Delen via

Zoeken naar bedreigingen in app-activiteiten

  • Artikel

Apps kunnen een waardevol toegangspunt zijn voor aanvallers. Daarom raden we u aan afwijkingen en verdacht gedrag dat gebruikmaakt van apps te controleren. Tijdens het onderzoeken van een waarschuwing voor app-governance of het beoordelen van het app-gedrag in de omgeving, wordt het belangrijk om snel inzicht te krijgen in details van activiteiten die door dergelijke verdachte apps worden uitgevoerd en herstelacties te ondernemen om assets in uw organisatie te beschermen.

Met behulp van app-governance en geavanceerde opsporingsmogelijkheden krijgt u volledig inzicht in activiteiten die worden uitgevoerd door de apps en de resources die zijn geopend.

In dit artikel wordt beschreven hoe u het opsporen van bedreigingen op basis van apps kunt vereenvoudigen met behulp van app-governance in Microsoft Defender for Cloud Apps.

Stap 1: de app zoeken in app-governance

Op de pagina Defender for Cloud Apps App-beheer worden alle Microsoft Entra ID OAuth-apps weergegeven.

Als u meer informatie wilt over de gegevens waartoe een specifieke app toegang heeft, zoekt u naar die app in de app-lijst in app-beheer. U kunt ook de filters Gegevensgebruik of Toegang tot Services gebruiken om apps weer te geven die toegang hebben tot gegevens op een of meer van de ondersteunde Microsoft 365-services.

Stap 2: gegevens weergeven die door apps worden geopend

  1. Nadat u een app hebt geïdentificeerd, selecteert u de app om het detailvenster van de app te openen.
  2. Selecteer het tabblad Gegevensgebruik in het detailvenster van de app om informatie weer te geven over de grootte en het aantal resources dat de app in de afgelopen 30 dagen heeft geopend.

Bijvoorbeeld:

Schermopname van het detailvenster van de app met gegevensgebruik.

App-governance biedt inzichten op basis van gegevensgebruik voor resources zoals e-mailberichten, bestanden en chat- en kanaalberichten in Exchange Online, OneDrive, SharePoint en Teams.

Zodra u een overzicht op hoog niveau hebt van de gegevens die door de app worden gebruikt voor services en resources, wilt u mogelijk de details weten van de app-activiteiten en de resources die deze heeft gebruikt tijdens het uitvoeren van deze activiteiten.

  1. Selecteer het zoekpictogram naast elke resource om details weer te geven van de resources die de app in de afgelopen 30 dagen heeft geopend. Er wordt een nieuw tabblad geopend, dat u omleidt naar de pagina Geavanceerde opsporing met een vooraf ingevulde KQL-query.
  2. Zodra de pagina is geladen, selecteert u de knop Query uitvoeren om de KQL-query uit te voeren en de resultaten weer te geven.

Nadat de query is uitgevoerd, worden de queryresultaten weergegeven in tabelvorm. Elke rij in de tabel komt overeen met een activiteit die door de app is uitgevoerd om toegang te krijgen tot het specifieke resourcetype. Elke kolom in de tabel biedt uitgebreide context over de app zelf, de resource, de gebruiker en de activiteit.

Wanneer u bijvoorbeeld het zoekpictogram naast de Email-resource selecteert, kunt u met app-beheer de volgende informatie bekijken voor alle e-mailberichten die de app in de afgelopen 30 dagen heeft geopend in Geavanceerde opsporing:

  • Details van het e-mailbericht: InternetMessageId, NetworkMessageId, Onderwerp, Naam en adres van afzender, Adres van geadresseerde, AttachmentCount en UrlCount
  • App-details: OAuthApplicationId van de app die wordt gebruikt voor het verzenden of openen van de e-mail
  • Gebruikerscontext: ObjectId, AccountDisplayName, IPAddress en UserAgent
  • Context van app-activiteit: OperationType, Tijdstempel van de activiteit, Workload

Bijvoorbeeld:

Schermopname van een pagina Geavanceerde opsporing voor e-mailberichten.

Gebruik op dezelfde manier het go-hunt-pictogram in app-governance om details op te halen voor andere ondersteunde resources, zoals bestanden, chatberichten en kanaalberichten. Gebruik het pictogram Go-Hunt naast een gebruiker op het tabblad Gebruikers in het detailvenster van de app om details te krijgen over alle activiteiten die door de app worden uitgevoerd in de context van een specifieke gebruiker.

Bijvoorbeeld:

Schermopname van de pagina Geavanceerde opsporing voor gebruikers.

Stap 4: Geavanceerde opsporingsmogelijkheden toepassen

Gebruik de pagina Geavanceerde opsporing om een KQL-query te wijzigen of aan te passen om resultaten op te halen op basis van uw specifieke vereisten. U kunt ervoor kiezen om de query voor toekomstige gebruikers op te slaan of een koppeling te delen met anderen in uw organisatie, of de resultaten te exporteren naar een CSV-bestand.

Zie Proactief zoeken naar bedreigingen met geavanceerde opsporing in Microsoft Defender XDR voor meer informatie.

Bekende beperkingen

Wanneer u de pagina Geavanceerde opsporing gebruikt om gegevens uit app-governance te onderzoeken, ziet u mogelijk discrepanties in de gegevens. Deze verschillen kunnen worden veroorzaakt door een van de onderstaande redenen:

  • App-governance en geavanceerde opsporingsprocesgegevens afzonderlijk. Eventuele problemen die door een van beide oplossingen worden ondervonden tijdens de verwerking, kunnen leiden tot een discrepantie.

  • Het verwerken van app-governancegegevens kan enkele uren langer duren. Vanwege deze vertraging is het mogelijk niet van toepassing op recente app-activiteit die beschikbaar is op Geavanceerde opsporing.

  • De opgegeven geavanceerde opsporingsquery's zijn ingesteld om slechts 1.000 resultaten weer te geven. Hoewel u een query kunt bewerken om meer resultaten weer te geven, past Advanced Hunting nog steeds een maximale limiet van 10.000 resultaten toe. App-governance heeft deze limiet niet.

Volgende stappen

Riskante OAuth-apps onderzoeken en herstellen