Jakten på trusler i appaktiviteter
Apper kan være et verdifullt inngangspunkt for angripere, så vi anbefaler at du overvåker avvik og mistenkelig atferd som bruker apper. Når du undersøker et varsel om appstyring eller ser gjennom appens virkemåte i miljøet, blir det viktig å raskt få innsyn i detaljer om aktiviteter som gjøres av slike mistenkelige apper, og utføre utbedringshandlinger for å beskytte ressurser i organisasjonen.
Ved hjelp av appstyring og avanserte jaktfunksjoner kan du få fullstendig innsyn i aktiviteter som gjøres av appene og ressursene de har fått tilgang til.
Denne artikkelen beskriver hvordan du kan forenkle appbasert trusseljakt ved hjelp av appstyring i Microsoft Defender for Cloud Apps.
Trinn 1: Finn appen i appstyring
Siden for Defender for Cloud Apps appstyring viser alle Microsoft Entra ID OAuth-apper.
Hvis du ønsker å få mer informasjon om dataene som åpnes av en bestemt app, kan du søke etter appen på applisten i appstyring. Du kan eventuelt bruke filtre for databruk eller tjenester til å vise apper som har tilgang til data på én eller flere av de støttede Microsoft 365-tjenestene.
Trinn 2: Vis data som åpnes av apper
- Når du har identifisert en app, velger du appen for å åpne appdetaljerruten.
- Velg Databruk-fanen i appdetaljerruten for å vise informasjon om størrelsen og antall ressurser appen har åpnet de siste 30 dagene.
Eksempel:
Appstyring gir databruksbasert innsikt for ressurser som e-postmeldinger, filer og chat- og kanalmeldinger på tvers av Exchange Online, OneDrive, SharePoint og Teams.
Trinn 3: Jakten på relaterte aktiviteter og ressurser som er åpnet
Når du har en overordnet oversikt over dataene som brukes av appen på tvers av tjenester og ressurser, vil du kanskje vite detaljene for appaktivitetene og ressursene den fikk tilgang til mens du utførte disse aktivitetene.
- Velg go-hunt-ikonet ved siden av hver ressurs for å vise detaljer om ressursene som appen har åpnet de siste 30 dagene. En ny fane åpnes, og omdirigerer deg til Avansert jakt-siden med en forhåndsutfyllet KQL-spørring.
- Når siden lastes inn, velger du Kjør spørring-knappen for å kjøre KQL-spørringen og vise resultatene.
Når spørringen kjøres, vises spørringsresultatene i tabellform. Hver rad i tabellen tilsvarer en aktivitet som er utført av appen for å få tilgang til den bestemte ressurstypen. Hver kolonne i tabellen gir omfattende kontekst om selve appen, ressursen, brukeren og aktiviteten.
Når du for eksempel velger go-hunt-ikonet ved siden av e-postressursen , kan du bruke appstyring til å vise følgende informasjon for alle e-postmeldinger som appen har åpnet de siste 30 dagene i avansert jakt:
- Detaljer om e-postmeldingen: InternetMessageId, NetworkMessageId, Emne, Avsendernavn og adresse, Mottakeradresse, AttachmentCount og UrlCount
- Appdetaljer: OAuthApplicationId for appen som brukes til å sende eller få tilgang til e-postmeldingen
- Brukerkontekst: ObjectId, AccountDisplayName, IPAddress og UserAgent
- Appaktivitetskontekst: OperationType, tidsstempel for aktiviteten, arbeidsbelastning
Eksempel:
På samme måte kan du bruke go-hunt-ikonet i appstyring for å få detaljer for andre støttede ressurser, for eksempel filer, chatmeldinger og kanalmeldinger. Bruk go-hunt-ikonet ved siden av en bruker i Brukere-fanen i appdetaljerruten for å få detaljer om alle aktivitetene som gjøres av appen i konteksten til en bestemt bruker.
Eksempel:
Trinn 4: Bruke avanserte jaktfunksjoner
Bruk siden Avansert jakt til å endre eller justere en KQL-spørring for å hente resultater basert på dine spesifikke krav. Du kan velge å lagre spørringen for fremtidige brukere eller dele en kobling med andre i organisasjonen, eller eksportere resultatene til en CSV-fil.
For mer informasjon, se Proaktivt jakten på trusler med avansert jakt i Microsoft Defender XDR.
Kjente begrensninger
Når du bruker avansert jakt-siden til å undersøke data fra appstyring, kan det hende du oppdager avvik i dataene. Disse avvikene kan skyldes én av årsakene nedenfor:
Appstyring og avanserte prosessdata for jakt separat. Eventuelle problemer som oppstår av en av løsningene under behandlingen, kan føre til avvik.
Behandling av data om appstyring kan ta flere timer lenger tid å fullføre. På grunn av denne forsinkelsen dekker den kanskje ikke nylig appaktivitet som er tilgjengelig på Avansert jakt.
De angitte avanserte jaktspørringene er satt til å vise bare 1k resultater. Selv om du kan redigere en spørring for å vise flere resultater, vil Avansert jakt fortsatt bruke en maksimumsgrense på 10k resultater. Appstyring har ikke denne grensen.