Jaa

Uhkien etsiminen sovellustoiminnassa

  • Artikkeli

Sovellukset voivat olla arvokas aloituskohta hyökkääjille, joten suosittelemme valvomaan poikkeamia ja epäilyttäviä toimintamalleja, jotka käyttävät sovelluksia. Tutkiessasi sovelluksen hallintoilmoitusta tai tarkastellessasi sovelluksen toimintaa ympäristössä on tärkeää saada nopeasti näkyvyys tällaisten epäilyttävien sovellusten tekemien toimien yksityiskohtiin ja ryhtyä korjaustoimiin organisaatiosi resurssien suojaamiseksi.

Sovellusten hallinnan ja kehittyneiden metsästysominaisuuksien avulla saat täydellisen näkyvyyden sovellusten tekemiin toimintoihin ja resursseihin, joita se on käyttänyt.

Tässä artikkelissa kuvataan, miten voit yksinkertaistaa sovelluspohjaista uhkien metsästystä sovellushallinnolla Microsoft Defender for Cloud Apps.

Vaihe 1: Sovelluksen etsiminen sovellusten hallinnasta

Defender for Cloud Apps Sovellusten hallinta -sivulla luetellaan kaikki Microsoft Entra ID OAuth-sovellukset.

Jos haluat lisätietoja tietyn sovelluksen käyttämistä tiedoista, etsi sovellus sovellusluettelosta sovellusten hallinnasta. Vaihtoehtoisesti voit käyttää Tietojen käyttö - tai Palvelut-suodattimia tarkastellaksesi sovelluksia, jotka ovat käyttäneet tietoja yhdestä tai useammasta tuetusta Microsoft 365 -palvelusta.

Vaihe 2: Sovellusten käsittelemien tietojen tarkasteleminen

  1. Kun olet tunnistanut sovelluksen, avaa sovelluksen tietoruutu valitsemalla sovellus.
  2. Valitsemalla Sovelluksen tiedot -ruudun Tietojen käyttö -välilehden voit tarkastella tietoja sovelluksen viimeisten 30 päivän aikana käsittelemien resurssien koosta ja määrästä.

Esimerkki:

Näyttökuva sovelluksen tietoruudusta, jossa on tietojen käyttötiedot.

Sovellusten hallinta tarjoaa tietojen käyttöön perustuvia merkityksellisiä tietoja resursseille, kuten sähköposteille, tiedostoille sekä keskustelu- ja kanavaviesteille Exchange Online, OneDrivessa, SharePointissa ja Teamsissa.

Kun olet saanut yleiskatsauksen sovelluksen käyttämiin tietoihin eri palveluissa ja resursseissa, haluat ehkä tietää sovelluksen toimintojen tiedot ja resurssit, joita se käytti suorittaessaan näitä toimintoja.

  1. Voit tarkastella sovelluksen viimeisten 30 päivän aikana käsittelemien resurssien tietoja valitsemalla kunkin resurssin vieressä olevan go-hunt-kuvakkeen . Uusi välilehti avataan, ja sinut ohjataan lisämetsästyssivulle valmiiksi täytettävällä KQL-kyselyllä.
  2. Kun sivu on ladattu, suorita KQL-kysely valitsemalla Suorita kysely -painike ja tarkastele tuloksia.

Kun kysely on suoritettu, kyselyn tulokset näytetään taulukkomuodossa. Taulukon jokainen rivi vastaa sovelluksen tekemää toimintoa tietyn resurssityypin käyttämiseksi. Taulukon jokainen sarake tarjoaa kattavan kontekstin itse sovelluksesta, resurssista, käyttäjästä ja aktiviteetista.

Kun esimerkiksi valitset sähköpostiresurssin vieressä olevan go-hunt-kuvakkeen, sovelluksen hallinnan avulla voit tarkastella seuraavia tietoja kaikista sähköposteista, joita sovellus on käytetty viimeisen 30 päivän aikana kehittyneessä metsästyksessä:

  • Sähköpostin tiedot: InternetMessageId, NetworkMessageId, Subject, Senderin nimi ja osoite, Vastaanottajan osoite, AttachmentCount ja UrlCount
  • Sovelluksen tiedot: Sen sovelluksen OAuthApplicationId, jota käytetään sähköpostin lähettämiseen tai käyttämiseen
  • Käyttäjäkonteksti: ObjectId, AccountDisplayName, IPAddress ja UserAgent
  • Sovelluksen toimintakonteksti: OperationType, Aktiviteetin aikaleima, Kuormitukset

Esimerkki:

Näyttökuva sähköpostiviestien kehittyneen metsästyksen sivusta.

Vastaavasti voit käyttää sovellusten hallinnan go-hunt-kuvaketta saadaksesi tietoja muista tuetuista resursseista, kuten tiedostoista, keskusteluviesteistä ja kanavaviesteistä. Voit käyttää minkä tahansa käyttäjän vieressä olevaa go-hunt-kuvaketta sovelluksen tietoruudun Käyttäjät-välilehdessä saadaksesi lisätietoja kaikista toiminnoista, joita sovellus on tehnyt tietyn käyttäjän kontekstissa.

Esimerkki:

Näyttökuva käyttäjien kehittyneen metsästyksen sivusta.

Vaihe 4: Kehittyneiden metsästysominaisuuksien käyttäminen

Lisämetsästyssivun avulla voit muokata tai säätää KQL-kyselyä ja noutaa tuloksia erityisvaatimusten mukaan. Voit halutessasi tallentaa kyselyn tuleville käyttäjille tai jakaa linkin organisaatiosi muiden käyttäjien kanssa tai viedä tulokset CSV-tiedostoon.

Lisätietoja on artikkelissa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender XDR.

Tunnetut rajoitukset

Kun käytät kehittynyttä metsästyssivua sovellusten hallinnan tietojen tutkimiseen, saatat huomata eroja tiedoissa. Nämä ristiriidat voivat johtua jostakin alla olevista syistä:

  • Sovellusten hallinto ja kehittyneet metsästysprosessitiedot erikseen. Mahdolliset ongelmat, joita jompikumpi ratkaisu kohtaa käsittelyn aikana, voivat aiheuttaa ristiriidan.

  • Sovelluksen hallinnan tietojen käsittely voi kestää useita tunteja kauemmin. Tämän viiveen vuoksi se ei välttämättä kata viimeaikaisia sovellustoimintoja, jotka ovat saatavilla kehittyneessä metsästyksessä.

  • Annetut kehittyneet metsästyskyselyt on määritetty näyttämään vain 1k tulokset. Vaikka voit muokata kyselyä näyttääksesi lisää tuloksia, kehittynyt metsästys soveltaa silti 10 000 tuloksen enimmäisrajaa. Sovellushallinnalla ei ole tätä rajaa.

Seuraavat vaiheet

Riskialttiiden OAuth-sovellusten tutkiminen ja korjaaminen