Päivittäinen käyttöopas – Microsoft Defender for Cloud Apps

Tässä artikkelissa on luettelo päivittäisistä toiminnallisista toiminnoista, joita suosittelemme suorittamaan Defender for Cloud Apps kanssa.

Hälytysten ja tapausten tarkasteleminen

Hälytykset ja tapaukset ovat kaksi tärkeintä kohdetta, joita suojaustoimintojesi (SOC) tiimin tulee tarkastella päivittäin.

• Tapahtumat ja hälytykset säännöllisesti Microsoft Defender XDR tapahtumien jonosta, asettaen etusijalle korkean ja keskitason vakavuusilmoitukset.

• Jos käytät SIEM-järjestelmää, SIEM-järjestelmäsi on yleensä ensimmäinen pysähdyskohta triagelle. SIEM-järjestelmät tarjoavat enemmän kontekstia ylimääräisillä lokeilla ja SOAR-toiminnoilla. Käytä sitten Microsoft Defender XDR, jotta saat lisätietoja ilmoituksesta tai tapahtuman aikajanasta.

Kirjoita välikohtauksesi Microsoft Defender XDR

Missä: valitse Microsoft Defender XDR Tapaukset & hälytykset

Henkilö: SOC-analyytikot

Tapausten lajittelemisen yhteydessä:

1. Suodata tapahtuman koontinäytössä seuraavat kohteet:

   Suodatin	Arvot
   Tila	Uusi, käynnissä
   Vakavuus	Suuri, Keskikokoinen, Pieni
   Palvelulähde	Pidä kaikki palvelulähteet valittuna. Jos kaikki palvelulähteet pidetään valittuina, hälytykset tulee luetella parhaiten, ja ne korreloivat muiden Microsoft XDR -kuormitusten kanssa. Valitse Defender for Cloud Apps, jos haluat tarkastella kohteita, jotka ovat peräisin erityisesti Defender for Cloud Apps.

2. Voit tarkastella kaikkia tietoja valitsemalla kunkin tapauksen. Tarkista kaikki tapahtuman välilehdet, toimintaloki ja kehittynyt metsästys.

   Valitse tapauksen Todisteet ja vastaus -välilehdessä jokainen todistekohde. Valitse Asetukset-valikko >Tutki ja valitse sitten Toimintaloki tai Siirry metsästämään tarpeen mukaan.

3. Tee selkoa tapauksistasi. Valitse kunkin tapauksen kohdalla Tapahtuman hallinta ja valitse sitten jokin seuraavista vaihtoehdoista:

   • True-positiivinen
   • Epätosi-positiivinen
   • Tietoinen, odotettu toiminto

   Jos kyseessä on tosi-ilmoitus, määritä käsittelytyyppi, joka auttaa tietoturvatiimiäsi näkemään uhkakuviot ja puolustamaan organisaatiotasi riskeiltä.

4. Kun olet valmis aloittamaan aktiivisen tutkimuksen, määritä tapahtuma käyttäjälle ja päivitä tapahtuman tilaksi Käynnissä.

5. Kun tapaus korjataan, ratkaise se ja ratkaise kaikki linkitetyt ja siihen liittyvät aktiiviset hälytykset.

Lisätietoja on seuraavissa artikkeleissa:

• Tapausten priorisointi Microsoft Defender XDR
• Microsoft Defender XDR ilmoitusten tutkiminen
• Tapauksiin vastaamisen käsikirjat
• Poikkeamien tunnistamisilmoitusten tutkiminen
• Sovellusten hallintahälytysten hallinta
• Uhkien havaitsemisilmoitusten tutkiminen

Tapahtumien lajitteleminen SIEM-järjestelmästäsi

Henkilö: SOC-analyytikot

Edellytykset: Sinun on oltava yhteydessä SIEM-järjestelmään, ja suosittelemme integrointia Microsoft Sentinel kanssa. Lisätietoja on seuraavissa artikkeleissa:

• Microsoft Sentinel integrointi (esikatselu)
• Tietojen yhdistäminen Microsoft Defender XDR Microsoft Sentinel
• Yleinen SIEM-integrointi

Integroimalla Microsoft Defender XDR Microsoft Sentinel voit suoratoistaa kaikki Microsoft Defender XDR tapaukset Microsoft Sentinel ja pitää ne synkronoituina molempien portaalien välillä. Microsoft Defender XDR tapaukset Microsoft Sentinel sisältävät kaikki liittyvät hälytykset, entiteetit ja olennaiset tiedot, tarjoten riittävästi kontekstia alustavan tutkimuksen suorittamiseen ja tutkimiseen.

Microsoft Sentinel jälkeen tapaukset synkronoidaan Microsoft Defender XDR kanssa, jotta voit käyttää molempien portaaleihin liittyviä toimintoja tutkinnassasi.

• Kun asennat Microsoft Sentinel tietoyhdistimen Microsoft Defender XDR varten, varmista, että sisällytät Microsoft Defender for Cloud Apps-asetuksen.
• Harkitse suoratoiston ohjelmointirajapinnan käyttämistä tietojen lähettämiseen tapahtumakeskukseen, jossa sitä voidaan käyttää minkä tahansa kumppanin SIEM:n kautta tapahtumakeskusliittimellä tai sijoittaa Azure-tallennustilaan.

Lisätietoja on seuraavissa artikkeleissa:

• Microsoft Defender XDR integrointi Microsoft Sentinel kanssa
• Tapausten selaaminen ja tutkiminen Microsoft Sentinel
• Mukautettujen analytiikkasääntöjen luominen uhkien havaitsemiseksi

Tarkastele uhkien tunnistamisen tietoja

Missä: valitse Microsoft Defender XDR portaalissa:

• Tapaukset & hälytykset
• Pilvisovellusten > käytännöt > Käytäntöjen hallinta > Uhkien tunnistaminen
• Pilvisovellusten > Oauth-sovellukset

Henkilö: Suojauksen järjestelmänvalvojat ja SOC-analyytikot

Monet SOC-analyytikot keskittyvät päivittäisiin toimintoihinsa pilvisovelluksen uhkien tunnistamisessa tunnistaen suuren riskin käyttäjät, jotka osoittavat epänormaalia käyttäytymistä.

Defender for Cloud Apps uhkien tunnistaminen käyttää Microsoftin uhkien hallintaan ja suojaukseen kohdistuvaa tutkimustietoa. Ilmoitukset ovat saatavilla Microsoft Defender XDR, ja ne tulee suorittaa säännöllisesti.

Kun suojauksen järjestelmänvalvojat ja SOC-analyytikot käsittelevät hälytyksiä, he käsittelevät seuraavia uhkien tunnistamisen pääkäytäntöjä:

• Toimintakäytännöt
• Poikkeamien tunnistuskäytännöt
• OAuth-käytännöt ja sovellusten hallintokäytännöt

Henkilö: suojauksen järjestelmänvalvoja

Varmista, että luot organisaatiosi tarvitsemat uhkien suojauskäytännöt, mukaan lukien edellytysten käsittelyn.

Sovellusten hallinnan tarkistaminen

Missä: valitse Microsoft Defender XDR portaalissa:

• Tapaukset & hälytykset
• Tapaukset, & hälytyksiä / sovellusten hallinta

Henkilö: SOC-analyytikot

Sovellusten hallinta tarjoaa perusteellisen näkyvyyden ja hallinnan OAuth-sovelluksille. Sovellusten hallinta auttaa torjumaan yhä kehittyneempiä kampanjoita, jotka hyödyntävät paikallisesti ja pilvi-infrastruktuureissa käyttöön otettuja sovelluksia, ja luovat lähtökohdan oikeuksien eskalaatiolle, sivuttaisliikkeelle ja tietojen suodattimelle.

Sovellusten hallinta tarjotaan yhdessä Defender for Cloud Apps kanssa. Hälytykset ovat saatavilla myös Microsoft Defender XDR, ja ne on lajiteltava säännöllisesti.

Lisätietoja on seuraavissa artikkeleissa:

• Etsintäilmoitukset
• Tutki esimääritettyjä sovelluskäytäntöilmoituksia
• Riskialttiiden OAuth-sovellusten tutkiminen ja korjaaminen

Sovellusten hallinnan yleiskatsaussivun tarkistaminen

Missä: valitse Microsoft Defender XDR portaalissa:

• Tapaukset & hälytykset
• Pilvisovellusten > sovellusten hallinnan > yleiskatsaus

Henkilö: SOC-analyytikot ja suojauksen järjestelmänvalvoja

Suosittelemme, että suoritat nopean päivittäisen arvioinnin sovelluksiesi ja tapausten vaatimustenmukaisuusasennusta. Tarkista esimerkiksi seuraavat tiedot:

• Yli-etuoikeutettujen tai hyvin etuoikeutettujen sovellusten määrä
• Sovellukset, joilla on vahvistamaton julkaisija
• Graph-ohjelmointirajapinnan avulla käytettyjen palvelujen ja resurssien käyttö
• Yleisimpien luottamuksellisuustunnisteiden avulla tietoja käyneiden sovellusten määrä
• Luottamuksellisuustunnisteiden avulla ja ilman tietoja käyttäneiden sovellusten määrä Kaikissa Microsoft 365 -palveluissa
• Yleiskatsaus sovellusten hallintoon liittyvistä tapauksista

Tarkistamieni tietojen perusteella voit luoda uusia tai muokata sovellusten hallintakäytäntöjä.

Lisätietoja on seuraavissa artikkeleissa:

• Tapausten ja ilmoitusten tarkasteleminen ja hallinta
• Sovelluksen tietojen tarkasteleminen sovellusten hallinnan avulla
• Luo sovelluskäytäntöjä sovellusten hallinnassa.

OAuth-sovelluksen tietojen tarkistaminen

Missä: valitse Microsoft Defender XDR portaalissa:

• Tapaukset & hälytykset
• Pilvisovellusten > sovellusten hallinnan > Azure AD

Suosittelemme, että tarkistat OAuth-sovellusten luettelon päivittäin yhdessä asianmukaisten sovelluksen metatietojen ja käyttötietojen kanssa. Valitse sovellus, jos haluat tarkastella syvällisempiä merkityksellisiä tietoja.

Sovellusten hallinta käyttää koneoppimiseen perustuvia tunnistusalgoritmeja tunnistaakseen poikkeavan sovelluksen käyttäytymisen Microsoft Defender XDR vuokraajassasi ja luo hälytyksiä, joita voit tarkastella, tutkia ja ratkaista. Tämän sisäänrakennetun tunnistusominaisuuden lisäksi voit käyttää oletuskäytäntömalleja tai luoda omia sovelluskäytäntöjä, jotka luovat muita ilmoituksia.

Lisätietoja on seuraavissa artikkeleissa:

• Tapausten ja ilmoitusten tarkasteleminen ja hallinta
• Sovelluksen tietojen tarkasteleminen sovellusten hallinnan avulla
• Yksityiskohtaisten tietojen hankkiminen sovelluksesta

Sovellusten hallintakäytäntöjen luominen ja hallinta

Missä: valitse Microsoft Defender XDR portaalissa Pilvisovellukset Sovellusten > hallintakäytännöt >

Henkilö: suojauksen järjestelmänvalvojat

Suosittelemme, että tarkistat OAuth-sovelluksesi päivittäin, jotta saat säännöllisen perusteellisen näkyvyyden ja hallinnan. Luo automaattianalyysipalvelualgoritmeihin perustuvia hälytyksiä ja luo sovelluskäytäntöjä sovellusten hallintaa varten.

Lisätietoja on seuraavissa artikkeleissa:

• Sovelluskäytäntöjen luominen sovellusten hallinnassa
• Sovelluskäytäntöjen hallinta

Tarkastele ehdollisten käyttöoikeuksien sovelluksen hallintaa

Missä: valitse Microsoft Defender XDR portaalissa:

• Tapaukset & hälytykset
• Pilvisovellusten > käytäntöjen > käytännön hallinta > Ehdollinen käyttöoikeus

Jos haluat määrittää ehdollisen käyttöoikeuden sovelluksen hallinnan, valitse Asetukset > Pilvisovellukset > Ehdollisen käytön sovelluksen hallinta

Henkilö: suojauksen järjestelmänvalvoja

Ehdollisen Access-sovelluksen ohjausobjektin avulla voit valvoa ja hallita käyttäjien sovellusten käyttöoikeuksia ja istuntoja reaaliaikaisesti käyttöoikeus- ja istuntokäytäntöjen perusteella.

Luodut hälytykset ovat käytettävissä Microsoft Defender XDR, ja ne tulee lajitilla säännöllisesti.

Oletusarvoisesti käyttöönotetut käyttöoikeus- tai istuntokäytännöt eivät ole käytettävissä, joten niihin liittyviä ilmoituksia ei ole käytettävissä. Voit lisätä minkä tahansa verkkosovelluksen käyttöoikeuden ja istunnon ohjausobjektien kanssa, Microsoft Entra ID sovellukset lisätään automaattisesti. Suosittelemme, että luot istunto- ja käyttöoikeuskäytännöt tarvittaessa organisaatiossasi.

Lisätietoja on seuraavissa artikkeleissa:

• Tapausten ja ilmoitusten tarkasteleminen ja hallinta
• Sovellusten suojaaminen ehdollisten käyttöoikeuksien Microsoft Defender for Cloud Apps avulla
• Luottamuksellisten tietojen lataamisen estäminen ja suojaaminen hallitsemattomiin tai riskialttiisiin laitteisiin
• Suojattu yhteistyö ulkoisten käyttäjien kanssa valvomalla reaaliaikaisia istunnon ohjausobjekteja

Henkilö: SOC-järjestelmänvalvoja

Suosittelemme, että tarkastelet ehdollisten käyttöoikeuksien sovellusten valvontailmoituksia päivittäin sekä toimintolokia. Suodata toimintolokit lähteen, käyttöoikeuksien hallinnan ja istunnon hallinnan mukaan.

Lisätietoja on kohdassa Ilmoitusten ja tapausten tarkasteleminen

Tarkastele varjo-IT:ta – pilvipalveluetsintä

Missä: valitse Microsoft Defender XDR portaalissa:

• Tapaukset & hälytykset
• Pilvisovellusten > pilvietsintä/ pilvisovellusluettelo
• Pilvisovellusten > käytäntöjen > käytäntöjen hallinta > Varjosta IT

Henkilö: suojauksen järjestelmänvalvojat

Defender for Cloud Apps analysoi liikennelokejasi yli 31 000 pilvisovelluksen pilvisovellusluettelossa. Sovellukset luokitellaan ja pisteytetään yli 90 riskitekijän perusteella jatkuvan näkyvyyden tarjoamiseksi pilvipalvelun käyttöön, varjo-IT:hen ja riskeihin, joita varjo-IT aiheuttaa organisaatiollesi.

Pilvihakuun liittyvät hälytykset ovat käytettävissä Microsoft Defender XDR, ja ne tulee lajitilla säännöllisesti.

Luo sovellusten etsintäkäytäntöjä, jotta voit aloittaa uusien löydettyjen sovellusten hälytyksen ja merkitsemisen tiettyjen ehtojen, kuten riskipisteiden, luokkien ja sovelluksen toiminnan, kuten päivittäisen liikenteen ja ladattujen tietojen, perusteella.

Vihje

Suosittelemme, että integroit Defender for Cloud Apps Microsoft Defender for Endpoint kanssa löytääksesi pilvisovelluksia yrityksen verkon ulkopuolella tai suojattuja yhdyskäytäviä ja käyttääksesi hallintotoimintoja päätepisteissäsi.

Lisätietoja on seuraavissa artikkeleissa:

• Tapausten ja ilmoitusten tarkasteleminen ja hallinta
• Pilvipalvelun etsintäkäytännöt
• Pilvitietojen etsintäkäytäntöjen luominen
• Pilvipalvelun etsinnän määrittäminen
• Pilvisovellusten etsiminen ja arvioiminen

Henkilö: Suojauksen ja vaatimustenmukaisuuden järjestelmänvalvojat, SOC-analyytikot

Kun löydettyjä sovelluksia on paljon, haluat ehkä käyttää suodatusvaihtoehtoja, jotta saat lisätietoja löytämistäsi sovelluksista.

Lisätietoja on artikkelissa Löydettyjen sovellusten suodattimet ja kyselyt Microsoft Defender for Cloud Apps.

Tutustu pilvietsintäkoontinäyttöön

Missä: valitse Microsoft Defender XDR portaalissa Pilvisovellukset > Pilvipalvelulöytökoontinäyttö>.

Henkilö: Suojauksen ja vaatimustenmukaisuuden järjestelmänvalvojat, SOC-analyytikot

Suosittelemme tarkistamaan pilvietsintäkoontinäytön päivittäin. Pilvietsintäkoontinäyttö on suunniteltu antamaan lisätietoja siitä, miten pilvisovelluksia käytetään organisaatiossasi. Se sisältää yleiskatsauksen yhdellä silmäyksellä käytettävien sovellusten lapsista, avoimista ilmoituksista ja organisaatiosi sovellusten riskitasoista.

Pilven etsinnän koontinäytössä:

1. Voit ymmärtää pilvisovelluksen yleistä käyttöä sivun yläreunassa olevien pienoissovellusten avulla.

2. Suodata koontinäytön kaaviot ja luo tiettyjä näkymiä kiinnostuksesi mukaan. Esimerkki:

   • Tutustu organisaatiossasi käytettävien sovellusten suosituimpiin luokkiin, erityisesti pakotteiden kohteena oleville sovelluksille.
   • Tarkista löydettyjen sovellusten riskipisteet.
   • Suodata näkymät, jotta näet suosituimmat sovelluksesi tietyissä luokissa.
   • Tarkastele huippukäyttäjiä ja IP-osoitteita tunnistaaksesi käyttäjät, jotka ovat organisaatiosi pilvisovellusten hallitsevia käyttäjiä.
   • Tarkastele sovelluksen tietoja maailmankartalla, niin näet, miten löytyneet sovellukset leviävät maantieteellisen sijainnin mukaan.

Kun olet tarkistanut ympäristösi löydettyjen sovellusten luettelon, suosittelemme, että suojaat ympäristösi hyväksymällä turvallisia sovelluksia (hyväksytyt sovellukset), kieltämällä ei-toivotut sovellukset (ei-toimimattomat sovellukset) tai käyttämällä mukautettuja tunnisteita.

Haluat ehkä myös tarkistaa ja käyttää tunnisteita ennakoivasti pilvisovellusluettelossa käytettävissä oleviin sovelluksiin, ennen kuin ne löydetään ympäristöstäsi. Jotta voit hallita kyseisiä sovelluksia, voit luoda asianmukaisia pilvien etsintäkäytäntöjä, jotka käynnistetään tietyillä tunnisteilla.

Lisätietoja on seuraavissa artikkeleissa:

• Etsintätietojen käsitteleminen
• Löydettyjen sovellusten käyttäminen

Vihje

Ympäristön määrityksestä riippuen saatat hyötyä saumattomasta ja automatisoidusta estotoiminnosta tai jopa Microsoft Defender for Endpoint tarjoamista varoituksista ja koulutuksista. Lisätietoja on artikkelissa Microsoft Defender for Endpoint integrointi Microsoft Defender for Cloud Apps kanssa.

Tietojen suojauksen tarkistaminen

Missä: valitse Microsoft Defender XDR portaalissa:

• Tapaukset & hälytykset
• Pilvisovellustiedostot >
• Pilvisovellusten > käytännöt > Käytäntöjen hallinta > Tietojen suojaus

Henkilö: Suojauksen ja vaatimustenmukaisuuden järjestelmänvalvojat, SOC-analyytikot

Defender for Cloud Apps tiedostokäytäntöjen ja hälytysten avulla voit ottaa käyttöön useita automatisoituja prosesseja. Luo käytäntöjä, jotka tarjoavat tietosuojan, mukaan lukien jatkuvat yhteensopivuustarkistusten, juridiset eDiscovery-tehtävät ja julkisesti jaetun luottamuksellisen sisällön tietojen menetyksen suojauksen (DLP).

Ilmoitusten ja tapausten lajittelemisen lisäksi suosittelemme, että SOC-tiimisi suorittavat ylimääräisiä, ennakoivia toimintoja ja kyselyitä. Tarkista seuraavat kysymykset Cloud Apps > Files -sivulta:

• Kuinka monta tiedostoa jaetaan julkisesti, jotta kuka tahansa voi käyttää niitä ilman linkkiä?
• Mitkä kumppanit jakavat tiedostoja lähtevän jakamisen avulla?
• Onko millään tiedostolla luottamuksellisia nimiä?
• Jaetaanko tiedostoja jonkun henkilökohtaiselle tilille?

Näiden kyselyjen tulosten avulla voit säätää olemassa olevia tiedostokäytäntöjä tai luoda uusia käytäntöjä.

Lisätietoja on seuraavissa artikkeleissa:

• Tapausten ja ilmoitusten tarkasteleminen ja hallinta
• Tietojen suojauskäytännöt.

Aiheeseen liittyvä sisältö

Microsoft Defender for Cloud Apps käyttöopas