Przewodnik operacyjny ad hoc — Microsoft Defender for Cloud Apps
W tym artykule wymieniono comiesięczne działania operacyjne, które zalecamy wykonać przy użyciu Microsoft Defender for Cloud Apps.
Miesięczne działania można wykonywać częściej lub w razie potrzeby, w zależności od środowiska i potrzeb.
Przegląd kondycji usługi firmy Microsoft
Gdzie: Sprawdź następujące lokalizacje:
- W Centrum administracyjne platformy Microsoft 365 wybierz pozycję Kondycja > Kondycja usługi
- Stan Kondycja usługi platformy Microsoft 365
- X: https://twitter.com/MSFT365status
Jeśli występują problemy z usługą w chmurze, zalecamy sprawdzenie aktualizacji kondycji usługi w celu ustalenia, czy jest to znany problem z rozwiązaniem w toku, przed wywołaniem pomocy technicznej lub spędzeniem czasu na rozwiązywanie problemów.
Uruchamianie zaawansowanych zapytań dotyczących wyszukiwania zagrożeń
Gdzie: W portalu Microsoft Defender XDR wybierz pozycję Wyszukiwanie zagrożeń > zaawansowanych i zapytanie dotyczące Defender for Cloud Apps danych.
Persona: Analitycy SOC
Podobnie jak w przypadku przeglądania dzienników aktywności, zaawansowane wyszukiwanie zagrożeń może służyć jako zaplanowane działanie, używając wykrywania niestandardowego lub zapytań ad hoc do proaktywnego wyszukiwania zagrożeń.
Zaawansowane wyszukiwanie zagrożeń to ujednolicone narzędzie, które umożliwia wyszukiwanie zagrożeń w różnych Microsoft Defender XDR. Zalecamy zapisywanie często używanych zapytań w celu szybszego ręcznego wyszukiwania zagrożeń i korygowania.
Poniższe przykładowe zapytania są przydatne podczas wykonywania zapytań dotyczących danych Defender for Cloud Apps:
Wyszukiwanie rekordów zdarzeń pakietu Office — FileDownloaded
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
Wyszukiwanie rekordów szczegółów pakietu Office — MailItemsAccessed
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
Wyszukiwanie rekordów wyodrębniania obiektów działań
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
Wyszukiwanie Tożsamość Microsoft Entra — dodawanie do rekordów roli
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
Wyszukiwanie Tożsamość Microsoft Entra — grupa dodaje rekordy
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
Przeglądanie kwarantann plików
Gdzie: W portalu Microsoft Defender XDR wybierz pozycję Pliki aplikacji w > chmurze. Kwerenda dotycząca elementów, w których wartość True została poddana = kwarantannie.
Persona: Administratorzy zgodności
Użyj Defender for Cloud Apps, aby wykryć niechciane pliki przechowywane w chmurze i pozostawić cię w trudnej sytuacji. Podejmij natychmiastowe działania, aby zatrzymać je na swoich torach, używając kwarantanny Administracja, aby zablokować pliki, które stanowią zagrożenie. Administracja kwarantanna może pomóc w ochronie plików w chmurze, korygowaniu problemów i zapobieganiu występowaniu przyszłych przecieków.
Pliki w Administracja kwarantannie mogą być przeglądane w ramach badania alertów i może być wymagane zarządzanie plikami poddanymi kwarantannie ze względu na ład i zgodność.
Aby uzyskać więcej informacji, zobacz Informacje o sposobie działania kwarantanny.
Przeglądanie wyników ryzyka aplikacji
Gdzie: W portalu Microsoft Defender XDR wybierz pozycję Cloud apps > Cloud app catalog.
Persona: Administratorzy zgodności
Katalog aplikacji w chmurze ocenia ryzyko dla aplikacji w chmurze na podstawie certyfikacji regulacyjnej, standardów branżowych i najlepszych rozwiązań. Zalecamy przejrzenie oceny dla każdej aplikacji w środowisku, aby upewnić się, że jest ona zgodna z przepisami firmy.
Po sprawdzeniu oceny ryzyka aplikacji możesz przesłać żądanie zmiany wyniku lub dostosować wynik ryzyka w metrykach wyników odnajdywania w chmurze>.
Aby uzyskać więcej informacji, zobacz Znajdowanie aplikacji w chmurze i obliczanie wyników ryzyka.
Usuwanie danych odnajdywania w chmurze
Gdzie: W portalu Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje w > chmurze Cloud Discovery > Usuń dane.
Persona: Administratorzy zgodności
Zalecamy usunięcie danych odnajdywania w chmurze w następujących scenariuszach:
- Jeśli masz starsze, ręcznie przekazane pliki dziennika i nie chcesz, aby stare dane wpływały na wyniki.
- Jeśli chcesz, aby nowy niestandardowy widok danych uwzględniał zdarzenia we wszystkich danych pliku dziennika, w tym w starszych plikach. Niestandardowe widoki danych mają zastosowanie tylko do nowych danych dostępnych od tego momentu, dlatego zalecamy usunięcie wszystkich starych danych i ponowne przekazanie ich w celu uwzględnienia ich w niestandardowych widokach danych.
- Gdy wielu użytkowników lub adresów IP zaczęło działać ponownie po pewnym czasie w trybie offline, usuń stare dane, aby zapobiec zidentyfikowaniu nowego działania jako nietypowego z fałszywie dodatnimi naruszeniami.
Aby uzyskać więcej informacji, zobacz Usuwanie danych odnajdywania w chmurze.
Generowanie raportu wykonawczego dotyczącego odnajdywania w chmurze
Gdzie: W portalu Microsoft Defender XDR wybierz pozycję Aplikacje w chmurze Akcje > pulpitu nawigacyjnego odnajdywania >> w chmurze
Persona: Administratorzy zgodności
Zalecamy użycie raportu wykonawczego dotyczącego odnajdywania w chmurze, aby uzyskać omówienie rozwiązania Shadow IT używanego w całej organizacji. raporty kierownictwa odnajdywania w chmurze identyfikują największe potencjalne zagrożenia i pomagają zaplanować przepływ pracy w celu ograniczenia ryzyka i zarządzania nimi do czasu ich rozwiązania.
Aby uzyskać więcej informacji, zobacz Generowanie raportu wykonawczego dotyczącego odnajdywania w chmurze.
Generowanie raportu migawki odnajdywania w chmurze
Gdzie: W portalu Microsoft Defender XDR wybierz pozycję Aplikacje w chmurze Akcje > pulpitu nawigacyjnego odnajdywania >> w chmurze
Persona: Administratorzy zabezpieczeń i zgodności
Jeśli nie masz jeszcze dziennika i chcesz zobaczyć przykład, jak może wyglądać, pobierz przykładowy plik dziennika.
Aby uzyskać więcej informacji, zobacz Tworzenie raportów odnajdywania w chmurze migawek.