Partilhar via

Investigar ameaças em atividades de aplicações

  • Artigo

As aplicações podem ser um ponto de entrada valioso para os atacantes, pelo que recomendamos a monitorização de anomalias e comportamentos suspeitos que utilizem aplicações. Ao investigar um alerta de governação de aplicações ou ao rever o comportamento da aplicação no ambiente, torna-se importante obter rapidamente visibilidade sobre os detalhes das atividades realizadas por essas aplicações suspeitas e tomar medidas de remediação para proteger os recursos na sua organização.

Com a governação de aplicações e as capacidades avançadas de investigação, pode obter visibilidade completa sobre as atividades realizadas pelas aplicações e pelos recursos a que acedeu.

Este artigo descreve como pode simplificar a investigação de ameaças baseada em aplicações com a governação de aplicações no Microsoft Defender for Cloud Apps.

Passo 1: localizar a aplicação na governação de aplicações

A página de governação do Defender for Cloud Apps App lista todas as aplicações OAuth Microsoft Entra ID.

Se quiser obter mais detalhes sobre os dados acedidos por uma aplicação específica, procure essa aplicação na lista de aplicações na governação de aplicações. Em alternativa, utilize os filtros Utilização de dados ou Serviços acedidos para ver aplicações que tenham acedido a dados num ou mais dos serviços suportados do Microsoft 365.

Passo 2: Ver dados acedidos por aplicações

  1. Depois de identificar uma aplicação, selecione a aplicação para abrir o painel de detalhes da aplicação.
  2. Selecione o separador Utilização de dados no painel de detalhes da aplicação para ver informações sobre o tamanho e contagem de recursos acedidos pela aplicação nos últimos 30 dias.

Por exemplo:

Captura de ecrã do painel de detalhes da aplicação com os detalhes de utilização de dados.

A governação de aplicações fornece informações baseadas na utilização de dados para recursos como e-mails, ficheiros e chat e mensagens de canal em Exchange Online, OneDrive, SharePoint e Teams.

Depois de ter uma descrição geral de alto nível dos dados utilizados pela aplicação em vários serviços e recursos, poderá querer saber os detalhes das atividades da aplicação e os recursos a que acedeu durante a execução destas atividades.

  1. Selecione o ícone go-hunt junto a cada recurso para ver os detalhes dos recursos acedidos pela aplicação nos últimos 30 dias. É aberto um novo separador, redirecionando-o para a página Investigação avançada com uma consulta KQL pré-preenchida.
  2. Assim que a página for carregada, selecione o botão Executar consulta para executar a consulta KQL e ver os resultados.

Após a execução da consulta, os resultados da consulta são apresentados em formato tabular. Cada linha na tabela corresponde a uma atividade realizada pela aplicação para aceder ao tipo de recurso específico. Cada coluna na tabela fornece contexto abrangente sobre a própria aplicação, o recurso, o utilizador e a atividade.

Por exemplo, quando seleciona o ícone go-hunt ao lado do recurso Email, a governação de aplicações permite-lhe ver as seguintes informações para todos os e-mails acedidos pela aplicação nos últimos 30 dias na Investigação avançada:

  • Detalhes do e-mail: InternetMessageId, NetworkMessageId, Assunto, Nome e endereço do remetente, Endereço do destinatário, AttachmentCount e UrlCount
  • Detalhes da aplicação: OAuthApplicationId da aplicação utilizada para enviar ou aceder ao e-mail
  • Contexto de utilizador: ObjectId, AccountDisplayName, IPAddress e UserAgent
  • Contexto de atividade da aplicação: OperationType, Carimbo de data/hora da atividade, Carga de Trabalho

Por exemplo:

Captura de ecrã a mostrar uma página de Investigação Avançada para e-mails.

Da mesma forma, utilize o ícone go-hunt na governação de aplicações para obter detalhes sobre outros recursos suportados, como ficheiros, mensagens de chat e mensagens de canal. Utilize o ícone go-hunt ao lado de qualquer utilizador no separador Utilizadores no painel de detalhes da aplicação para obter detalhes sobre todas as atividades realizadas pela aplicação no contexto de um utilizador específico.

Por exemplo:

Captura de ecrã a mostrar uma página de Investigação Avançada para utilizadores.

Passo 4: Aplicar capacidades avançadas de investigação

Utilize a página Investigação avançada para modificar ou ajustar uma consulta KQL para obter resultados com base nos seus requisitos específicos. Pode optar por guardar a consulta para futuros utilizadores ou partilhar uma ligação com outras pessoas na sua organização ou exportar os resultados para um ficheiro CSV.

Para obter mais informações, veja Proativamente investigar ameaças com investigação avançada em Microsoft Defender XDR.

Limitações conhecidas

Ao utilizar a página Investigação avançada para investigar dados da governação de aplicações, poderá notar discrepâncias nos dados. Estas discrepâncias podem dever-se a um dos motivos abaixo:

  • Governação de aplicações e dados de processos de investigação avançados separadamente. Quaisquer problemas encontrados por qualquer solução durante o processamento podem resultar numa discrepância.

  • O processamento de dados de governação de aplicações pode demorar várias horas a ser concluído. Devido a este atraso, pode não abranger a atividade recente da aplicação que está disponível na Investigação Avançada.

  • As consultas avançadas de investigação fornecidas estão definidas para mostrar apenas 1k resultados. Embora possa editar uma consulta para mostrar mais resultados, a Investigação Avançada continuará a aplicar um limite máximo de 10 mil resultados. A governação de aplicações não tem este limite.

Passos seguintes

Investigar e remediar aplicações OAuth arriscadas