Поделиться через

Поиск угроз в действиях приложения

  • Статья

Приложения могут быть ценной точкой входа для злоумышленников, поэтому рекомендуется отслеживать аномалии и подозрительное поведение, использующее приложения. Изучая оповещение системы управления приложениями или проверяя поведение приложения в среде, важно быстро получать сведения о действиях, выполняемых такими подозрительными приложениями, и принимать меры по исправлению для защиты ресурсов в организации.

С помощью управления приложениями и расширенных возможностей охоты вы можете получить полную видимость действий, выполняемых приложениями и ресурсами, к которым они обращаются.

В этой статье описывается, как упростить поиск угроз на основе приложений с помощью управления приложениями в Microsoft Defender for Cloud Apps.

Шаг 1. Поиск приложения в системе управления приложениями

На странице управления приложениями Defender for Cloud Apps перечислены все Microsoft Entra ID приложения OAuth.

Если вы хотите получить дополнительные сведения о данных, к которым обращается определенное приложение, найдите это приложение в списке приложений в системе управления приложениями. Кроме того, используйте фильтры "Использование данных " или "Доступ к службам" для просмотра приложений, имеющих доступ к данным в одной или нескольких поддерживаемых службах Microsoft 365.

Шаг 2. Просмотр данных, к которым обращаются приложения

  1. Определив приложение, выберите его, чтобы открыть область сведений о приложении.
  2. Перейдите на вкладку Использование данных в области сведений о приложении, чтобы просмотреть сведения о размере и количестве ресурсов, к которым приложение обращается за последние 30 дней.

Например:

Снимок экрана: область сведений о приложении с сведениями об использовании данных.

Управление приложениями предоставляет аналитические сведения об использовании данных для таких ресурсов, как электронная почта, файлы, сообщения чатов и каналов в Exchange Online, OneDrive, SharePoint и Teams.

Получив общий обзор данных, используемых приложением в разных службах и ресурсах, вы можете узнать подробности о действиях приложения и ресурсах, к которым он обращается при выполнении этих действий.

  1. Щелкните значок go-hunt рядом с каждым ресурсом, чтобы просмотреть сведения о ресурсах, к которым приложение обращается за последние 30 дней. Откроется новая вкладка, перенаправив вас на страницу Расширенной охоты с предварительно заполненным запросом KQL.
  2. После загрузки страницы нажмите кнопку Выполнить запрос , чтобы выполнить запрос KQL и просмотреть результаты.

После выполнения запроса результаты запроса отображаются в табличной форме. Каждая строка в таблице соответствует действиям, выполняемым приложением для доступа к определенному типу ресурсов. Каждый столбец в таблице предоставляет полный контекст о самом приложении, ресурсе, пользователе и действии.

Например, если щелкнуть значок go-hunt рядом с ресурсом Email, управление приложениями позволяет просмотреть следующие сведения обо всех электронных письмах, к которым приложение обращается за последние 30 дней в разделе Расширенная охота:

  • Сведения об адресе электронной почты: InternetMessageId, NetworkMessageId, Subject, Имя отправителя и адрес, Адрес получателя, AttachmentCount и UrlCount
  • Сведения о приложении: OAuthApplicationId приложения, используемого для отправки электронной почты или доступа к ней
  • Контекст пользователя: ObjectId, AccountDisplayName, IPAddress и UserAgent
  • Контекст действия приложения: OperationType, Метка времени действия, Рабочая нагрузка

Например:

Снимок экрана: страница расширенной охоты для сообщений электронной почты.

Аналогичным образом используйте значок go-hunt в системе управления приложениями, чтобы получить сведения о других поддерживаемых ресурсах, таких как файлы, сообщения чата и сообщения каналов. Используйте значок go-hunt рядом с любым пользователем на вкладке Пользователи в области сведений о приложении, чтобы получить сведения обо всех действиях, выполняемых приложением в контексте конкретного пользователя.

Например:

Снимок экрана: страница расширенной охоты для пользователей.

Шаг 4. Применение расширенных возможностей охоты

Используйте страницу Расширенная охота , чтобы изменить или настроить запрос KQL для получения результатов в соответствии с конкретными требованиями. Вы можете сохранить запрос для будущих пользователей, поделиться ссылкой с другими сотрудниками организации или экспортировать результаты в CSV-файл.

Дополнительные сведения см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR.

Известные ограничения

При использовании страницы Расширенной охоты для изучения данных из системы управления приложениями вы можете заметить расхождения в данных. Эти несоответствия могут быть вызваны одной из следующих причин:

  • Управление приложениями и расширенные данные процесса охоты по отдельности. Любые проблемы, возникающие в любом решении во время обработки, могут привести к расхождению.

  • Обработка данных управления приложениями может занять несколько часов дольше. Из-за этой задержки она может не охватывать последние действия приложения, доступные в Advanced Hunting.

  • В предоставленных запросах Расширенной охоты настроено отображение только 1k результатов. Хотя вы можете изменить запрос для отображения дополнительных результатов, расширенная охота по-прежнему будет применять максимальное ограничение в 10 тыс. результатов. Управление приложениями не имеет этого ограничения.

Дальнейшие действия

Исследование и устранение рискованных приложений OAuth