Daglig driftsveiledning - Microsoft Defender for Cloud Apps
Denne artikkelen viser daglige driftsaktiviteter som vi anbefaler at du utfører med Defender for Cloud Apps.
Se gjennom varsler og hendelser
Varsler og hendelser er to av de viktigste elementene sikkerhetsoperasjonene (SOC)-teamet bør gjennomgå daglig.
Triage hendelser og varsler regelmessig fra hendelsene kø i Microsoft Defender XDR, prioritere høy og middels alvorlighetsgrad varsler.
Hvis du arbeider med et SIEM-system, er SIEM-systemet vanligvis første stopp for triage. SIEM-systemer gir mer kontekst med ekstra logger og SOAR-funksjonalitet. Deretter kan du bruke Microsoft Defender XDR for en dypere forståelse av et varsel eller en tidslinje for hendelsen.
Triage hendelsene fra Microsoft Defender XDR
Hvor: I Microsoft Defender XDR velger du Hendelser & varsler
Persona: SOC-analytikere
Ved sortering av hendelser:
Filtrer etter følgende elementer i hendelsesinstrumentbordet:
Filter Verdier Status Ny, pågår Alvorlighetsgraden Høy, middels, lav Tjenestekilde La alle tjenestekilder være kontrollert. Å holde all tjenestekilde kontrollert bør føre opp varsler med mest gjengivelse, med korrelasjon på tvers av andre Microsoft XDR-arbeidsbelastninger. Velg Defender for Cloud Apps for å vise elementer som kommer spesielt fra Defender for Cloud Apps. Velg hver hendelse for å se gjennom alle detaljer. Se gjennom alle fanene i hendelsen, aktivitetsloggen og avansert jakt.
Velg hvert beviselement i hendelsens bevis- og svarfane . Velg Alternativer-menyen >Undersøk , og velg deretter Aktivitetslogg eller Gå på jakt etter behov.
Triage hendelsene dine. Velg Administrer hendelse for hver hendelse, og velg deretter ett av følgende alternativer:
- Sann positiv
- Falsk positiv
- Informasjon, forventet aktivitet
For ekte varsler angir du behandlingstypen for å hjelpe sikkerhetsteamet med å se trusselmønstre og forsvare organisasjonen mot risiko.
Når du er klar til å starte den aktive etterforskningen, tilordner du hendelsen til en bruker og oppdaterer hendelsesstatusen til Pågår.
Når hendelsen utbedres, kan du løse den for å løse alle koblede og relaterte aktive varsler.
Hvis du vil ha mer informasjon, kan du se:
- Prioriter hendelser i Microsoft Defender XDR
- Undersøke varsler i Microsoft Defender XDR
- Strategibøker for hendelsesrespons
- Slik undersøker du varsler om avviksregistrering
- Administrer varsler om appstyring
- Undersøk varsler om trusselregistrering
Triage hendelsene fra SIEM-systemet
Persona: SOC-analytikere
Forutsetninger: Du må være koblet til et SIEM-system, og vi anbefaler at du integrerer med Microsoft Sentinel. Hvis du vil ha mer informasjon, kan du se:
- Microsoft Sentinel-integrering (forhåndsversjon)
- Koble data fra Microsoft Defender XDR til Microsoft Sentinel
- Generisk SIEM-integrering
Ved å integrere Microsoft Defender XDR med Microsoft Sentinel kan du strømme alle Microsoft Defender XDR hendelser inn i Microsoft Sentinel og holde dem synkronisert mellom begge portalene. Microsoft Defender XDR hendelser i Microsoft Sentinel inkludere alle tilknyttede varsler, enheter og relevant informasjon, noe som gir nok kontekst til å triage og kjøre en foreløpig undersøkelse.
Når Microsoft Sentinel, forblir hendelser synkronisert med Microsoft Defender XDR, slik at du kan bruke funksjonene fra begge portalene i undersøkelsen.
- Når du installerer datakoblingen til Microsoft Sentinel for Microsoft Defender XDR, må du ta med alternativet Microsoft Defender for Cloud Apps.
- Vurder å bruke en strømmings-API til å sende data til en hendelseshub, der den kan brukes gjennom en hvilken som helst partner-SIEM med en event hub-kobling, eller plassert i Azure Storage.
Hvis du vil ha mer informasjon, kan du se:
- Microsoft Defender XDR integrering med Microsoft Sentinel
- Navigere og undersøke hendelser i Microsoft Sentinel
- Opprett egendefinerte analyseregler for å oppdage trusler
Se gjennom data for trusselregistrering
Hvor: Velg følgende i Microsoft Defender XDR-portalen:
- Hendelser & varsler
- Trusselregistrering for policybehandling > for > skyapper >
- Oauth-apper for skyapper >
Identitet: Sikkerhetsadministratorer og SOC-analytikere
Trusselregistrering for skyapper er der mange SOC-analytikere fokuserer sine daglige aktiviteter, og identifiserer høyrisikobrukere som viser unormal atferd.
Defender for Cloud Apps trusselregistrering bruker Microsofts forskningsdata for trusselintelligens og sikkerhet. Varsler er tilgjengelige i Microsoft Defender XDR og bør triaged regelmessig.
Når sikkerhetsadministratorer og SOC-analytikere håndterer varsler, håndterer de følgende hovedtyper av policyer for trusselregistrering:
Identitet: Sikkerhetsadministrator
Pass på å opprette policyene for trusselbeskyttelse som kreves av organisasjonen, inkludert håndtering av eventuelle forutsetninger.
Se gjennom programstyring
Hvor: Velg følgende i Microsoft Defender XDR-portalen:
- Hendelser & varsler
- Hendelser & varsler / appstyring
Persona: SOC-analytikere
Appstyring gir detaljert synlighet og kontroll over OAuth-apper. Appstyring bidrar til å bekjempe stadig mer sofistikerte kampanjer som utnytter appene som distribueres lokalt og i skyinfrastrukturer, og etablerer et utgangspunkt for privilegiskalering, sidebevegelse og dataeksfiltrering.
Appstyring leveres sammen med Defender for Cloud Apps. Varsler er også tilgjengelige i Microsoft Defender XDR, og bør triaged regelmessig.
Hvis du vil ha mer informasjon, kan du se:
- Oppdagelsesvarsler
- Undersøk forhåndsdefinerte apppolicyvarsler
- Undersøke og utbedre risikable OAuth-apper
Se oversiktssiden for appstyring
Hvor: Velg følgende i Microsoft Defender XDR-portalen:
- Hendelser & varsler
- Oversikt over appstyring > for skyapper >
Persona: SOC-analytikere og sikkerhetsadministrator
Vi anbefaler at du kjører en rask, daglig vurdering av samsvarsstillingen til appene og hendelsene dine. Kontroller for eksempel følgende detaljer:
- Antallet over privilegerte eller svært privilegerte apper
- Apper med en ubekreftet utgiver
- Databruk for tjenester og ressurser som ble åpnet ved hjelp av Graph API
- Antall apper som fikk tilgang til data med de vanligste følsomhetsetikettene
- Antall apper som fikk tilgang til data med og uten følsomhetsetiketter på tvers av Microsoft 365-tjenester
- En oversikt over appstyringsrelaterte hendelser
Basert på dataene du ser gjennom, kan det være lurt å opprette nye eller justere policyer for appstyring.
Hvis du vil ha mer informasjon, kan du se:
- Vis og administrer hendelser og varsler
- Vis appdetaljene dine med appstyring
- Opprett apppolicyer i appstyring.
Se gjennom OAuth-appdata
Hvor: Velg følgende i Microsoft Defender XDR-portalen:
- Hendelser & varsler
- Azure AD for appstyring > i skyapper >
Vi anbefaler at du sjekker listen over OAuth-aktiverte apper daglig, sammen med relevante appmetadata og bruksdata. Velg en app for å vise dypere innsikt og informasjon.
Appstyring bruker maskinlæringsbaserte gjenkjenningsalgoritmer til å oppdage uregelmessig appvirkemåte i Microsoft Defender XDR-leieren, og genererer varsler som du kan se, undersøke og løse. Utover denne innebygde gjenkjenningsfunksjonen kan du bruke et sett med standard policymaler eller opprette dine egne apppolicyer som genererer andre varsler.
Hvis du vil ha mer informasjon, kan du se:
- Vis og administrer hendelser og varsler
- Vis appdetaljene dine med appstyring
- Få detaljert informasjon om en app
Opprett og administrer policyer for appstyring
Hvor: Velg policyer for appstyring > i skyapper > i Microsoft Defender XDR-portalen
Identitet: Sikkerhetsadministratorer
Vi anbefaler at du sjekker OAuth-appene daglig for regelmessig inngående synlighet og kontroll. Generer varsler basert på maskinlæringsalgoritmer, og opprett apppolicyer for appstyring.
Hvis du vil ha mer informasjon, kan du se:
Se gjennom appkontrollen for betinget tilgang
Hvor: Velg følgende i Microsoft Defender XDR-portalen:
- Hendelser & varsler
- Betinget tilgang for policybehandling > for skyapper >>
Hvis du vil konfigurere appkontroll for betinget tilgang, velger du Innstillinger for appkontroll for betinget tilgang for skyapper >>
Identitet: Sikkerhetsadministrator
Appkontroll for betinget tilgang gir deg muligheten til å overvåke og kontrollere brukerapptilgang og -økter i sanntid, basert på tilgangs- og øktpolicyer.
Genererte varsler er tilgjengelige i Microsoft Defender XDR og bør triaged regelmessig.
Som standard er det ingen tilgangs- eller øktpolicyer distribuert, og derfor er ingen relaterte varsler tilgjengelige. Du kan registrere en hvilken som helst nettapp for å arbeide med tilgangs- og øktkontroller, Microsoft Entra ID apper blir automatisk pålastet. Vi anbefaler at du oppretter økt- og tilgangspolicyer etter behov for organisasjonen.
Hvis du vil ha mer informasjon, kan du se:
- Vis og administrer hendelser og varsler
- Beskytt apper med Microsoft Defender for Cloud Apps appkontroll for betinget tilgang
- Blokker og beskytt nedlasting av sensitive data til uadministrerte eller risikable enheter
- Sikre samarbeid med eksterne brukere ved å håndheve øktkontroller i sanntid
Identitet: SOC-administrator
Vi anbefaler at du ser gjennom varsler for betinget tilgang-appkontroll daglig, og aktivitetsloggen. Filtrer aktivitetslogger etter kilde, tilgangskontroll og øktkontroll.
Hvis du vil ha mer informasjon, kan du se Se gjennom varsler og hendelser
Se gjennom skygge-IT – skyoppdagelse
Hvor: Velg følgende i Microsoft Defender XDR-portalen:
- Hendelser & varsler
- Cloud apps > Cloud discovery /Cloud app catalog
- Cloud apps > Policies > Policy Management > Shadow IT
Identitet: Sikkerhetsadministratorer
Defender for skyapper analyserer trafikkloggene dine mot skyappkatalogen til over 31 000 skyapper. Apper rangeres og beregnes basert på mer enn 90 risikofaktorer for å gi kontinuerlig innsyn i skybruk, Shadow IT og risikoen som Shadow IT utgjør i organisasjonen.
Varsler relatert til skyoppdagelse er tilgjengelige i Microsoft Defender XDR og bør triaged regelmessig.
Opprett policyer for appoppdagelse for å starte varsling og merking av nylig oppdagede apper basert på bestemte betingelser, for eksempel risikoresultater, kategorier og appvirkemåter som daglig trafikk og nedlastede data.
Tips
Vi anbefaler at du integrerer Defender for Cloud Apps med Microsoft Defender for endepunkt for å oppdage skyapper utenfor bedriftens nettverk eller sikre gatewayer og bruke styringshandlinger på endepunktene.
Hvis du vil ha mer informasjon, kan du se:
- Vis og administrer hendelser og varsler
- Policyer for søk i skyen
- Opprett policyer for søk i skyen
- Konfigurer skyoppdagelse
- Oppdag og vurder skyapper
Identitet: Sikkerhets- og samsvarsadministratorer, SOC-analytikere
Når du har et stort antall oppdagede apper, vil du kanskje bruke filtreringsalternativene for å finne ut mer om de oppdagede appene.
Hvis du vil ha mer informasjon, kan du se Oppdagede appfiltre og spørringer i Microsoft Defender for Cloud Apps.
Se gjennom instrumentbordet for skyoppdagelse
Hvor: I Microsoft Defender XDR-portalen velger du Instrumentbord for skysøk > i skyapper>.
Identitet: Sikkerhets- og samsvarsadministratorer, SOC-analytikere
Vi anbefaler at du går gjennom instrumentbordet for søk i skyen daglig. Instrumentbordet for skyoppdagelse er utformet for å gi deg mer innsikt i hvordan skyapper brukes i organisasjonen, med en oversikt over barna av apper som brukes, åpne varsler og risikonivåene for apper i organisasjonen.
På instrumentbordet for skyoppdagelse:
Bruk kontrollprogrammene øverst på siden til å forstå den generelle bruken av skyapper.
Filtrer instrumentbordgrafene for å generere bestemte visninger, avhengig av interessen din. Eksempel:
- Forstå de beste kategoriene av apper som brukes i organisasjonen, spesielt for sanksjonerte apper.
- Se gjennom risikoresultater for de oppdagede appene.
- Filtrer visninger for å se de beste appene i bestemte kategorier.
- Vis toppbrukere og IP-adresser for å identifisere brukerne som er de mest dominerende brukerne av skyapper i organisasjonen.
- Vis appdata på et verdenskart for å forstå hvordan oppdagede apper spres etter geografisk plassering.
Når du har gjennomgått listen over oppdagede apper i miljøet ditt, anbefaler vi at du sikrer miljøet ditt ved å godkjenne sikre apper (godkjente apper), forby uønskede apper (ikke-godkjente apper) eller bruke egendefinerte koder.
Du vil kanskje også proaktivt se gjennom og bruke koder på appene som er tilgjengelige i katalogen for skyapper før de oppdages i miljøet ditt. Hvis du vil hjelpe deg med å styre disse programmene, kan du opprette relevante policyer for søk i skyen, utløst av bestemte koder.
Hvis du vil ha mer informasjon, kan du se:
Tips
Avhengig av miljøkonfigurasjonen kan du dra nytte av sømløs og automatisert blokkering, eller til og med advare- og lærefunksjonene fra Microsoft Defender for endepunkt. Hvis du vil ha mer informasjon, kan du se Integrere Microsoft Defender for endepunkt med Microsoft Defender for Cloud Apps.
Se gjennom informasjonsbeskyttelse
Hvor: Velg følgende i Microsoft Defender XDR-portalen:
- Hendelser & varsler
- Filer for skyapper >
- Policybehandlingsinformasjonsbeskyttelse > for skyapper >>
Identitet: Sikkerhets- og samsvarsadministratorer, SOC-analytikere
Defender for Cloud Apps med filpolicyer og varsler kan du fremtvinge en rekke automatiserte prosesser. Opprett policyer for å gi informasjonsbeskyttelse, inkludert kontinuerlige skanninger av samsvar, juridiske eDiscovery-oppgaver og beskyttelse av datatap (DLP) for sensitivt innhold som deles offentlig.
I tillegg til å triaging varsler og hendelser, anbefaler vi at SOC-teamene kjører ekstra, proaktive handlinger og spørringer. Se etter følgende spørsmål på Siden Filer for skyapper>:
- Hvor mange filer deles offentlig, slik at alle kan få tilgang til dem uten en kobling?
- Hvilke partnere deler du filer til ved hjelp av utgående deling?
- Har noen filer sensitive navn?
- Deles noen av filene med en persons personlige konto?
Bruk resultatene av disse spørringene til å justere eksisterende filpolicyer eller opprette nye policyer.
Hvis du vil ha mer informasjon, kan du se: