Guida operativa ad hoc - Microsoft Defender for Cloud Apps
Questo articolo elenca le attività operative mensili che è consigliabile eseguire con Microsoft Defender for Cloud Apps.
Le attività mensili possono essere eseguite più frequentemente o in base alle esigenze, a seconda dell'ambiente e delle esigenze.
Esaminare l'integrità del servizio Microsoft
Dove: controllare le posizioni seguenti:
- Nel interfaccia di amministrazione di Microsoft 365 selezionare Integrità > Integrità dei servizi
- Stato Integrità dei servizi microsoft 365
- X: https://twitter.com/MSFT365status
Se si verificano problemi con un servizio cloud, è consigliabile controllare gli aggiornamenti dell'integrità del servizio per determinare se si tratta di un problema noto, con una risoluzione in corso, prima di chiamare il supporto o dedicare tempo alla risoluzione dei problemi.
Eseguire query di ricerca avanzate
Dove: nel portale di Microsoft Defender XDR selezionare Ricerca > avanzata ed eseguire query per Defender for Cloud Apps dati.
Persona: analisti SOC
Analogamente alla revisione dei log attività, la ricerca avanzata può essere usata come attività pianificata, usando rilevamenti personalizzati o query ad hoc per cercare in modo proattivo le minacce.
La ricerca avanzata è uno strumento unificato che consente di cercare le minacce in Microsoft Defender XDR. È consigliabile salvare le query usate di frequente per velocizzare la ricerca manuale delle minacce e la correzione.
Le query di esempio seguenti sono utili quando si eseguono query per Defender for Cloud Apps dati:
Cercare Office - File Record eventi caricati
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
Cercare i record office - MailItemsAccessed Details
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
Cercare Estrai record di oggetti attività
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
Cercare Microsoft Entra ID - Aggiungi ai record del ruolo
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
Ricerca di Microsoft Entra ID - Aggiunta di record da parte del gruppo
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
Esaminare le quarantene dei file
Dove: nel portale di Microsoft Defender XDR selezionare File delle app > cloud. Eseguire una query per gli elementi in cui è stato messo in quarantena = True.
Persona: amministratori di conformità
Usare Defender for Cloud Apps per rilevare i file indesiderati archiviati nel cloud e lasciare vulnerabili. Intervenire immediatamente per arrestarli nelle loro tracce usando la quarantena Amministrazione per bloccare i file che rappresentano una minaccia. Amministrazione quarantena consente di proteggere i file nel cloud, correggere i problemi ed evitare perdite future.
I file in Amministrazione quarantena potrebbero essere esaminati come parte di un'indagine sugli avvisi e potrebbe essere necessario gestire i file in quarantena per motivi di governance e conformità.
Per altre informazioni, vedere Informazioni sul funzionamento della quarantena.
Esaminare i punteggi di rischio dell'app
Dove: nel portale di Microsoft Defender XDR selezionare Cloud apps Cloud app catalog (Catalogo app cloud).>
Persona: amministratori di conformità
Il catalogo delle app cloud valuta il rischio per le app cloud in base alla certificazione normativa, agli standard del settore e alle procedure consigliate. È consigliabile esaminare il punteggio per ognuna delle app nell'ambiente per assicurarsi che sia allineato alle normative aziendali.
Dopo aver controllato il punteggio di rischio di un'app, è possibile inviare una richiesta per modificare il punteggio o personalizzare il punteggio di rischio nelle metriche del punteggio di cloud discovery>.
Per altre informazioni, vedere Trovare l'app cloud e calcolare i punteggi di rischio.
Eliminare i dati di cloud discovery
Dove: nel portale di Microsoft Defender XDR selezionare Impostazioni > App > cloud Cloud Discovery > Elimina dati.
Persona: amministratori di conformità
È consigliabile eliminare i dati di cloud discovery negli scenari seguenti:
- Se sono presenti file di log meno recenti caricati manualmente e non si desidera che i dati precedenti influiscano sui risultati.
- Quando si desidera che una nuova visualizzazione dati personalizzata includa eventi in tutti i dati dei file di log, inclusi i file meno recenti. Le visualizzazioni dati personalizzate si applicano solo ai nuovi dati disponibili da quel momento in poi, pertanto è consigliabile eliminare eventuali dati precedenti e caricarli di nuovo per includerli nelle visualizzazioni dati personalizzate.
- Quando molti utenti o indirizzi IP hanno iniziato a funzionare di nuovo dopo essere stati offline per qualche tempo, eliminare i dati precedenti per impedire che la nuova attività venga identificata come anomala, con violazioni false positive.
Per altre informazioni, vedere Eliminazione dei dati di individuazione cloud.
Generare un report esecutivo di cloud discovery
Dove: nel portale di Microsoft Defender XDR selezionare Cloud apps > Cloud discovery > Dashboard > Actions
Persona: amministratori di conformità
È consigliabile usare un report esecutivo di cloud discovery per ottenere una panoramica dell'IT shadow usato nell'organizzazione. I report dei dirigenti di cloud discovery identificano i principali rischi potenziali e consentono di pianificare un flusso di lavoro per mitigare e gestire i rischi fino a quando non vengono risolti.
Per altre informazioni, vedere Generare un report esecutivo sull'individuazione cloud.
Generare un report snapshot di individuazione cloud
Dove: nel portale di Microsoft Defender XDR selezionare Cloud apps > Cloud discovery > Dashboard > Actions
Persona: amministratori di sicurezza e conformità
Se non si dispone ancora di un log e si vuole visualizzare un esempio di quello che potrebbe essere, scaricare un file di log di esempio.
Per altre informazioni, vedere Creare report di individuazione cloud snapshot.