Condividi tramite

Cercare le minacce nelle attività dell'app

  • Articolo

Le app possono essere un importante punto di ingresso per gli utenti malintenzionati, quindi è consigliabile monitorare le anomalie e i comportamenti sospetti che usano le app. Durante l'analisi di un avviso di governance dell'app o la revisione del comportamento dell'app nell'ambiente, diventa importante ottenere rapidamente visibilità sui dettagli delle attività eseguite da tali app sospette e intraprendere azioni correttive per proteggere gli asset nell'organizzazione.

Usando la governance delle app e le funzionalità di ricerca avanzate, è possibile ottenere visibilità completa sulle attività eseguite dalle app e dalle risorse a cui ha eseguito l'accesso.

Questo articolo descrive come semplificare la ricerca delle minacce basata su app usando la governance delle app in Microsoft Defender for Cloud Apps.

Passaggio 1: Trovare l'app nella governance dell'app

Nella pagina di governance Defender for Cloud Apps app sono elencate tutte le app OAuth Microsoft Entra ID.

Se si vuole ottenere altri dettagli sui dati a cui accede un'app specifica, cercare tale app nell'elenco delle app nella governance dell'app. In alternativa, usare i filtri Utilizzo dati o Accesso ai servizi per visualizzare le app che hanno eseguito l'accesso ai dati in uno o più dei servizi Microsoft 365 supportati.

Passaggio 2: Visualizzare i dati a cui accedono le app

  1. Dopo aver identificato un'app, selezionare l'app per aprire il riquadro dei dettagli dell'app.
  2. Selezionare la scheda Utilizzo dati nel riquadro dei dettagli dell'app per visualizzare le informazioni sulle dimensioni e sul numero di risorse a cui l'app ha eseguito l'accesso negli ultimi 30 giorni.

Ad esempio:

Screenshot del riquadro dei dettagli dell'app con i dettagli sull'utilizzo dei dati.

La governance delle app fornisce informazioni dettagliate basate sull'utilizzo dei dati per risorse come messaggi di posta elettronica, file e messaggi di chat e canali in Exchange Online, OneDrive, SharePoint e Teams.

Dopo aver creato una panoramica generale dei dati usati dall'app tra servizi e risorse, è possibile conoscere i dettagli delle attività dell'app e le risorse a cui ha eseguito l'accesso durante l'esecuzione di queste attività.

  1. Selezionare l'icona di ricerca guidata accanto a ogni risorsa per visualizzare i dettagli delle risorse a cui l'app ha eseguito l'accesso negli ultimi 30 giorni. Viene aperta una nuova scheda che consente di reindirizzare l'utente alla pagina Ricerca avanzata con una query KQL prepopolata.
  2. Dopo il caricamento della pagina, selezionare il pulsante Esegui query per eseguire la query KQL e visualizzare i risultati.

Dopo l'esecuzione della query, i risultati della query vengono visualizzati in formato tabulare. Ogni riga nella tabella corrisponde a un'attività eseguita dall'app per accedere al tipo di risorsa specifico. Ogni colonna nella tabella fornisce un contesto completo sull'app stessa, la risorsa, l'utente e l'attività.

Ad esempio, quando si seleziona l'icona go-hunt accanto alla risorsa Email, la governance dell'app consente di visualizzare le informazioni seguenti per tutti i messaggi di posta elettronica a cui l'app ha eseguito l'accesso negli ultimi 30 giorni in Ricerca avanzata:

  • Dettagli del messaggio di posta elettronica: InternetMessageId, NetworkMessageId, Subject, Sender name and address, Recipient address, AttachmentCount and UrlCount
  • Dettagli dell'app: OAuthApplicationId dell'app usata per inviare o accedere al messaggio di posta elettronica
  • Contesto utente: ObjectId, AccountDisplayName, IPAddress e UserAgent
  • Contesto dell'attività dell'app: OperationType, Timestamp dell'attività, Carico di lavoro

Ad esempio:

Screenshot di una pagina Ricerca avanzata per i messaggi di posta elettronica.

Analogamente, usare l'icona go-hunt nella governance delle app per ottenere i dettagli per altre risorse supportate, ad esempio file, messaggi di chat e messaggi del canale. Usare l'icona go-hunt accanto a qualsiasi utente nella scheda Utenti nel riquadro dei dettagli dell'app per ottenere dettagli su tutte le attività eseguite dall'app nel contesto di un utente specifico.

Ad esempio:

Screenshot di una pagina Ricerca avanzata per gli utenti.

Passaggio 4: Applicare funzionalità di ricerca avanzate

Usare la pagina Ricerca avanzata per modificare o modificare una query KQL per recuperare i risultati in base ai requisiti specifici. È possibile scegliere di salvare la query per gli utenti futuri o di condividere un collegamento con altri utenti dell'organizzazione o di esportare i risultati in un file CSV.

Per altre informazioni, vedere Ricerca proattiva delle minacce con ricerca avanzata in Microsoft Defender XDR.

Limitazioni note

Quando si usa la pagina Ricerca avanzata per analizzare i dati dalla governance delle app, è possibile che si notano discrepanze nei dati. Queste discrepanze possono essere dovute a uno dei motivi seguenti:

  • I dati del processo di ricerca avanzata e di governance delle app sono separati. Eventuali problemi riscontrati da entrambe le soluzioni durante l'elaborazione possono causare una discrepanza.

  • Il completamento dell'elaborazione dei dati di governance delle app può richiedere diverse ore. A causa di questo ritardo, potrebbe non coprire l'attività recente dell'app disponibile in Ricerca avanzata.

  • Le query di ricerca avanzate fornite sono impostate in modo da visualizzare solo 1k risultati. Anche se è possibile modificare una query per visualizzare altri risultati, Ricerca avanzata applica comunque un limite massimo di 10.000 risultati. La governance delle app non ha questo limite.

Passaggi successivi

Analizzare e correggere le app OAuth rischiose