Partilhar via


Guia operacional ad hoc - Microsoft Defender for Cloud Apps

Este artigo lista as atividades operacionais mensais que recomendamos que realize com Microsoft Defender for Cloud Apps.

As atividades mensais podem ser realizadas com mais frequência ou conforme necessário, consoante o seu ambiente e necessidades.

Rever o estado de funcionamento do serviço Microsoft

Onde: Verifique as seguintes localizações:

Se estiver a ter problemas com um serviço cloud, recomendamos que verifique as atualizações do estado de funcionamento do serviço para determinar se se trata de um problema conhecido, com uma resolução em curso, antes de chamar o suporte ou passar tempo a resolver problemas.

Executar consultas de investigação avançadas

Onde: no Portal do Microsoft Defender XDR, selecione Investigação > Avançada de investigação e consulta para Defender for Cloud Apps dados.

Persona: analistas do SOC

À semelhança da revisão dos registos de atividades, a investigação avançada pode ser utilizada como uma atividade agendada, utilizando deteções personalizadas ou consultas ad-hoc para procurar proativamente ameaças.

A investigação avançada é uma ferramenta unificada que lhe permite procurar ameaças entre Microsoft Defender XDR. Recomendamos que guarde as consultas utilizadas frequentemente para uma investigação e remediação manuais mais rápidas.

As seguintes consultas de exemplo são úteis ao consultar Defender for Cloud Apps dados:

Procurar o Office - FicheiroRegistos de Eventos Detransferidos

CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel

Procurar registos do Office - MailItemsAccessed Details

CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc

Procurar registos de objetos de atividade de Extração

CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)

Procurar Microsoft Entra ID - Adicionar aos Registos de função

CloudAppEvents
| where ActionType in ("Add member to role.") 
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name,  UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName

Procurar Microsoft Entra ID – Agrupar Adiciona registos

CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName = 
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy = 
AccountDisplayName,GroupName

Rever quarentenas de ficheiros

Onde: no portal do Microsoft Defender XDR, selecione Ficheiros de aplicações na cloud>. Consulte os itens em que oValor Verdadeirofoi colocado = em Quarentena.

Persona: Administradores de conformidade

Utilize Defender for Cloud Apps para detetar ficheiros indesejados armazenados na sua cloud e deixá-lo vulnerável. Tome medidas imediatas para pará-los nos seus rastos ao utilizar a quarentena Administração para bloquear os ficheiros que representam uma ameaça. Administração quarentena pode ajudá-lo a proteger ficheiros na cloud, a corrigir problemas e a impedir a ocorrência de fugas futuras.

Os ficheiros no Administração quarentena podem ser revistos como parte de uma investigação de alerta e poderá ser necessário gerir ficheiros em quarentena por motivos de governação e conformidade.

Para obter mais informações, veja Compreender como funciona a quarentena.

Rever as classificações de risco da aplicação

Onde: no Portal do Microsoft Defender XDR, selecione Cloud apps Catálogo de aplicações > na cloud.

Persona: Administradores de conformidade

O catálogo de aplicações na cloud classifica o risco para as suas aplicações na cloud com base na certificação regulamentar, nas normas da indústria e nas melhores práticas. Recomendamos que reveja a classificação de cada uma das aplicações no seu ambiente para se certificar de que está alinhada com os regulamentos da sua empresa.

Depois de verificar a classificação de risco de uma aplicação, poderá querer submeter um pedido para alterar a classificação ou personalizar a classificação de risco nas métricas de Pontuação da Cloud Discovery>.

Para obter mais informações, veja Localizar a sua aplicação na cloud e calcular as classificações de risco.

Eliminar dados de deteção da cloud

Onde: no Portal do Microsoft Defender XDR, selecione Definições Aplicações > na cloud > Eliminação de Dados na Cloud Discovery>.

Persona: Administradores de conformidade

Recomendamos que elimine os dados da cloud Discovery nos seguintes cenários:

  • Se tiver ficheiros de registo carregados manualmente mais antigos e não quiser que os dados antigos afetem os resultados.
  • Quando quiser que uma nova vista de dados personalizada inclua eventos em todos os dados de ficheiros de registo, incluindo ficheiros mais antigos. As vistas de dados personalizadas aplicam-se apenas a novos dados disponíveis a partir desse ponto, pelo que recomendamos eliminar quaisquer dados antigos e carregá-las novamente para incluí-las em vistas de dados personalizadas.
  • Quando muitos utilizadores ou endereços IP começaram a trabalhar novamente depois de estarem offline durante algum tempo, elimine dados antigos para impedir que a nova atividade seja identificada como anómalo, com violações falsas positivas.

Para obter mais informações, veja Eliminar dados de deteção de cloud.

Gerar um relatório executivo da cloud Discovery

Onde: no Portal do Microsoft Defender XDR, selecione Aplicações na cloud Ações > do Dashboard de Deteção >> de Cloud

Persona: Administradores de conformidade

Recomendamos que utilize um relatório executivo da cloud Discovery para obter uma descrição geral do Shadow IT utilizado em toda a sua organização. Os relatórios executivos da cloud Discovery identificam os principais riscos potenciais e ajudam-no a planear um fluxo de trabalho para mitigar e gerir riscos até serem resolvidos.

Para obter mais informações, veja Generate cloud discovery executive report (Gerar relatório executivo da cloud Discovery).

Gerar um relatório instantâneo da cloud Discovery

Onde: no Portal do Microsoft Defender XDR, selecione Aplicações na cloud Ações > do Dashboard de Deteção >> de Cloud

Persona: Administradores de Segurança e Conformidade

Se ainda não tiver um registo e quiser ver um exemplo do aspeto, transfira um ficheiro de registo de exemplo.

Para obter mais informações, veja Criar relatórios instantâneos de deteção de cloud.

guia operacional Microsoft Defender for Cloud Apps