Guía operativa ad hoc: Microsoft Defender for Cloud Apps
En este artículo se enumeran las actividades operativas mensuales que se recomienda realizar con Microsoft Defender for Cloud Apps.
Las actividades mensuales se pueden realizar con más frecuencia o según sea necesario, en función del entorno y las necesidades.
Revisión del estado del servicio de Microsoft
Dónde: Compruebe las siguientes ubicaciones:
- En el Centro de administración de Microsoft 365, seleccione Health > Estado del servicio
- Estado de Estado del servicio de Microsoft 365
- X: https://twitter.com/MSFT365status
Si tiene problemas con un servicio en la nube, se recomienda comprobar las actualizaciones de estado del servicio para determinar si se trata de un problema conocido, con una resolución en curso, antes de llamar al soporte técnico o dedicar tiempo a solucionarlo.
Ejecución de consultas de búsqueda avanzadas
Dónde: en el portal de Microsoft Defender XDR, seleccione Búsqueda > avanzada de búsqueda y consulta para Defender for Cloud Apps datos.
Persona: analistas de SOC
De forma similar a la revisión de los registros de actividad, la búsqueda avanzada se puede usar como actividad programada, mediante detecciones personalizadas o consultas ad hoc para buscar amenazas de forma proactiva.
La búsqueda avanzada es una herramienta unificada que le permite buscar amenazas en Microsoft Defender XDR. Se recomienda guardar las consultas usadas con frecuencia para una búsqueda y corrección de amenazas manuales más rápidas.
Las siguientes consultas de ejemplo son útiles al consultar datos de Defender for Cloud Apps:
Buscar registros de eventos de Office - FileDownloaded
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
Buscar registros de Office - MailItemsAccessed Details
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
Búsqueda de registros de objetos de actividad de extracción
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
Búsqueda de Microsoft Entra ID: Agregar a registros de rol
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
Búsqueda de Microsoft Entra ID: agregar grupos de registros
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
Revisión de las cuarentenas de archivos
Dónde: en Microsoft Defender XDR Portal, seleccione Archivos de aplicaciones >en la nube. Consulta de los elementos en los que se pone en = cuarentenaTrue.
Persona: administradores de cumplimiento
Use Defender for Cloud Apps para detectar archivos no deseados almacenados en la nube y dejarle vulnerable. Realice acciones inmediatas para detenerlas en sus pistas mediante la cuarentena de Administración para bloquear los archivos que suponen una amenaza. Administración cuarentena puede ayudarle a proteger los archivos en la nube, corregir problemas e impedir que se produzcan fugas futuras.
Los archivos de Administración cuarentena pueden revisarse como parte de una investigación de alertas y es posible que tenga que administrar los archivos en cuarentena por motivos de gobernanza y cumplimiento.
Para obtener más información, consulte Descripción del funcionamiento de la cuarentena.
Revisión de las puntuaciones de riesgo de la aplicación
Dónde: en Microsoft Defender XDR Portal, seleccione Cloud apps Cloud app catalog (Catálogo de aplicaciones >en la nube).
Persona: administradores de cumplimiento
El catálogo de aplicaciones en la nube evalúa el riesgo de las aplicaciones en la nube en función de la certificación normativa, los estándares del sector y los procedimientos recomendados. Se recomienda revisar la puntuación de cada una de las aplicaciones de su entorno para asegurarse de que se ajusta a las regulaciones de la empresa.
Después de comprobar la puntuación de riesgo de una aplicación, es posible que quiera enviar una solicitud para cambiar la puntuación o personalizar la puntuación de riesgo en las métricas de puntuación de Cloud Discovery>.
Para obtener más información, consulte Búsqueda de la aplicación en la nube y cálculo de puntuaciones de riesgo.
Eliminación de datos de detección de nube
Dónde: en Microsoft Defender XDR Portal, seleccione Configuración > Aplicaciones en la nube > Cloud Discovery > Eliminar datos.
Persona: administradores de cumplimiento
Se recomienda eliminar datos de detección de nube en los siguientes escenarios:
- Si tiene archivos de registro anteriores, cargados manualmente y no desea que los datos antiguos afecten a los resultados.
- Cuando desee que una nueva vista de datos personalizada incluya eventos en todos los datos del archivo de registro, incluidos los archivos anteriores. Las vistas de datos personalizadas solo se aplican a los nuevos datos disponibles a partir de ese momento, por lo que se recomienda eliminar los datos antiguos y cargarlos de nuevo para incluirlos en vistas de datos personalizadas.
- Cuando muchos usuarios o direcciones IP empezaron a trabajar de nuevo después de estar sin conexión durante algún tiempo, elimine los datos antiguos para evitar que la nueva actividad se identifique como anómala, con infracciones de falsos positivos.
Para obtener más información, consulte Eliminación de datos de detección de nube.
Generación de un informe ejecutivo de cloud discovery
Dónde: en Microsoft Defender XDR Portal, seleccione Cloud apps > Cloud discovery Dashboard Actions (Acciones del panel > de cloud discovery>)
Persona: administradores de cumplimiento
Se recomienda usar un informe ejecutivo de cloud discovery para obtener información general sobre Shadow IT que se usa en toda la organización. Los informes ejecutivos de cloud discovery identifican los principales riesgos potenciales y le ayudan a planear un flujo de trabajo para mitigar y administrar los riesgos hasta que se resuelvan.
Para obtener más información, consulte Generación de informes ejecutivos de cloud discovery.
Generación de un informe de instantáneas de detección de nube
Dónde: en Microsoft Defender XDR Portal, seleccione Cloud apps > Cloud discovery Dashboard Actions (Acciones del panel > de cloud discovery>)
Persona: administradores de seguridad y cumplimiento
Si aún no tiene un registro y desea ver un ejemplo de cómo podría ser, descargue un archivo de registro de ejemplo.
Para obtener más información, consulte Creación de informes de detección de instantáneas en la nube.