Ad-hoc-toimintaopas – Microsoft Defender for Cloud Apps
Tässä artikkelissa on luettelo kuukausittaisista toiminnallisista toiminnoista, joita suosittelemme suorittamaan Microsoft Defender for Cloud Apps kanssa.
Kuukausittaisia toimintoja voidaan suorittaa useammin tai tarpeen mukaan ympäristösi ja tarpeittesi mukaan.
Tarkista Microsoft-palvelun kunto
Missä: Tarkista seuraavat sijainnit:
- Valitse Microsoft 365 -hallintakeskus Kunnon > Palvelun kunto
- Microsoft 365 Palvelun kunto tila
- X: https://twitter.com/MSFT365status
Jos sinulla on ongelmia pilvipalvelun kanssa, suosittelemme tarkistamaan palvelun kuntopäivitykset ja selvittämään, onko kyseessä tunnettu ongelma ja ratkaisu käynnissä, ennen kuin soitat tukeen tai käytät aikaa vianmääritykseen.
Kehittyneiden metsästyskyselyiden suorittaminen
Missä: valitse Microsoft Defender XDR portaalissa Metsästys > Kehittynyt metsästys ja kysely Defender for Cloud Apps tiedoille.
Henkilö: SOC-analyytikot
Kuten toimintalokien tarkastelua, kehittynyttä metsästystä voidaan käyttää ajoitettuna toimintona käyttämällä mukautettuja tunnistuksia tai ad-hoc-kyselyitä uhkien ennakoivaan etsimiseen.
Kehittynyt metsästys on yhtenäinen työkalu, jonka avulla voit etsiä uhkia Microsoft Defender XDR. Suosittelemme, että tallennat usein käytetyt kyselyt manuaalisen uhkien metsästyksen ja korjaamisen nopeuttamiseksi.
Seuraavista esimerkkikyselyistä on hyötyä, kun Defender for Cloud Apps tietoja kysellä:
Etsi Office - FileDownloaded Events -tietueita
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
Etsi Office - MailItemsAccessed Details -tietueita
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
Hae Poimi toiminto-objektien tietueet
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
Hae Microsoft Entra ID – Lisää roolitietueisiin
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
Hae Microsoft Entra ID - Ryhmä lisää tietueita
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
Tarkista tiedostokaranteet
Missä: Valitse Microsoft Defender XDR portaalissa Pilvisovellustiedostot>. Kysely kohteille, joissa karanteeniin asetettu arvo = on Tosi.
Henkilö: Yhteensopivuuden järjestelmänvalvojat
Defender for Cloud Apps avulla voit tunnistaa ei-toivottuja tiedostoja, jotka on tallennettu pilvipalveluusi, ja jättää sinut haavoittuvaksi. Ryhdy välittömiin toimiin niiden pysäyttämiseksi raiteillaan käyttämällä Hallinta karanteenia uhkaavien tiedostojen lukitsemiseksi. Hallinta karanteeni voi auttaa suojaamaan pilvipalvelussa olevia tiedostoja, korjaamaan ongelmia ja estämään tulevien vuotojen syntymisen.
Karanteeniin Hallinta tiedostot voidaan tarkistaa osana hälytystutkimusta, ja sinua saatetaan vaatia karanteeniin asetettujen tiedostojen hallintaan hallinto- ja yhteensopivuussyistä.
Lisätietoja on artikkelissa Karanteenin toiminta.
Tarkista sovelluksen riskipisteet
Missä: valitse Microsoft Defender XDR-portaalissa Pilvisovellukset > Pilvipalvelusovellusluettelo.
Henkilö: Yhteensopivuuden järjestelmänvalvojat
Pilvisovellusten luettelo arvioi pilvisovellusten riskin säädösten sertifioinnin, alan standardien ja parhaiden käytäntöjen perusteella. Suosittelemme tarkistamaan jokaisen ympäristössäsi olevan sovelluksen pisteet varmistaaksesi, että ne ovat yrityksesi säädösten mukaisia.
Kun olet tarkistanut sovelluksen riskipisteet, haluat ehkä lähettää pyynnön muuttaa pistemäärää tai mukauttaa riskipisteitä Cloud Discovery > Score -arvoissa.
Lisätietoja on kohdassa Pilvisovelluksen etsiminen ja riskipisteiden laskeminen.
Pilvipalvelun etsintätietojen poistaminen
Missä: valitse Microsoft Defender XDR portaalissa Asetukset > Pilvisovellukset > Pilvipalvelun etsinnän > Tietojen poistaminen.
Henkilö: Yhteensopivuuden järjestelmänvalvojat
Suosittelemme, että poistat pilven etsintätiedot seuraavissa tilanteissa:
- Jos sinulla on vanhempia, manuaalisesti ladattuja lokitiedostoja etkä halua vanhojen tietojen vaikuttavan tuloksiin.
- Kun haluat uuden mukautetun tietonäkymän sisältävän tapahtumat kaikkiin lokitiedoston tietoihin, myös vanhempiin tiedostoihin. Mukautetut tietonäkymät koskevat vain uusia tietoja, jotka ovat käytettävissä tästä eteenpäin, joten suosittelemme poistamaan vanhat tiedot ja lataamaan ne uudelleen, jotta ne sisällytetään mukautettuihin tietonäkymiin.
- Kun monet käyttäjät tai IP-osoitteet aloittivat työskentelyn uudelleen oltuaan jonkin aikaa offline-tilassa, poista vanhat tiedot estääksesi uuden toiminnan tunnistamisen poikkeaviksi, virheellisillä positiivisilla rikkomuksilla.
Lisätietoja on kohdassa Pilvitietojen etsintätietojen poistaminen.
Luo pilven etsinnän johtajaraportti
Missä: valitse Microsoft Defender XDR portaalissa Pilvisovellukset > Pilvipalvelun resurssienetsintä > Raporttinäkymät-toiminnot >
Henkilö: Yhteensopivuuden järjestelmänvalvojat
Suosittelemme, että käytät pilvietsintäjohtajaraporttia yleiskatsauksen luomiseen varjo-IT:stä, jota käytetään koko organisaatiossasi. pilvitietojen etsinnän johtoraportit tunnistavat tärkeimmät mahdolliset riskit ja auttavat sinua suunnittelemaan työnkulun riskien lieventämiseksi ja hallitsemiseksi, kunnes ne on ratkaistu.
Lisätietoja on kohdassa Pilvitietojen etsinnän johtajaraportin luominen.
Luo pilven etsinnän tilannevedosraportti
Missä: valitse Microsoft Defender XDR portaalissa Pilvisovellukset > Pilvipalvelun resurssienetsintä > Raporttinäkymät-toiminnot >
Henkilö: Suojauksen ja yhteensopivuuden järjestelmänvalvojat
Jos sinulla ei vielä ole lokia ja haluat nähdä mallin siitä, miltä se saattaa näyttää, lataa mallilokitiedosto.
Lisätietoja on kohdassa Luo tilannevedos pilvien etsintäraporteista.