beskeder
  • Hændelser & beskeder/appstyring

Persona: SOC-analytikere

Appstyring giver detaljeret synlighed og kontrol over OAuth-apps. Appstyring hjælper med at bekæmpe stadig mere avancerede kampagner, der udnytter de apps, der er installeret i det lokale miljø og i cloudinfrastrukturer, og etablerer et udgangspunkt for rettighedseskalering, tværgående bevægelse og dataudfiltrering.

Appstyring leveres sammen med Defender for Cloud Apps. Beskeder er også tilgængelige i Microsoft Defender XDR og bør behandles regelmæssigt.

Du kan finde flere oplysninger under:

Oversigtssiden Kontrollér appstyring

Hvor: På Microsoft Defender XDR-portalen skal du vælge:

  • Hændelser & beskeder
  • Oversigt over appstyring i cloudapps >>

Persona: SOC-analytikere og sikkerhedsadministrator

Vi anbefaler, at du kører en hurtig, daglig vurdering af overholdelsesholdning for dine apps og hændelser. Du kan f.eks. se følgende oplysninger:

  • Antallet af over priviligerede eller yderst privilegerede apps
  • Apps med en ikke-bekræftet udgiver
  • Dataforbrug for tjenester og ressourcer, der blev tilgået ved hjælp af Graph API
  • Antallet af apps, der tilgåde data med de mest almindelige følsomhedsmærkater
  • Antallet af apps, der tilgåde data med og uden følsomhedsmærkater på tværs af Microsoft 365-tjenester
  • En oversigt over hændelser relateret til styring af apps

Baseret på de data, du gennemser, kan det være en god idé at oprette nye eller justere politikker for appstyring.

Du kan finde flere oplysninger under:

Gennemse OAuth-appdata

Hvor: På Microsoft Defender XDR-portalen skal du vælge:

  • Hændelser & beskeder
  • Azure AD styring af > cloudapps >

Vi anbefaler, at du kontrollerer din liste over OAuth-aktiverede apps dagligt sammen med relevante appmetadata og forbrugsdata. Vælg en app for at få vist dybere indsigt og oplysninger.

Appstyring bruger algoritmer til registrering af maskinel indlæring til at registrere unormal appfunktionsmåde i din Microsoft Defender XDR lejer og genererer beskeder, som du kan se, undersøge og løse. Ud over denne indbyggede registreringsfunktionalitet kan du bruge et sæt standardpolitikskabeloner eller oprette dine egne apppolitikker, der genererer andre beskeder.

Du kan finde flere oplysninger under:

Opret og administrer politikker for appstyring

Hvor: På Microsoft Defender XDR-portalen skal du vælge Cloud apps > App governance > Policies

Persona: Sikkerhedsadministratorer

Vi anbefaler, at du kontrollerer dine OAuth-apps dagligt for regelmæssig dybdegående synlighed og kontrol. Generér beskeder baseret på algoritmer til maskinel indlæring, og opret apppolitikker for appstyring.

Du kan finde flere oplysninger under:

Gennemse appkontrolelementet Betinget adgang

Hvor: På Microsoft Defender XDR-portalen skal du vælge:

  • Hændelser & beskeder
  • Politikadministration > af politikker for > cloudapps > Betinget adgang

Hvis du vil konfigurere appkontrolelementet Betinget adgang, skal du vælge Indstillinger > Cloudapps > Appen Betinget adgang

Persona: Sikkerhedsadministrator

Kontrolelementet Betinget adgang giver dig mulighed for at overvåge og styre brugerappadgang og -sessioner i realtid baseret på adgangspolitikker og sessionspolitikker.

Genererede beskeder er tilgængelige i Microsoft Defender XDR og bør behandles regelmæssigt.

Der er som standard ikke installeret nogen adgangs- eller sessionspolitikker, og der er derfor ingen relaterede beskeder tilgængelige. Du kan onboarde en hvilken som helst webapp for at arbejde med adgangs- og sessionskontrolelementer, Microsoft Entra ID apps onboardes automatisk. Vi anbefaler, at du opretter sessionspolitikker og får adgang til politikker efter behov for din organisation.

Du kan finde flere oplysninger under:

Persona: SOC-administrator

Vi anbefaler, at du gennemser vigtige beskeder om kontrol af appen Betinget adgang dagligt og aktivitetsloggen. Filtrer aktivitetslogge efter kilde, adgangskontrol og sessionskontrol.

Du kan få flere oplysninger under Gennemse beskeder og hændelser

Gennemse skygge-it – cloudregistrering

Hvor: På Microsoft Defender XDR-portalen skal du vælge:

  • Hændelser & beskeder
  • Cloud apps Katalog over cloudapps > Cloudregistrering/Cloud-app
  • Politikadministration > af politikker for > cloudapps > Skygge it

Persona: Sikkerhedsadministratorer

Defender for cloudapps analyserer dine trafiklogge i forhold til kataloget over cloudapps med mere end 31.000 cloudapps. Apps rangeres og scores baseret på mere end 90 risikofaktorer for at give løbende indsigt i cloudbrug, Shadow IT og de risici, som Shadow IT udgør i din organisation.

Beskeder, der er relateret til cloudregistrering, er tilgængelige i Microsoft Defender XDR og bør behandles regelmæssigt.

Opret politikker for appregistrering for at begynde at advare og mærke nyligt fundne apps baseret på visse betingelser, f.eks. risikoscores, kategorier og appfunktionsmåder, f.eks. daglig trafik og downloadede data.

Tip

Vi anbefaler, at du integrerer Defender for Cloud Apps med Microsoft Defender for Endpoint for at finde cloudapps ud over virksomhedens netværk eller sikre gateways og anvende styringshandlinger på dine slutpunkter.

Du kan finde flere oplysninger under:

Persona: Administratorer af sikkerhed og overholdelse af angivne standarder, SOC-analytikere

Når du har et stort antal fundne apps, kan det være en god idé at bruge filtreringsmulighederne til at få mere at vide om dine fundne apps.

Du kan finde flere oplysninger under Registrerede appfiltre og -forespørgsler i Microsoft Defender for Cloud Apps.

Gennemse cloudregistreringsdashboardet

Hvor: På Microsoft Defender XDR-portalen skal du vælge Dashboard til cloudapps > Cloudregistrering>.

Persona: Administratorer af sikkerhed og overholdelse af angivne standarder, SOC-analytikere

Vi anbefaler, at du gennemgår dit cloudregistreringsdashboard dagligt. Cloudregistreringsdashboardet er designet til at give dig mere indsigt i, hvordan cloudapps bruges i din organisation, med et hurtigt overblik over børn af apps, dine åbne beskeder og risikoniveauerne for apps i din organisation.

På cloudregistreringsdashboardet:

  1. Brug widgets øverst på siden til at forstå det overordnede forbrug af cloudapps.

  2. Filtrer dashboardgraferne for at generere bestemte visninger, afhængigt af din interesse. Det kan f.eks. være:

    • Forstå de vigtigste kategorier af apps, der bruges i din organisation, især til godkendte apps.
    • Gennemse risikoscores for dine registrerede apps.
    • Filtrer visninger for at se dine mest populære apps i bestemte kategorier.
    • Få vist de mest populære brugere og IP-adresser for at identificere de brugere, der er de mest dominerende brugere af cloudapps i din organisation.
    • Få vist appdata på et verdenskort for at forstå, hvordan registrerede apps spredes efter geografisk placering.

Når du har gennemset listen over registrerede apps i dit miljø, anbefaler vi, at du beskytter dit miljø ved at godkende sikre apps (sanktionerede apps), forbyde uønskede apps (ikke-registrerede apps) eller anvende brugerdefinerede mærker.

Det kan også være en god idé proaktivt at gennemse og anvende mærker på de apps, der er tilgængelige i kataloget over cloudapps, før de registreres i dit miljø. Du kan hjælpe dig med at styre disse programmer ved at oprette relevante politikker for cloudregistrering, der udløses af bestemte mærker.

Du kan finde flere oplysninger under:

Tip

Afhængigt af din miljøkonfiguration kan du drage fordel af den problemfri og automatiserede blokering eller endda de advarende og oplærte funktioner, der leveres af Microsoft Defender for Endpoint. Du kan få flere oplysninger under Integrer Microsoft Defender for Endpoint med Microsoft Defender for Cloud Apps.

Gennemse beskyttelse af oplysninger

Hvor: På Microsoft Defender XDR-portalen skal du vælge:

  • Hændelser & beskeder
  • Filer til cloudapps >
  • Beskyttelse af oplysninger om administration af > politikker for > cloudapps >

Persona: Administratorer af sikkerhed og overholdelse af angivne standarder, SOC-analytikere

Defender for Cloud Apps filpolitikker og beskeder giver dig mulighed for at gennemtvinge en lang række automatiserede processer. Opret politikker til beskyttelse af oplysninger, herunder løbende overholdelsesscanninger, juridiske eDiscovery-opgaver og beskyttelse af datatab (DLP) for følsomt indhold, der deles offentligt.

Ud over at opsøge beskeder og hændelser anbefaler vi, at dine SOC-teams kører ekstra proaktive handlinger og forespørgsler. På siden Filer i cloudapps > skal du kontrollere, om der er følgende spørgsmål:

  • Hvor mange filer deles offentligt, så alle kan få adgang til dem uden et link?
  • Hvilke partnere deler du filer med ved hjælp af udgående deling?
  • Har nogen filer følsomme navne?
  • Deles nogen af filerne med en persons personlige konto?

Brug resultaterne af disse forespørgsler til at justere eksisterende filpolitikker eller oprette nye politikker.

Du kan finde flere oplysninger under:

Relateret indhold

Microsoft Defender for Cloud Apps driftsvejledning