Guida operativa giornaliera - Microsoft Defender for Cloud Apps

Questo articolo elenca le attività operative giornaliere che è consigliabile eseguire con Defender for Cloud Apps.

Esaminare gli avvisi e gli eventi imprevisti

Gli avvisi e gli eventi imprevisti sono due degli elementi più importanti che il team delle operazioni di sicurezza deve esaminare quotidianamente.

• Valutare gli eventi imprevisti e gli avvisi regolarmente dalla coda degli eventi imprevisti in Microsoft Defender XDR, assegnando priorità agli avvisi di gravità alta e media.

• Se si usa un sistema SIEM, il sistema SIEM è in genere la prima tappa per la valutazione. I sistemi SIEM offrono più contesto con log aggiuntivi e funzionalità SOAR. Usare quindi Microsoft Defender XDR per una comprensione più approfondita di un avviso o di una sequenza temporale degli eventi imprevisti.

Valutare gli eventi imprevisti da Microsoft Defender XDR

Dove: in Microsoft Defender XDR selezionare Eventi imprevisti & avvisi

Persona: analisti SOC

Quando si verificano eventi imprevisti:

1. Nel dashboard degli eventi imprevisti filtrare per gli elementi seguenti:

   Filtro	Valori
   Stato	Nuovo, In corso
   Gravità	Alto, Medio, Basso
   Origine del servizio	Mantenere controllate tutte le origini del servizio. Se si mantiene selezionata tutta l'origine del servizio, gli avvisi devono essere elencati con la massima fedeltà, con correlazione tra altri carichi di lavoro Microsoft XDR. Selezionare Defender for Cloud Apps per visualizzare gli elementi provenienti in modo specifico da Defender for Cloud Apps.

2. Selezionare ogni evento imprevisto per esaminare tutti i dettagli. Esaminare tutte le schede dell'evento imprevisto, del log attività e della ricerca avanzata.

   Nella scheda Evidenza e risposta dell'evento imprevisto selezionare ogni elemento di evidenza. Selezionare il menu >opzioni Analizza e quindi selezionare Log attività o Vai a cercare in base alle esigenze.

3. Valutare gli eventi imprevisti. Per ogni evento imprevisto selezionare Gestisci evento imprevisto e quindi selezionare una delle opzioni seguenti:

   • Vero positivo
   • Falso positivo
   • Attività informativa prevista

   Per gli avvisi veri, specificare il tipo di trattamento per aiutare il team di sicurezza a visualizzare i modelli di minaccia e a difendere l'organizzazione dai rischi.

4. Quando si è pronti per avviare l'indagine attiva, assegnare l'evento imprevisto a un utente e aggiornare lo stato dell'evento imprevisto su In corso.

5. Quando l'evento imprevisto viene risolto, risolverlo per risolvere tutti gli avvisi attivi collegati e correlati.

Per altre informazioni, vedere:

• Assegnare priorità agli eventi imprevisti in Microsoft Defender XDR
• Analizzare gli avvisi in Microsoft Defender XDR
• Playbook di risposta agli incidenti
• Come analizzare gli avvisi di rilevamento anomalie
• Gestire gli avvisi di governance delle app
• Analizzare gli avvisi di rilevamento delle minacce

Valutare gli eventi imprevisti dal sistema SIEM

Persona: analisti SOC

Prerequisiti: è necessario essere connessi a un sistema SIEM ed è consigliabile eseguire l'integrazione con Microsoft Sentinel. Per altre informazioni, vedere:

• integrazione Microsoft Sentinel (anteprima)
• Connettere dati da Microsoft Defender XDR a Microsoft Sentinel
• Integrazione SIEM generica

L'integrazione di Microsoft Defender XDR con Microsoft Sentinel consente di trasmettere tutti gli eventi imprevisti Microsoft Defender XDR in Microsoft Sentinel e di mantenerli sincronizzati tra entrambi i portali. Microsoft Defender XDR eventi imprevisti in Microsoft Sentinel includono tutti gli avvisi, le entità e le informazioni pertinenti associati, fornendo un contesto sufficiente per valutare ed eseguire un'indagine preliminare.

Una volta in Microsoft Sentinel, gli eventi imprevisti rimangono sincronizzati con Microsoft Defender XDR in modo da poter usare le funzionalità di entrambi i portali nell'analisi.

• Quando si installa il connettore dati di Microsoft Sentinel per Microsoft Defender XDR, assicurarsi di includere l'opzione Microsoft Defender for Cloud Apps.
• Prendere in considerazione l'uso di un'API di streaming per inviare dati a un hub eventi, in cui possono essere usati tramite qualsiasi SIEM partner con un connettore dell'hub eventi o inseriti in Archiviazione di Azure.

Per altre informazioni, vedere:

• integrazione Microsoft Defender XDR con Microsoft Sentinel
• Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel
• Creare regole di analisi personalizzate per rilevare le minacce

Esaminare i dati di rilevamento delle minacce

Dove: nel portale di Microsoft Defender XDR selezionare:

• Eventi imprevisti & avvisi
• Rilevamento delle minacce per la gestione dei criteri delle > app >> cloud
• > App cloud App Oauth

Persona: amministratori della sicurezza e analisti SOC

Il rilevamento delle minacce delle app cloud è il punto in cui molti analisti SOC concentrano le attività quotidiane, identificando gli utenti ad alto rischio che mostrano comportamenti anomali.

Defender for Cloud Apps rilevamento delle minacce usa i dati di ricerca microsoft sulle minacce e sulla sicurezza. Gli avvisi sono disponibili in Microsoft Defender XDR e devono essere triaged regolarmente.

Quando gli amministratori della sicurezza e gli analisti SOC gestiscono gli avvisi, gestiscono i tipi principali di criteri di rilevamento delle minacce seguenti:

• Criteri attività
• Criteri di rilevamento anomalie
• Criteri OAuth e criteri di governance delle app

Persona: amministratore della sicurezza

Assicurarsi di creare i criteri di protezione dalle minacce necessari all'organizzazione, inclusa la gestione di eventuali prerequisiti.

Esaminare la governance delle applicazioni

Dove: nel portale di Microsoft Defender XDR selezionare:

• Eventi imprevisti & avvisi
• Eventi imprevisti & avvisi/Governance delle app

Persona: analisti SOC

La governance delle app offre visibilità e controllo approfonditi sulle app OAuth. La governance delle app aiuta a contrastare campagne sempre più sofisticate che sfruttano le app distribuite in locale e nelle infrastrutture cloud, creando un punto di partenza per l'escalation dei privilegi, lo spostamento laterale e l'esfiltrazione dei dati.

La governance delle app viene fornita insieme a Defender for Cloud Apps. Gli avvisi sono disponibili anche in Microsoft Defender XDR e devono essere valutato regolarmente.

Per altre informazioni, vedere:

• Avvisi di individuazione
• Analizzare gli avvisi dei criteri delle app predefiniti
• Analizzare e correggere le app OAuth rischiose

Pagina di panoramica sulla governance delle app

Dove: nel portale di Microsoft Defender XDR selezionare:

• Eventi imprevisti & avvisi
• Panoramica della governance > delle app > cloud

Persona: analisti SOC e amministratore della sicurezza

È consigliabile eseguire una valutazione rapida e giornaliera del comportamento di conformità delle app e degli eventi imprevisti. Ad esempio, controllare i dettagli seguenti:

• Numero di app con privilegi elevati o con privilegi elevati
• App con un editore non verificato
• Utilizzo dei dati per i servizi e le risorse a cui è stato eseguito l'accesso tramite API Graph
• Numero di app che hanno eseguito l'accesso ai dati con le etichette di riservatezza più comuni
• Numero di app che hanno eseguito l'accesso ai dati con e senza etichette di riservatezza nei servizi di Microsoft 365
• Panoramica degli eventi imprevisti correlati alla governance delle app

In base ai dati esaminati, è possibile creare nuovi criteri di governance delle app o modificarli.

Per altre informazioni, vedere:

• Visualizzare e gestire eventi imprevisti e avvisi
• Visualizzare i dettagli dell'app con la governance dell'app
• Creare criteri per le app nella governance delle app.

Esaminare i dati dell'app OAuth

Dove: nel portale di Microsoft Defender XDR selezionare:

• Eventi imprevisti & avvisi
• Governance delle app >> cloud Azure AD

È consigliabile controllare quotidianamente l'elenco delle app abilitate per OAuth, insieme ai metadati e ai dati di utilizzo delle app pertinenti. Selezionare un'app per visualizzare informazioni e informazioni più approfondite.

La governance delle app usa algoritmi di rilevamento basati su Machine Learning per rilevare il comportamento anomalo delle app nel tenant Microsoft Defender XDR e genera avvisi che è possibile visualizzare, analizzare e risolvere. Oltre a questa funzionalità di rilevamento predefinita, è possibile usare un set di modelli di criteri predefiniti o creare criteri di app personalizzati che generano altri avvisi.

Per altre informazioni, vedere:

• Visualizzare e gestire eventi imprevisti e avvisi
• Visualizzare i dettagli dell'app con la governance dell'app
• Ottenere informazioni dettagliate su un'app

Creare e gestire i criteri di governance delle app

Dove: nel portale di Microsoft Defender XDR selezionare Criteri di governance > delle app > cloud

Persona: amministratori della sicurezza

È consigliabile controllare quotidianamente le app OAuth per una visibilità e un controllo approfonditi regolari. Generare avvisi in base agli algoritmi di Machine Learning e creare criteri per le app per la governance delle app.

Per altre informazioni, vedere:

• Creare criteri per le app nella governance delle app
• Gestire i criteri delle app

Esaminare il controllo dell'app per l'accesso condizionale

Dove: nel portale di Microsoft Defender XDR selezionare:

• Eventi imprevisti & avvisi
• Accesso condizionale alla gestione dei criteri per > le app cloud >>

Per configurare il controllo delle app per l'accesso condizionale, selezionare Impostazioni > App cloud Controllo app > per l'accesso condizionale

Persona: amministratore della sicurezza

Il controllo app per l'accesso condizionale offre la possibilità di monitorare e controllare l'accesso alle app e le sessioni degli utenti in tempo reale, in base ai criteri di accesso e sessione.

Gli avvisi generati sono disponibili in Microsoft Defender XDR e devono essere valutato regolarmente.

Per impostazione predefinita, non sono stati distribuiti criteri di accesso o sessione e pertanto non sono disponibili avvisi correlati. È possibile eseguire l'onboarding di qualsiasi app Web per usare i controlli di accesso e sessione, Microsoft Entra ID l'onboarding automatico delle app. È consigliabile creare criteri di sessione e di accesso in base alle esigenze dell'organizzazione.

Per altre informazioni, vedere:

• Visualizzare e gestire eventi imprevisti e avvisi
• Proteggere le app con Microsoft Defender for Cloud Apps controllo app per l'accesso condizionale
• Bloccare e proteggere il download di dati sensibili nei dispositivi non gestiti o rischiosi
• Proteggere la collaborazione con utenti esterni mediante l'applicazione di controlli di sessione in tempo reale

Persona: amministratore SOC

È consigliabile esaminare quotidianamente gli avvisi di controllo delle app per l'accesso condizionale e il log attività. Filtrare i log attività in base all'origine, al controllo di accesso e al controllo sessione.

Per altre informazioni, vedere Esaminare avvisi ed eventi imprevisti

Esaminare l'IT shadow - Cloud Discovery

Dove: nel portale di Microsoft Defender XDR selezionare:

• Eventi imprevisti & avvisi
• Cloud apps > Cloud discovery/Cloud app catalog
• Cloud apps > Policies > Policy Management > Shadow IT

Persona: amministratori della sicurezza

Defender per le app cloud analizza i log del traffico rispetto al catalogo delle app cloud di oltre 31.000 app cloud. Le app vengono classificate e valutate in base a più di 90 fattori di rischio per offrire visibilità continua sull'uso del cloud, shadow IT e sui rischi che Shadow IT pone all'interno dell'organizzazione.

Gli avvisi correlati all'individuazione cloud sono disponibili in Microsoft Defender XDR e devono essere valutato regolarmente.

Creare criteri di individuazione delle app per avviare avvisi e contrassegnare le app appena individuate in base a determinate condizioni, ad esempio punteggi di rischio, categorie e comportamenti delle app, ad esempio il traffico giornaliero e i dati scaricati.

Consiglio

È consigliabile integrare Defender for Cloud Apps con Microsoft Defender per endpoint per individuare le app cloud oltre la rete aziendale o i gateway sicuri e applicare azioni di governance agli endpoint.

Per altre informazioni, vedere:

• Visualizzare e gestire eventi imprevisti e avvisi
• Criteri di individuazione cloud
• Creare criteri di individuazione cloud
• Configurare l'individuazione cloud
• Individuare e valutare le app cloud

Persona: amministratori di sicurezza e conformità, analisti SOC

Quando si dispone di un numero elevato di app individuate, è possibile usare le opzioni di filtro per altre informazioni sulle app individuate.

Per altre informazioni, vedere Filtri e query dell'app individuati in Microsoft Defender for Cloud Apps.

Esaminare il dashboard di individuazione cloud

Dove: nel portale di Microsoft Defender XDR selezionare Cloud apps > Cloud discovery Dashboard (Dashboard di cloud discovery>).

Persona: amministratori di sicurezza e conformità, analisti SOC

È consigliabile esaminare il dashboard di cloud discovery su base giornaliera. Il dashboard di cloud discovery è progettato per offrire informazioni più dettagliate sull'uso delle app cloud nell'organizzazione, con una panoramica immediata dei bambini delle app usate, degli avvisi aperti e dei livelli di rischio delle app nell'organizzazione.

Nel dashboard di cloud discovery:

1. Usare i widget nella parte superiore della pagina per comprendere l'utilizzo complessivo dell'app cloud.

2. Filtrare i grafici del dashboard per generare visualizzazioni specifiche, a seconda dell'interesse. Ad esempio:

   • Informazioni sulle principali categorie di app usate nell'organizzazione, in particolare per le app approvate.
   • Esaminare i punteggi di rischio per le app individuate.
   • Filtrare le visualizzazioni per visualizzare le app principali in categorie specifiche.
   • Visualizzare gli utenti e gli indirizzi IP principali per identificare gli utenti che sono gli utenti più dominanti delle app cloud nell'organizzazione.
   • Visualizzare i dati delle app in una mappa globale per comprendere come le app individuate si diffondono in base alla posizione geografica.

Dopo aver esaminato l'elenco delle app individuate nell'ambiente, è consigliabile proteggere l'ambiente approvando app sicure (app approvate ), proibendo le app indesiderate (app non approvate ) o applicando tag personalizzati.

È anche possibile esaminare e applicare in modo proattivo i tag alle app disponibili nel catalogo delle app cloud prima che vengano individuate nell'ambiente. Per semplificare la gestione di tali applicazioni, creare criteri di individuazione cloud pertinenti, attivati da tag specifici.

Per altre informazioni, vedere:

• Uso dei dati di individuazione
• Uso delle app individuate

Consiglio

A seconda della configurazione dell'ambiente, è possibile trarre vantaggio dal blocco semplice e automatizzato o anche dalle funzionalità di avviso ed educazione fornite da Microsoft Defender per endpoint. Per altre informazioni, vedere Integrare Microsoft Defender per endpoint con Microsoft Defender for Cloud Apps.

Esaminare la protezione delle informazioni

Dove: nel portale di Microsoft Defender XDR selezionare:

• Eventi imprevisti & avvisi
• File delle app > cloud
• Protezione delle informazioni sulla gestione dei criteri delle > app >> cloud

Persona: amministratori di sicurezza e conformità, analisti SOC

Defender for Cloud Apps criteri file e avvisi consentono di applicare un'ampia gamma di processi automatizzati. Creare criteri per fornire la protezione delle informazioni, incluse analisi di conformità continue, attività legali di eDiscovery e protezione dalla perdita dei dati (DLP) per contenuti sensibili condivisi pubblicamente.

Oltre a valutare avvisi ed eventi imprevisti, è consigliabile che i team soc esercitino azioni e query aggiuntive proattive. Nella pagina File delle app > cloud controllare le domande seguenti:

• Quanti file vengono condivisi pubblicamente in modo che chiunque possa accedervi senza un collegamento?
• Quali partner condividono i file con la condivisione in uscita?
• I file hanno nomi sensibili?
• I file vengono condivisi con l'account personale di un utente?

Usare i risultati di queste query per modificare i criteri di file esistenti o creare nuovi criteri.

Per altre informazioni, vedere:

• Visualizzare e gestire eventi imprevisti e avvisi
• Criteri di protezione delle informazioni.

Contenuto correlato

Microsoft Defender for Cloud Apps guida operativa