Ad-hoc-Betriebsleitfaden – Microsoft Defender for Cloud Apps
In diesem Artikel werden die monatlichen operativen Aktivitäten aufgeführt, die sie mit Microsoft Defender for Cloud Apps durchführen sollten.
Monatliche Aktivitäten können je nach Umgebung und Bedarf häufiger oder nach Bedarf ausgeführt werden.
Überprüfen der Dienstintegrität von Microsoft
Wo: Überprüfen Sie die folgenden Speicherorte:
- Wählen Sie im Microsoft 365 Admin Center Integritäts-Dienststatus >
- Microsoft 365 Dienststatus status
- X: https://twitter.com/MSFT365status
Wenn Probleme mit einem Clouddienst auftreten, empfiehlt es sich, die Dienstintegritätsupdates zu überprüfen, um zu ermitteln, ob es sich um ein bekanntes Problem handelt, bei dem eine Lösung in Bearbeitung ist, bevor Sie den Support anrufen oder Zeit mit der Problembehandlung verbringen.
Ausführen erweiterter Suchabfragen
Where: Wählen Sie im Microsoft Defender XDR Portal Hunting > Erweiterte Suche aus, und fragen Sie Defender for Cloud Apps Daten ab.
Persona: SOC-Analysten
Ähnlich wie beim Überprüfen von Aktivitätsprotokollen kann die erweiterte Suche als geplante Aktivität verwendet werden, indem benutzerdefinierte Erkennungen oder Ad-hoc-Abfragen verwendet werden, um proaktiv nach Bedrohungen zu suchen.
Die erweiterte Suche ist ein einheitliches Tool, mit dem Sie Microsoft Defender XDR nach Bedrohungen suchen können. Es wird empfohlen, häufig verwendete Abfragen zu speichern, um eine schnellere manuelle Bedrohungssuche und -behebung zu ermöglichen.
Die folgenden Beispielabfragen sind nützlich, wenn Sie Defender for Cloud Apps Daten abfragen:
Suchen nach Office – DateiHerunterladene Ereignisdatensätze
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
Suchen nach Office – MailItemsAccessed Details-Datensätze
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
Suchen nach Datensätzen zum Extrahieren von Aktivitätsobjekten
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
Suchen nach Microsoft Entra ID – Zu Rollendatensätzen hinzufügen
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
Suchen nach Microsoft Entra ID – Gruppe fügt Datensätze hinzu
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
Überprüfen von Dateiquarantänen
Wo: Wählen Sie im Microsoft Defender XDR-Portal Cloud-Apps-Dateien >aus. Fragen Sie nach Elementen ab, bei denen "Unter Quarantäne""True" festgelegt = wurde.
Persona: Complianceadministratoren
Verwenden Sie Defender for Cloud Apps, um unerwünschte Dateien zu erkennen, die in Ihrer Cloud gespeichert sind, und machen Sie anfällig. Ergreifen Sie sofortige Maßnahmen, um sie in ihren Spuren zu stoppen, indem Sie die Admin Quarantäne verwenden, um die Dateien zu sperren, die eine Bedrohung darstellen. Admin Quarantäne kann Ihnen helfen, Dateien in der Cloud zu schützen, Probleme zu beheben und zukünftige lecks zu verhindern.
Dateien in Admin Quarantäne können im Rahmen einer Warnungsuntersuchung überprüft werden, und Sie müssen unter Umständen aus Governance- und Compliancegründen unter Quarantäne gestellte Dateien verwalten.
Weitere Informationen finden Sie unter Grundlegendes zur Funktionsweise der Quarantäne.
Überprüfen von App-Risikobewertungen
Wo: Wählen Sie im Microsoft Defender XDR-Portal Cloud-Apps > Cloud-App-Katalog aus.
Persona: Complianceadministratoren
Der Cloud-App-Katalog bewertet das Risiko für Ihre Cloud-Apps basierend auf gesetzlichen Zertifizierungen, Branchenstandards und bewährten Methoden. Es wird empfohlen, die Bewertung für jede der Apps in Ihrer Umgebung zu überprüfen, um sicherzustellen, dass sie den Vorschriften Ihres Unternehmens entspricht.
Nachdem Sie die Risikobewertung einer App überprüft haben, können Sie eine Anforderung zum Ändern der Bewertung senden oder die Risikobewertung in Cloud Discovery > Score-Metriken anpassen.
Weitere Informationen finden Sie unter Suchen Ihrer Cloud-App und Berechnen von Risikobewertungen.
Löschen von Cloud Discovery-Daten
Wo: Wählen Sie im Microsoft Defender XDR-Portal Einstellungen > Cloud-Apps > Cloud Discovery > Daten löschen aus.
Persona: Complianceadministratoren
Es wird empfohlen, Cloud Discovery-Daten in den folgenden Szenarien zu löschen:
- Wenn Sie über ältere, manuell hochgeladene Protokolldateien verfügen und nicht möchten, dass sich alte Daten auf Ihre Ergebnisse auswirken.
- Wenn Sie möchten, dass eine neue benutzerdefinierte Datenansicht Ereignisse in alle Protokolldateidaten einschließt, einschließlich älterer Dateien. Benutzerdefinierte Datenansichten gelten nur für neue Daten, die ab diesem Zeitpunkt verfügbar sind. Daher wird empfohlen, alte Daten zu löschen und sie erneut hochzuladen, um sie in benutzerdefinierte Datenansichten einzuschließen.
- Wenn viele Benutzer oder IP-Adressen wieder funktionierten, nachdem sie für einige Zeit offline waren, löschen Sie alte Daten, um zu verhindern, dass die neue Aktivität als anomale Aktivität mit falsch positiven Verstößen identifiziert wird.
Weitere Informationen finden Sie unter Löschen von Cloud Discovery-Daten.
Generieren eines Cloud Discovery-Executive-Berichts
Wo: Wählen Sie im Microsoft Defender XDR-Portal Cloud-Apps > Cloud Discovery-Dashboardaktionen >> aus.
Persona: Complianceadministratoren
Es wird empfohlen, einen Cloud Discovery-Executive-Bericht zu verwenden, um einen Überblick über die Schatten-IT zu erhalten, die in Ihren organization verwendet wird. Cloud Discovery Executive Reports identifizieren die wichtigsten potenziellen Risiken und helfen Ihnen, einen Workflow zu planen, um Risiken zu mindern und zu verwalten, bis sie behoben sind.
Weitere Informationen finden Sie unter Generieren eines Cloud Discovery-Executive-Berichts.
Generieren eines Cloud Discovery-Momentaufnahme-Berichts
Wo: Wählen Sie im Microsoft Defender XDR-Portal Cloud-Apps > Cloud Discovery-Dashboardaktionen >> aus.
Persona: Sicherheits- und Complianceadministratoren
Wenn Sie noch nicht über ein Protokoll verfügen und ein Beispiel dafür sehen möchten, wie ein Protokoll aussehen könnte, laden Sie eine Beispielprotokolldatei herunter.
Weitere Informationen finden Sie unter Erstellen von Momentaufnahme Cloud Discovery-Berichten.