アドホック運用ガイド - Microsoft Defender for Cloud Apps
この記事では、Microsoft Defender for Cloud Appsで実行することをお勧めする毎月の運用アクティビティの一覧を示します。
毎月のアクティビティは、環境やニーズに応じて、より頻繁に、または必要に応じて実行できます。
Microsoft サービスの正常性を確認する
場所: 次の場所を確認します。
- Microsoft 365 管理センターで、[正常性] > サービス正常性
- Microsoft 365 サービス正常性の状態
- X: https://twitter.com/MSFT365status
クラウド サービスで問題が発生している場合は、サポートを呼び出す前に、またはトラブルシューティングに時間を費やす前に、サービス正常性の更新プログラムを確認して、既知の問題であるかどうかを判断し、解決が進行中かどうかを判断することをお勧めします。
高度なハンティング クエリを実行する
場所: Microsoft Defender XDR ポータルで、[ハンティング] > [高度なハンティング] を選択し、Defender for Cloud Apps データのクエリを実行します。
ペルソナ: SOC アナリスト
アクティビティ ログの確認と同様に、高度なハンティングは、カスタム検出またはアドホック クエリを使用して、脅威を事前に検出するスケジュールされたアクティビティとして使用できます。
高度なハンティングは、Microsoft Defender XDR全体で脅威を探す統合ツールです。 頻繁に使用されるクエリを保存して、手動による脅威の検出と修復を高速化することをお勧めします。
次のサンプル クエリは、Defender for Cloud Apps データのクエリを実行するときに役立ちます。
Office - FileDownloaded イベント レコードを検索する
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
Office - MailItemsAccessed Details レコードを検索する
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
抽出アクティビティ オブジェクト レコードを検索する
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
Microsoft Entra IDを検索する - ロール レコードに追加する
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
Microsoft Entra IDの検索 - グループレコードの追加
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
ファイル検疫を確認する
場所: Microsoft Defender XDR ポータルで、[クラウド アプリ] > [ファイル] を選択します。 Quarantined = True の項目を照会します。
ペルソナ: コンプライアンス管理者
Defender for Cloud Appsを使用して、クラウドに格納されている不要なファイルを検出し、脆弱なままにします。 管理検疫を使用して脅威を引き起こすファイルをロックダウンして、トラック内でそれらを停止する即時のアクションを実行します。 管理検疫は、クラウド内のファイルを保護し、問題を修復し、将来のリークが発生するのを防ぐのに役立ちます。
検疫管理ファイルは、アラート調査の一環として確認される場合があり、ガバナンスとコンプライアンス上の理由から検疫されたファイルを管理することが必要になる場合があります。
詳細については、「 検疫のしくみについて」を参照してください。
アプリのリスク スコアを確認する
場所: Microsoft Defender XDR ポータルで、[クラウド アプリ] > [クラウド アプリ カタログ] を選択します。
ペルソナ: コンプライアンス管理者
クラウド アプリ カタログは、規制認定、業界標準、ベスト プラクティスに基づいて、クラウド アプリのリスクを評価します。 環境内の各アプリのスコアを確認して、会社の規制と一致していることを確認することをお勧めします。
アプリのリスク スコアを確認した後、スコアを変更する要求を送信したり、 Cloud Discovery > スコア メトリックでリスク スコアをカスタマイズしたりできます。
詳細については、「 クラウド アプリを検索し、リスク スコアを計算する」を参照してください。
クラウド検出データを削除する
場所: Microsoft Defender XDR ポータルで、Cloud Discovery > [クラウド アプリ>設定] > [データの削除] を選択します。
ペルソナ: コンプライアンス管理者
次のシナリオでは、クラウド検出データを削除することをお勧めします。
- 古いログ ファイルを手動でアップロードしていて、古いデータが結果に影響を与えるのを望まない場合。
- 新しいカスタム データ ビューで、古いファイルを含むすべてのログ ファイル データにイベントを含める場合。 カスタム データ ビューは、その時点以降に使用可能な新しいデータにのみ適用されるため、古いデータを削除し、カスタム データ ビューに含めるためにもう一度アップロードすることをお勧めします。
- 多くのユーザーまたは IP アドレスがしばらくオフラインになった後に再び作業を開始したら、古いデータを削除して、新しいアクティビティが異常と識別されるのを防ぎ、誤検知違反が発生します。
詳細については、「 クラウド検出データの削除」を参照してください。
クラウド検出エグゼクティブ レポートを生成する
場所: Microsoft Defender XDR ポータルで、[Cloud apps > Cloud Discovery > Dashboard > Actions] を選択します
ペルソナ: コンプライアンス管理者
クラウド検出エグゼクティブ レポートを使用して、organization全体で使用されるシャドウ IT の概要を確認することをお勧めします。 クラウド検出エグゼクティブ レポートは、潜在的なリスクの上位を特定し、リスクが解決されるまでリスクを軽減および管理するためのワークフローを計画するのに役立ちます。
詳細については、「 クラウド検出エグゼクティブ レポートを生成する」を参照してください。
クラウド検出スナップショットレポートを生成する
場所: Microsoft Defender XDR ポータルで、[Cloud apps > Cloud Discovery > Dashboard > Actions] を選択します
ペルソナ: セキュリティとコンプライアンスの管理者
まだログを持っておらず、表示される可能性のあるサンプルを表示する場合は、サンプル ログ ファイルをダウンロードします。
詳細については、「クラウド検出レポートスナップショット作成する」を参照してください。