Guia operacional ad hoc - Microsoft Defender for Cloud Apps
Este artigo lista as atividades operacionais mensais que recomendamos que realize com Microsoft Defender for Cloud Apps.
As atividades mensais podem ser realizadas com mais frequência ou conforme necessário, consoante o seu ambiente e necessidades.
Rever o estado de funcionamento do serviço Microsoft
Onde: Verifique as seguintes localizações:
- Na centro de administração do Microsoft 365, selecione Estado de funcionamento dos serviços de estado de > funcionamento
- Estado de Estado de funcionamento dos serviços do Microsoft 365
- X: https://twitter.com/MSFT365status
Se estiver a ter problemas com um serviço cloud, recomendamos que verifique as atualizações do estado de funcionamento do serviço para determinar se se trata de um problema conhecido, com uma resolução em curso, antes de chamar o suporte ou passar tempo a resolver problemas.
Executar consultas de investigação avançadas
Onde: no Portal do Microsoft Defender XDR, selecione Investigação > Avançada de investigação e consulta para Defender for Cloud Apps dados.
Persona: analistas do SOC
À semelhança da revisão dos registos de atividades, a investigação avançada pode ser utilizada como uma atividade agendada, utilizando deteções personalizadas ou consultas ad-hoc para procurar proativamente ameaças.
A investigação avançada é uma ferramenta unificada que lhe permite procurar ameaças entre Microsoft Defender XDR. Recomendamos que guarde as consultas utilizadas frequentemente para uma investigação e remediação manuais mais rápidas.
As seguintes consultas de exemplo são úteis ao consultar Defender for Cloud Apps dados:
Procurar o Office - FicheiroRegistos de Eventos Detransferidos
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
Procurar registos do Office - MailItemsAccessed Details
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
Procurar registos de objetos de atividade de Extração
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
Procurar Microsoft Entra ID - Adicionar aos Registos de função
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
Procurar Microsoft Entra ID – Agrupar Adiciona registos
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
Rever quarentenas de ficheiros
Onde: no portal do Microsoft Defender XDR, selecione Ficheiros de aplicações na cloud>. Consulte os itens em que oValor Verdadeirofoi colocado = em Quarentena.
Persona: Administradores de conformidade
Utilize Defender for Cloud Apps para detetar ficheiros indesejados armazenados na sua cloud e deixá-lo vulnerável. Tome medidas imediatas para pará-los nos seus rastos ao utilizar a quarentena Administração para bloquear os ficheiros que representam uma ameaça. Administração quarentena pode ajudá-lo a proteger ficheiros na cloud, a corrigir problemas e a impedir a ocorrência de fugas futuras.
Os ficheiros no Administração quarentena podem ser revistos como parte de uma investigação de alerta e poderá ser necessário gerir ficheiros em quarentena por motivos de governação e conformidade.
Para obter mais informações, veja Compreender como funciona a quarentena.
Rever as classificações de risco da aplicação
Onde: no Portal do Microsoft Defender XDR, selecione Cloud apps Catálogo de aplicações > na cloud.
Persona: Administradores de conformidade
O catálogo de aplicações na cloud classifica o risco para as suas aplicações na cloud com base na certificação regulamentar, nas normas da indústria e nas melhores práticas. Recomendamos que reveja a classificação de cada uma das aplicações no seu ambiente para se certificar de que está alinhada com os regulamentos da sua empresa.
Depois de verificar a classificação de risco de uma aplicação, poderá querer submeter um pedido para alterar a classificação ou personalizar a classificação de risco nas métricas de Pontuação da Cloud Discovery>.
Para obter mais informações, veja Localizar a sua aplicação na cloud e calcular as classificações de risco.
Eliminar dados de deteção da cloud
Onde: no Portal do Microsoft Defender XDR, selecione Definições Aplicações > na cloud > Eliminação de Dados na Cloud Discovery>.
Persona: Administradores de conformidade
Recomendamos que elimine os dados da cloud Discovery nos seguintes cenários:
- Se tiver ficheiros de registo carregados manualmente mais antigos e não quiser que os dados antigos afetem os resultados.
- Quando quiser que uma nova vista de dados personalizada inclua eventos em todos os dados de ficheiros de registo, incluindo ficheiros mais antigos. As vistas de dados personalizadas aplicam-se apenas a novos dados disponíveis a partir desse ponto, pelo que recomendamos eliminar quaisquer dados antigos e carregá-las novamente para incluí-las em vistas de dados personalizadas.
- Quando muitos utilizadores ou endereços IP começaram a trabalhar novamente depois de estarem offline durante algum tempo, elimine dados antigos para impedir que a nova atividade seja identificada como anómalo, com violações falsas positivas.
Para obter mais informações, veja Eliminar dados de deteção de cloud.
Gerar um relatório executivo da cloud Discovery
Onde: no Portal do Microsoft Defender XDR, selecione Aplicações na cloud Ações > do Dashboard de Deteção >> de Cloud
Persona: Administradores de conformidade
Recomendamos que utilize um relatório executivo da cloud Discovery para obter uma descrição geral do Shadow IT utilizado em toda a sua organização. Os relatórios executivos da cloud Discovery identificam os principais riscos potenciais e ajudam-no a planear um fluxo de trabalho para mitigar e gerir riscos até serem resolvidos.
Para obter mais informações, veja Generate cloud discovery executive report (Gerar relatório executivo da cloud Discovery).
Gerar um relatório instantâneo da cloud Discovery
Onde: no Portal do Microsoft Defender XDR, selecione Aplicações na cloud Ações > do Dashboard de Deteção >> de Cloud
Persona: Administradores de Segurança e Conformidade
Se ainda não tiver um registo e quiser ver um exemplo do aspeto, transfira um ficheiro de registo de exemplo.
Para obter mais informações, veja Criar relatórios instantâneos de deteção de cloud.