Búsqueda de amenazas en las actividades de la aplicación

Las aplicaciones pueden ser un punto de entrada valioso para los atacantes, por lo que se recomienda supervisar anomalías y comportamientos sospechosos que usan aplicaciones. Al investigar una alerta de gobernanza de aplicaciones o revisar el comportamiento de la aplicación en el entorno, es importante obtener rápidamente visibilidad de los detalles de las actividades realizadas por dichas aplicaciones sospechosas y realizar acciones de corrección para proteger los recursos de su organización.

Con la gobernanza de aplicaciones y las funcionalidades avanzadas de búsqueda, puede obtener una visibilidad completa de las actividades realizadas por las aplicaciones y los recursos a los que ha accedido.

En este artículo se describe cómo puede simplificar la búsqueda de amenazas basada en aplicaciones mediante la gobernanza de aplicaciones en Microsoft Defender for Cloud Apps.

Paso 1: Buscar la aplicación en la gobernanza de la aplicación

En la página de gobernanza de aplicaciones de Defender for Cloud Apps se enumeran todas las aplicaciones de OAuth Microsoft Entra ID.

Si quiere obtener más detalles sobre los datos a los que accede una aplicación específica, busque esa aplicación en la lista de aplicaciones de gobernanza de aplicaciones. Como alternativa, use los filtros Uso de datos o Servicios a los que se ha accedido para ver las aplicaciones que han accedido a los datos en uno o varios de los servicios de Microsoft 365 admitidos.

Paso 2: Ver los datos a los que acceden las aplicaciones

1. Una vez que haya identificado una aplicación, seleccione la aplicación para abrir el panel de detalles de la aplicación.
2. Seleccione la pestaña Uso de datos en el panel de detalles de la aplicación para ver información sobre el tamaño y el recuento de recursos a los que ha accedido la aplicación en los últimos 30 días.

Por ejemplo:

La gobernanza de aplicaciones proporciona información basada en el uso de datos para recursos como correos electrónicos, archivos y mensajes de chat y canal en Exchange Online, OneDrive, SharePoint y Teams.

Paso 3: Búsqueda de actividades y recursos relacionados a los que se accede

Una vez que tengas información general de alto nivel de los datos que usa la aplicación entre servicios y recursos, es posible que quieras conocer los detalles de las actividades de la aplicación y los recursos a los que se ha accedido durante la realización de estas actividades.

1. Seleccione el icono de búsqueda junto a cada recurso para ver los detalles de los recursos a los que accede la aplicación en los últimos 30 días. Se abre una nueva pestaña que le redirige a la página Búsqueda avanzada con una consulta KQL rellenada previamente.
2. Una vez que se cargue la página, seleccione el botón Ejecutar consulta para ejecutar la consulta KQL y ver los resultados.

Una vez ejecutada la consulta, los resultados de la consulta se muestran en formato tabular. Cada fila de la tabla corresponde a una actividad realizada por la aplicación para acceder al tipo de recurso específico. Cada columna de la tabla proporciona un contexto completo sobre la propia aplicación, el recurso, el usuario y la actividad.

Por ejemplo, al seleccionar el icono de búsqueda junto al recurso Email, la gobernanza de aplicaciones le permite ver la siguiente información de todos los correos electrónicos a los que accede la aplicación en los últimos 30 días en búsqueda avanzada:

• Detalles del correo electrónico: InternetMessageId, NetworkMessageId, Subject, Sender name and address, Recipient address, AttachmentCount and UrlCount
• Detalles de la aplicación: OAuthApplicationId de la aplicación usada para enviar o acceder al correo electrónico
• Contexto de usuario: ObjectId, AccountDisplayName, IPAddress y UserAgent
• Contexto de actividad de la aplicación: OperationType, Marca de tiempo de la actividad, Carga de trabajo

Por ejemplo:

Del mismo modo, use el icono de búsqueda en la gobernanza de aplicaciones para obtener detalles de otros recursos admitidos, como archivos, mensajes de chat y mensajes de canal. Use el icono de búsqueda junto a cualquier usuario en la pestaña Usuarios del panel de detalles de la aplicación para obtener detalles sobre todas las actividades realizadas por la aplicación en el contexto de un usuario específico.

Por ejemplo:

Paso 4: Aplicación de funcionalidades avanzadas de búsqueda

Use la página Búsqueda avanzada para modificar o ajustar una consulta KQL para capturar resultados en función de sus requisitos específicos. Puede optar por guardar la consulta para usuarios futuros o compartir un vínculo con otros usuarios de su organización, o exportar los resultados a un archivo CSV.

Para obtener más información, consulte Búsqueda proactiva de amenazas con la búsqueda avanzada en Microsoft Defender XDR.

Limitaciones conocidas

Al usar la página Búsqueda avanzada para investigar los datos de la gobernanza de aplicaciones, es posible que observe discrepancias en los datos. Estas discrepancias pueden deberse a una de las razones siguientes:

• Gobernanza de aplicaciones y datos de procesos de búsqueda avanzados por separado. Cualquier problema detectado por cualquiera de las soluciones durante el procesamiento puede dar lugar a una discrepancia.

• El procesamiento de datos de gobernanza de aplicaciones puede tardar varias horas más en completarse. Debido a este retraso, es posible que no cubra la actividad de la aplicación reciente que está disponible en Búsqueda avanzada.

• Las consultas de búsqueda avanzada proporcionadas se establecen para mostrar solo 1 000 resultados. Aunque puede editar una consulta para mostrar más resultados, la búsqueda avanzada seguirá aplicando un límite máximo de 10 000 resultados. La gobernanza de aplicaciones no tiene este límite.

Pasos siguientes

Investigación y corrección de aplicaciones de OAuth de riesgo