Нерегламентированное оперативное руководство — Microsoft Defender for Cloud Apps

В этой статье перечислены ежемесячные операционные действия, которые рекомендуется выполнять с помощью Microsoft Defender for Cloud Apps.

Ежемесячные действия можно выполнять чаще или по мере необходимости в зависимости от среды и потребностей.

Проверка работоспособности служб Майкрософт

Где: проверьте следующие расположения:

• В Центр администрирования Microsoft 365 выберите Работоспособности > Работоспособность служб
• Состояние Работоспособность служб Microsoft 365
• X: https://twitter.com/MSFT365status

Если у вас возникли проблемы с облачной службой, мы рекомендуем проверить обновления работоспособности службы, чтобы определить, является ли она известной проблемой с ее решением, прежде чем обращаться в службу поддержки или тратить время на устранение неполадок.

Выполнение запросов расширенной охоты

Где: на портале Microsoft Defender XDR выберите Охота > Расширенная охота и запросите данные Defender for Cloud Apps.

Персона: аналитики SOC

Как и при просмотре журналов действий, расширенную охоту можно использовать в качестве запланированного действия, используя пользовательские обнаружения или нерегламентированные запросы для упреждающего поиска угроз.

Расширенная охота — это единый инструмент, позволяющий искать угрозы в Microsoft Defender XDR. Рекомендуется сохранять часто используемые запросы, чтобы ускорить поиск и исправление угроз вручную.

Следующие примеры запросов полезны при запросе Defender for Cloud Apps данных:

Поиск записей Office — FileDownloaded Events

CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel

Поиск по запросу Office — MailItemsAccessed Details records

CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc

Поиск по запросу Извлечение записей действий

CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)

Поиск Microsoft Entra ID — добавление в записи роли

CloudAppEvents
| where ActionType in ("Add member to role.") 
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name,  UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName

Поиск Microsoft Entra ID — группа добавляет записи

CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName = 
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy = 
AccountDisplayName,GroupName

Просмотр карантинов файлов

Где: на портале Microsoft Defender XDR выберите Файлы облачных приложений>. Запрос элементов, в которыхзначение Trueв карантине = .

Persona: Администраторы соответствия требованиям

Используйте Defender for Cloud Apps, чтобы обнаружить нежелательные файлы, которые хранятся в облаке и сделать вас уязвимыми. Примите немедленные меры, чтобы остановить их в их отслеживании, используя Администратор карантин, чтобы заблокировать файлы, которые представляют угрозу. Администратор карантин может помочь защитить файлы в облаке, устранить проблемы и предотвратить будущие утечки.

Файлы в Администратор карантине могут проверяться в рамках исследования оповещений, и вам может потребоваться управлять файлами, помещенными в карантин, по соображениям управления и соответствия требованиям.

Дополнительные сведения см. в статье Общие сведения о работе карантина.

Просмотр оценок риска приложений

Где: на портале Microsoft Defender XDR выберите Облачные приложения > Каталог облачных приложений.

Persona: Администраторы соответствия требованиям

Каталог облачных приложений оценивает риск для облачных приложений на основе нормативных сертификатов, отраслевых стандартов и рекомендаций. Мы рекомендуем проверить оценку для каждого из приложений в вашей среде, чтобы убедиться, что она соответствует нормативным требованиям вашей компании.

После проверки оценки риска приложения может потребоваться отправить запрос на изменение оценки или настроить оценку риска в метриках оценки Cloud Discovery>.

Дополнительные сведения см. в статье Поиск облачного приложения и вычисление оценок риска.

Удаление данных об обнаружении в облаке

Где: на портале Microsoft Defender XDR выберите Параметры Облачные > приложения > Cloud Discovery > Удалить данные.

Persona: Администраторы соответствия требованиям

Рекомендуется удалять данные обнаружения в облаке в следующих сценариях:

• Если у вас есть старые файлы журнала, отправленные вручную, и вы не хотите, чтобы старые данные влияли на результаты.
• Если требуется, чтобы новое пользовательское представление данных включало события во все данные файла журнала, включая старые файлы. Пользовательские представления данных применяются только к новым данным, доступным с этого момента, поэтому мы рекомендуем удалить все старые данные и отправить их еще раз, чтобы включить их в пользовательские представления данных.
• Когда многие пользователи или IP-адреса снова начали работать после некоторого времени в автономном режиме, удалите старые данные, чтобы новое действие не было идентифицировано как аномальное с ложноположительными нарушениями.

Дополнительные сведения см. в статье Удаление данных об обнаружении облака.

Создание исполнительного отчета об обнаружении облака

Где: на портале Microsoft Defender XDR выберите Облачные приложения > Действия панели мониторинга > облачного обнаружения>.

Persona: Администраторы соответствия требованиям

Мы рекомендуем использовать отчет об облачном обнаружении, чтобы получить общие сведения о теневых ИТ-отделах, используемых в вашей организации. Отчеты руководителей cloud discovery определяют основные потенциальные риски и помогают спланировать рабочий процесс для снижения рисков и управления ими до тех пор, пока они не будут устранены.

Дополнительные сведения см. в разделе Создание исполнительного отчета об обнаружении облака.

Создание отчета об обнаружении в облаке snapshot

Где: на портале Microsoft Defender XDR выберите Облачные приложения > Действия панели мониторинга > облачного обнаружения>.

Persona: администраторы безопасности и соответствия требованиям

Если у вас еще нет журнала и вы хотите просмотреть пример того, как он может выглядеть, скачайте пример файла журнала.

Дополнительные сведения см. в статье Создание snapshot отчетов об обнаружении облака.

Связанные материалы

руководство по эксплуатации Microsoft Defender for Cloud Apps