임시 운영 가이드 - Microsoft Defender for Cloud Apps
이 문서에서는 Microsoft Defender for Cloud Apps 사용하여 수행하는 것이 좋습니다.
월별 활동은 환경 및 요구 사항에 따라 더 자주 또는 필요에 따라 수행할 수 있습니다.
Microsoft 서비스 상태 검토
위치: 다음 위치를 확인합니다.
- Microsoft 365 관리 센터 상태 > 서비스 상태 선택합니다.
- Microsoft 365 서비스 상태 상태
- X: https://twitter.com/MSFT365status
클라우드 서비스에 문제가 발생하는 경우 서비스 상태 업데이트를 확인하여 지원을 요청하거나 문제 해결에 시간을 할애하기 전에 해결이 진행 중인 알려진 문제인지 확인하는 것이 좋습니다.
고급 헌팅 쿼리 실행
위치: Microsoft Defender XDR 포털에서 헌팅 고급 헌팅 > 을 선택하고 Defender for Cloud Apps 데이터를 쿼리합니다.
페르소나: SOC 분석가
활동 로그를 검토하는 것과 마찬가지로 고급 헌팅은 사용자 지정 검색 또는 임시 쿼리를 사용하여 위협을 사전에 헌팅하는 예약된 활동으로 사용할 수 있습니다.
고급 헌팅은 Microsoft Defender XDR 위협을 헌팅할 수 있는 통합 도구입니다. 더 빠른 수동 위협 헌팅 및 수정을 위해 자주 사용되는 쿼리를 저장하는 것이 좋습니다.
다음 샘플 쿼리는 Defender for Cloud Apps 데이터를 쿼리할 때 유용합니다.
Office 검색 - 파일다운로드된 이벤트 레코드
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
Office 검색 - MailItemsAccessed Details 레코드
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
활동 개체 레코드 추출 검색
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
Microsoft Entra ID 검색 - 역할 레코드에 추가
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
Microsoft Entra ID 검색 - 그룹 레코드 추가
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
파일 격리 검토
위치: Microsoft Defender XDR 포털에서 클라우드 앱 > 파일을 선택합니다. 격리된True인 항목에 = 대한 쿼리입니다.
페르소나: 규정 준수 관리자
Defender for Cloud Apps 사용하여 클라우드에 저장된 원치 않는 파일을 검색하고 취약하게 만듭니다. 관리 격리를 사용하여 위협을 야기하는 파일을 잠그면 트랙에서 즉시 중지할 수 있습니다. 관리 격리를 사용하면 클라우드의 파일을 보호하고, 문제를 수정하고, 향후 누출이 발생하지 않도록 방지할 수 있습니다.
관리 격리의 파일은 경고 조사의 일부로 검토될 수 있으며 거버넌스 및 규정 준수를 위해 격리된 파일을 관리해야 할 수 있습니다.
자세한 내용은 격리 작동 방식 이해를 참조하세요.
앱 위험 점수 검토
위치: Microsoft Defender XDR 포털에서 클라우드 앱 > 클라우드 앱 카탈로그를 선택합니다.
페르소나: 규정 준수 관리자
규정 인증, 업계 표준 및 모범 사례에 따라 클라우드 앱에 대한 클라우드 앱 카탈로그 속도 위험이 있습니다. 사용자 환경의 각 앱에 대한 점수를 검토하여 회사 규정에 부합하는지 확인하는 것이 좋습니다.
앱의 위험 점수를 확인한 후 요청을 제출하여 점수를 변경하거나 Cloud Discovery > 점수 메트릭에서 위험 점수를 사용자 지정할 수 있습니다.
자세한 내용은 클라우드 앱 찾기 및 위험 점수 계산을 참조하세요.
클라우드 검색 데이터 삭제
위치: Microsoft Defender XDR 포털에서 설정 > 클라우드 앱 > Cloud Discovery > 데이터 삭제를 선택합니다.
페르소나: 규정 준수 관리자
다음 시나리오에서 클라우드 검색 데이터를 삭제하는 것이 좋습니다.
- 오래된 수동으로 업로드된 로그 파일이 있고 이전 데이터가 결과에 영향을 주지 않도록 하려는 경우
- 새 사용자 지정 데이터 뷰가 이전 파일을 포함하여 모든 로그 파일 데이터에 이벤트를 포함하도록 하려는 경우. 사용자 지정 데이터 뷰는 해당 시점부터 사용할 수 있는 새 데이터에만 적용되므로 이전 데이터를 삭제하고 다시 업로드하여 사용자 지정 데이터 뷰에 포함하는 것이 좋습니다.
- 많은 사용자 또는 IP 주소가 일정 시간 동안 오프라인 상태가 된 후 다시 작동하기 시작하면 이전 데이터를 삭제하여 새 활동이 잘못된 것으로 식별되지 않도록 하며, 가양성 위반이 발생합니다.
자세한 내용은 클라우드 검색 데이터 삭제를 참조하세요.
클라우드 검색 임원 보고서 생성
위치: Microsoft Defender XDR 포털에서 클라우드 앱 > 클라우드 검색 > 대시보드 > 작업을 선택합니다.
페르소나: 규정 준수 관리자
클라우드 검색 임원 보고서를 사용하여 organization 사용되는 섀도 IT에 대한 개요를 가져오는 것이 좋습니다. 클라우드 검색 임원 보고서는 잠재적인 주요 위험을 식별하고 해결될 때까지 위험을 완화하고 관리하는 워크플로를 계획하는 데 도움이 됩니다.
자세한 내용은 클라우드 검색 임원 보고서 생성을 참조하세요.
클라우드 검색 스냅샷 보고서 생성
위치: Microsoft Defender XDR 포털에서 클라우드 앱 > 클라우드 검색 > 대시보드 > 작업을 선택합니다.
Persona: 보안 및 규정 준수 관리자
아직 로그가 없고 어떻게 생겼는지에 대한 샘플을 보려면 샘플 로그 파일을 다운로드합니다.
자세한 내용은 스냅샷 클라우드 검색 보고서 만들기를 참조하세요.