Delen via

Ad-hoc operationele handleiding - Microsoft Defender for Cloud Apps

  • Artikel

In dit artikel vindt u een overzicht van de maandelijkse operationele activiteiten die u met Microsoft Defender for Cloud Apps kunt uitvoeren.

Maandelijkse activiteiten kunnen vaker of indien nodig worden uitgevoerd, afhankelijk van uw omgeving en behoeften.

Microsoft-servicestatus controleren

Waar: Controleer de volgende locaties:

Als u problemen ondervindt met een cloudservice, raden we u aan de statusupdates van de service te controleren om te bepalen of het een bekend probleem is, terwijl er een oplossing wordt uitgevoerd, voordat u de ondersteuning belt of tijd besteedt aan het oplossen van problemen.

Geavanceerde opsporingsquery's uitvoeren

Waar: selecteer in de Microsoft Defender XDR Portal de optie Opsporing > geavanceerd opsporing en zoek naar Defender for Cloud Apps gegevens.

Persona: SOC-analisten

Net als bij het controleren van activiteitenlogboeken kan geavanceerde opsporing worden gebruikt als geplande activiteit, met behulp van aangepaste detecties of ad-hocquery's om proactief op bedreigingen te zoeken.

Geavanceerde opsporing is een geïntegreerd hulpprogramma waarmee u kunt zoeken naar bedreigingen in Microsoft Defender XDR. U wordt aangeraden veelgebruikte query's op te slaan voor een snellere handmatige opsporing en herstel van bedreigingen.

De volgende voorbeeldquery's zijn handig bij het uitvoeren van query's op Defender for Cloud Apps gegevens:

Zoeken naar Office - BestandRecords gedownloade gebeurtenissen

CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel

Zoeken naar Records voor Office - MailItemsAccessed Details

CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc

Zoeken naar records voor activiteitsobjecten extraheren

CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)

Zoeken naar Microsoft Entra ID - Toevoegen aan rolrecords

CloudAppEvents
| where ActionType in ("Add member to role.") 
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name,  UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName

Zoeken naar Microsoft Entra ID - Records groep toevoegen

CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName = 
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy = 
AccountDisplayName,GroupName

Bestandsquarantaine controleren

Waar: selecteer in de Microsoft Defender XDR Portal de optie Cloud-apps > Bestanden. Voer een query uit op items waarvoor waar in quarantaine = is geplaatst.

Persona: compliancebeheerders

Gebruik Defender for Cloud Apps om ongewenste bestanden te detecteren die zijn opgeslagen in uw cloud en die u kwetsbaar maken. Onderneem onmiddellijk actie om ze te stoppen met behulp van de Beheer quarantaine om de bestanden die een bedreiging vormen, te vergrendelen. Beheer quarantaine kan u helpen bestanden in de cloud te beveiligen, problemen op te lossen en toekomstige lekken te voorkomen.

Bestanden in Beheer quarantaine kunnen worden beoordeeld als onderdeel van een waarschuwingsonderzoek en u moet mogelijk in quarantaine geplaatste bestanden beheren om redenen van governance en naleving.

Zie Begrijpen hoe quarantaine werkt voor meer informatie.

App-risicoscores controleren

Waar: selecteer in de Microsoft Defender XDR Portal de optie Cloud-apps > Catalogus met cloud-apps.

Persona: compliancebeheerders

De cloud-app-catalogus beoordeelt risico's voor uw cloud-apps op basis van wettelijke certificering, industriestandaarden en best practices. We raden u aan de score voor elk van de apps in uw omgeving te controleren om ervoor te zorgen dat deze overeenkomt met uw bedrijfsvoorschriften.

Nadat u de risicoscore van een app hebt gecontroleerd, kunt u een aanvraag indienen om de score te wijzigen of de risicoscore aanpassen in metrische gegevens van Cloud Discovery > Score.

Zie Uw cloud-app zoeken en risicoscores berekenen voor meer informatie.

Clouddetectiegegevens verwijderen

Waar: selecteer in de Microsoft Defender XDR Portal Instellingen > Cloud-apps > Clouddetectie > gegevens verwijderen.

Persona: compliancebeheerders

We raden u aan clouddetectiegegevens te verwijderen in de volgende scenario's:

  • Als u oudere, handmatig geüploade logboekbestanden hebt en u niet wilt dat oude gegevens invloed hebben op uw resultaten.
  • Wanneer u in een nieuwe aangepaste gegevensweergave gebeurtenissen wilt opnemen in alle logboekbestandsgegevens, inclusief oudere bestanden. Aangepaste gegevensweergaven zijn alleen van toepassing op nieuwe gegevens die vanaf dat moment beschikbaar zijn. Daarom raden we u aan oude gegevens te verwijderen en opnieuw te uploaden om deze op te nemen in aangepaste gegevensweergaven.
  • Wanneer veel gebruikers of IP-adressen weer gingen werken nadat ze enige tijd offline waren, verwijdert u oude gegevens om te voorkomen dat de nieuwe activiteit wordt geïdentificeerd als afwijkend, met fout-positieve schendingen.

Zie Gegevens voor clouddetectie verwijderen voor meer informatie.

Een executive-rapport voor clouddetectie genereren

Waar: selecteer in de Microsoft Defender XDR Portal cloud-apps > Acties voor clouddetectiedashboard >>

Persona: compliancebeheerders

We raden u aan een Cloud Discovery Executive-rapport te gebruiken om een overzicht te krijgen van Schaduw-IT die in uw organisatie wordt gebruikt. managementrapporten voor cloud discovery identificeren de belangrijkste potentiële risico's en helpen u bij het plannen van een werkstroom om risico's te beperken en te beheren totdat ze zijn opgelost.

Zie Cloud Discovery Executive Report genereren voor meer informatie.

Een momentopnamerapport voor clouddetectie genereren

Waar: selecteer in de Microsoft Defender XDR Portal cloud-apps > Acties voor clouddetectiedashboard >>

Persona: beveiligings- en nalevingsbeheerders

Als u nog geen logboek hebt en een voorbeeld wilt zien van hoe een logboek eruit kan zien, downloadt u een voorbeeldlogboekbestand.

Zie Clouddetectierapporten voor momentopnamen maken voor meer informatie.

Verwante onderwerpen

operationele handleiding voor Microsoft Defender for Cloud Apps