Guide opérationnel ad hoc - Microsoft Defender for Cloud Apps
Cet article répertorie les activités opérationnelles mensuelles que nous vous recommandons d’effectuer avec Microsoft Defender for Cloud Apps.
Les activités mensuelles peuvent être effectuées plus fréquemment ou selon les besoins, en fonction de votre environnement et de vos besoins.
Passer en revue l’intégrité du service Microsoft
Où : vérifiez les emplacements suivants :
- Dans le Centre d’administration Microsoft 365, sélectionnez Intégrité > État des services
- Microsoft 365 État des services status
- X: https://twitter.com/MSFT365status
Si vous rencontrez des problèmes avec un service cloud, nous vous recommandons de vérifier les mises à jour d’intégrité du service pour déterminer s’il s’agit d’un problème connu, avec une résolution en cours, avant d’appeler le support technique ou de passer du temps à résoudre les problèmes.
Exécuter des requêtes de chasse avancées
Où : dans le portail Microsoft Defender XDR, sélectionnez Chasse > avancée et requête pour Defender for Cloud Apps données.
Personnage : Analystes SOC
À l’instar de l’examen des journaux d’activité, la chasse avancée peut être utilisée comme activité planifiée, en utilisant des détections personnalisées ou des requêtes ad hoc pour rechercher de manière proactive les menaces.
La chasse avancée est un outil unifié qui vous permet de rechercher les menaces dans Microsoft Defender XDR. Nous vous recommandons d’enregistrer les requêtes fréquemment utilisées pour accélérer la recherche et la correction manuelles des menaces.
Les exemples de requêtes suivants sont utiles lors de l’interrogation de données Defender for Cloud Apps :
Rechercher des enregistrements Office - FichierTéléchargements d’événements
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
Rechercher des enregistrements Office - MailItemsAccessed Details
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
Rechercher des enregistrements d’objets d’activité d’extraction
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
Rechercher Microsoft Entra ID - Ajouter aux enregistrements de rôle
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
Rechercher Microsoft Entra ID - Groupe ajoute des enregistrements
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
Examiner les quarantaines de fichiers
Où : Dans le portail Microsoft Defender XDR, sélectionnez Applications cloud > Fichiers. Recherchez les éléments pour lesquels la valeur true est mise en = quarantaine.
Personnage : Administrateurs de conformité
Utilisez Defender for Cloud Apps pour détecter les fichiers indésirables stockés dans votre cloud et qui vous exposent. Prenez des mesures immédiates pour les arrêter en utilisant la mise en quarantaine Administration pour verrouiller les fichiers qui constituent une menace. Administration mise en quarantaine peut vous aider à protéger les fichiers dans le cloud, à corriger les problèmes et à empêcher les fuites futures.
Les fichiers en quarantaine Administration peuvent être examinés dans le cadre d’une investigation d’alerte, et vous devrez peut-être gérer les fichiers mis en quarantaine pour des raisons de gouvernance et de conformité.
Pour plus d’informations, consultez Comprendre le fonctionnement de la quarantaine.
Passer en revue les scores de risque de l’application
Où : Dans le portail Microsoft Defender XDR, sélectionnez Applications cloud Catalogue d’applications > cloud.
Personnage : Administrateurs de conformité
Le catalogue d’applications cloud évalue les risques pour vos applications cloud en fonction de la certification réglementaire, des normes du secteur et des meilleures pratiques. Nous vous recommandons d’examiner le score de chacune des applications de votre environnement pour nous assurer qu’il est conforme aux réglementations de votre entreprise.
Après avoir vérifié le score de risque d’une application, vous pouvez envoyer une demande de modification du score ou personnaliser le score de risque dans les métriques de score Cloud Discovery>.
Pour plus d’informations, consultez Rechercher votre application cloud et calculer les scores de risque.
Supprimer les données de découverte cloud
Où : Dans le portail Microsoft Defender XDR, sélectionnez Paramètres > Applications > cloud Cloud Discovery > Supprimer les données.
Personnage : Administrateurs de conformité
Nous vous recommandons de supprimer les données de découverte cloud dans les scénarios suivants :
- Si vous avez des fichiers journaux plus anciens, chargés manuellement et que vous ne souhaitez pas que les anciennes données affectent vos résultats.
- Lorsque vous souhaitez qu’une nouvelle vue de données personnalisée inclue des événements dans toutes les données du fichier journal, y compris les fichiers plus anciens. Les vues de données personnalisées s’appliquent uniquement aux nouvelles données disponibles à partir de ce moment. Nous vous recommandons donc de supprimer les anciennes données et de les charger à nouveau pour les inclure dans les vues de données personnalisées.
- Lorsque de nombreux utilisateurs ou adresses IP recommencent à fonctionner après avoir été hors connexion pendant un certain temps, supprimez les anciennes données pour éviter que la nouvelle activité ne soit identifiée comme anormale, avec des violations de faux positifs.
Pour plus d’informations, consultez Suppression des données de découverte cloud.
Générer un rapport exécutif de découverte du cloud
Où : Dans le portail Microsoft Defender XDR, sélectionnez Cloud Apps > Cloud Discovery > Dashboard > Actions
Personnage : Administrateurs de conformité
Nous vous recommandons d’utiliser un rapport exécutif cloud discovery pour obtenir une vue d’ensemble de l’informatique fantôme utilisée dans votre organization. Les rapports de la direction de cloud discovery identifient les principaux risques potentiels et vous aident à planifier un flux de travail pour atténuer et gérer les risques jusqu’à ce qu’ils soient résolus.
Pour plus d’informations, consultez Générer un rapport exécutif de découverte du cloud.
Générer un rapport de instantané cloud discovery
Où : Dans le portail Microsoft Defender XDR, sélectionnez Cloud Apps > Cloud Discovery > Dashboard > Actions
Personnage : Administrateurs de la sécurité et de la conformité
Si vous n’avez pas encore de journal et que vous souhaitez voir un exemple de ce à quoi peut ressembler un fichier journal, téléchargez un exemple de fichier journal.
Pour plus d’informations, consultez Créer instantané rapports de découverte cloud.