Ежедневное руководство по эксплуатации — Microsoft Defender for Cloud Apps
В этой статье перечислены ежедневные операционные действия, которые рекомендуется выполнять с помощью Defender for Cloud Apps.
Просмотр оповещений и инцидентов
Оповещения и инциденты — это два наиболее важных элемента, которые ваша команда по операциям безопасности (SOC) должна ежедневно проверять.
Регулярное рассмотрение инцидентов и оповещений из очереди инцидентов в Microsoft Defender XDR с приоритетом оповещений с высоким и средним уровнем серьезности.
Если вы работаете с системой SIEM, система SIEM обычно является первой остановкой для рассмотрения. Системы SIEM предоставляют дополнительный контекст с дополнительными журналами и функциями SOAR. Затем используйте Microsoft Defender XDR для более глубокого понимания временная шкала оповещения или инцидента.
Рассмотрение инцидентов из Microsoft Defender XDR
Где: в Microsoft Defender XDR выберите Инциденты & оповещения.
Персона: аналитики SOC
При рассмотрении инцидентов:
На панели мониторинга инцидента отфильтруйте следующие элементы:
Filter Значения Состояние Новое, выполняется Серьезность Высокий, Средний, Низкий Источник службы Проверьте все источники служб. При проверке всех источников служб должны отображаться оповещения с наибольшей точностью и корреляцией между другими рабочими нагрузками Microsoft XDR. Выберите Defender for Cloud Apps, чтобы просмотреть элементы, поступающие специально из Defender for Cloud Apps. Выберите каждый инцидент, чтобы просмотреть все сведения. Просмотрите все вкладки в инциденте, журнале действий и расширенной охоте.
На вкладке Доказательства и ответ инцидента выберите каждый элемент доказательства. Выберите меню > параметров Исследовать, а затем выберите Журнал действий или Перейти к поиску при необходимости.
Рассмотрение инцидентов. Для каждого инцидента выберите Управление инцидентом , а затем выберите один из следующих параметров:
- Истинноположительный результат
- Ложное срабатывание
- Информационная, ожидаемая активность
Для истинных оповещений укажите тип обработки, чтобы команда безопасности видела шаблоны угроз и защищала вашу организацию от риска.
Когда вы будете готовы начать активное расследование, назначьте инцидент пользователю и обновите состояние инцидента на Выполняется.
После устранения инцидента устраните его, чтобы устранить все связанные и связанные активные оповещения.
Дополнительные сведения см. в разделе:
- Определение приоритета инцидентов в Microsoft Defender XDR
- Изучение оповещений в Microsoft Defender XDR
- Сборники схем реагирования на инциденты
- Изучение оповещений об обнаружении аномалий
- Управление оповещениями системы управления приложениями
- Изучение оповещений об обнаружении угроз
Рассмотрение инцидентов из системы SIEM
Персона: аналитики SOC
Предварительные требования. Вы должны быть подключены к системе SIEM, и мы рекомендуем интегрировать с Microsoft Sentinel. Дополнительные сведения см. в разделе:
- интеграция Microsoft Sentinel (предварительная версия)
- Подключение данных из Microsoft Defender XDR к Microsoft Sentinel
- Интеграция общего решения SIEM
Интеграция Microsoft Defender XDR с Microsoft Sentinel позволяет передавать все инциденты Microsoft Defender XDR в Microsoft Sentinel и поддерживать их синхронизацию между обоими порталами. Microsoft Defender XDR инциденты в Microsoft Sentinel включают все связанные оповещения, сущности и соответствующую информацию, предоставляя достаточный контекст для рассмотрения и проведения предварительного расследования.
После Microsoft Sentinel инциденты синхронизируются с Microsoft Defender XDR, что позволяет использовать функции обоих порталов в исследовании.
- При установке соединителя данных Microsoft Sentinel для Microsoft Defender XDR обязательно включите параметр Microsoft Defender for Cloud Apps.
- Рассмотрите возможность использования API потоковой передачи для отправки данных в концентратор событий, где их можно использовать через siem любого партнера с соединителем концентратора событий или поместить в службу хранилища Azure.
Дополнительные сведения см. в разделе:
- интеграция Microsoft Defender XDR с Microsoft Sentinel
- Навигация и исследование инцидентов в Microsoft Sentinel
- Создание настраиваемых правил аналитики для обнаружения угроз
Просмотр данных об обнаружении угроз
Где: на портале Microsoft Defender XDR выберите:
- Оповещения об инцидентах &
- Политика политики облачных приложений>. Обнаружение > угроз >
- Облачные приложения > OAuth
Персона: администраторы безопасности и аналитики SOC
Обнаружение угроз в облачных приложениях — это место, где многие аналитики SOC сосредоточены на своей повседневной деятельности, выявляя пользователей с высоким риском, которые демонстрируют аномальное поведение.
Defender for Cloud Apps обнаружении угроз используются данные аналитики угроз и безопасности Майкрософт. Оповещения доступны в Microsoft Defender XDR и должны регулярно рассматриваться.
Когда администраторы безопасности и аналитики SOC имеют дело с оповещениями, они обрабатывают следующие main типы политик обнаружения угроз:
Persona: Администратор безопасности
Обязательно создайте политики защиты от угроз, необходимые вашей организации, включая обработку всех предварительных требований.
Проверка управления приложениями
Где: на портале Microsoft Defender XDR выберите:
- Оповещения об инцидентах &
- Инциденты & оповещения / Управление приложениями
Персона: аналитики SOC
Управление приложениями обеспечивает глубокое представление и контроль над приложениями OAuth. Управление приложениями помогает бороться с все более сложными кампаниями, которые используют приложения, развернутые локально и в облачных инфраструктурах, что создает отправную точку для повышения привилегий, бокового перемещения и кражи данных.
Управление приложениями предоставляется вместе с Defender for Cloud Apps. Оповещения также доступны в Microsoft Defender XDR, и их следует регулярно рассматривать.
Дополнительные сведения см. в разделе:
- Оповещения об обнаружении
- Изучение предопределенных оповещений политики приложений
- Исследование и устранение рискованных приложений OAuth
Страница обзора управления приложениями
Где: на портале Microsoft Defender XDR выберите:
- Оповещения об инцидентах &
- Общие сведения об управлении приложениями для облачных > приложений >
Персона: аналитики SOC и администратор безопасности
Рекомендуется выполнять быструю ежедневную оценку состояния соответствия приложений и инцидентов. Например, проверка следующие сведения:
- Количество приложений с высоким уровнем привилегий или с высоким уровнем привилегий
- Приложения с непроверенным издателем
- Использование данных для служб и ресурсов, доступ к которым был предоставлен с помощью API Graph
- Количество приложений, которые обращаются к данным с наиболее распространенными метками конфиденциальности;
- Количество приложений, которые обращаются к данным с метками конфиденциальности и без нее в службах Microsoft 365
- Обзор инцидентов, связанных с управлением приложениями
На основе проверяемой данных может потребоваться создать или настроить политики управления приложениями.
Дополнительные сведения см. в разделе:
- Просмотр и управление инцидентами и оповещениями
- Просмотр сведений о приложении с помощью управления приложениями
- Создание политик приложений в системе управления приложениями.
Просмотр данных приложения OAuth
Где: на портале Microsoft Defender XDR выберите:
- Оповещения об инцидентах &
- Azure AD управления приложениями для облачных > приложений >
Рекомендуется ежедневно проверка список приложений с поддержкой OAuth, а также соответствующие метаданные приложения и данные об использовании. Выберите приложение для просмотра более глубоких аналитических сведений и сведений.
Управление приложениями использует алгоритмы обнаружения на основе машинного обучения для обнаружения аномального поведения приложения в клиенте Microsoft Defender XDR и создает оповещения, которые можно просматривать, исследовать и устранять. Помимо этой встроенной возможности обнаружения, можно использовать набор шаблонов политик по умолчанию или создавать собственные политики приложений, которые создают другие оповещения.
Дополнительные сведения см. в разделе:
- Просмотр и управление инцидентами и оповещениями
- Просмотр сведений о приложении с помощью управления приложениями
- Получение подробных сведений о приложении
Создание политик управления приложениями и управление ими
Где: на портале Microsoft Defender XDR выберите Облачные приложения > Политики управления приложениями>.
Персона: администраторы безопасности
Рекомендуется ежедневно проверка приложения OAuth для регулярной глубокой видимости и контроля. Создание оповещений на основе алгоритмов машинного обучения и создание политик приложений для управления приложениями.
Дополнительные сведения см. в разделе:
Просмотр элемента управления условным доступом к приложениям
Где: на портале Microsoft Defender XDR выберите:
- Оповещения об инцидентах &
- Условный доступ к политикам > управления политиками облачных > приложений >
Чтобы настроить управление условным доступом к приложениям, выберите Параметры Управление условным доступом облачных > приложений >
Persona: Администратор безопасности
Управление условным доступом к приложениям позволяет отслеживать доступ и сеансы пользователей к приложениям и сеансам и управлять ими в режиме реального времени на основе политик доступа и сеансов.
Созданные оповещения доступны в Microsoft Defender XDR и должны регулярно рассматриваться.
По умолчанию не развернуты политики доступа или сеанса, и, следовательно, нет доступных связанных оповещений. Вы можете подключить любое веб-приложение для работы с элементами управления доступом и сеансами, Microsoft Entra ID приложения автоматически подключены. Рекомендуется создавать политики сеансов и доступа по мере необходимости для вашей организации.
Дополнительные сведения см. в разделе:
- Просмотр и управление инцидентами и оповещениями
- Защита приложений с помощью Microsoft Defender for Cloud Apps управления условным доступом к приложениям
- Блокировка и защита загрузки конфиденциальных данных на неуправляемых или опасных устройствах
- Обеспечение безопасности совместной работы с внешними пользователями путем принудительного управления сеансами в режиме реального времени
Персона: администратор SOC
Рекомендуется ежедневно просматривать оповещения управления условным доступом к приложениям и журнал действий. Фильтрация журналов действий по источнику, управлению доступом и управлению сеансами.
Дополнительные сведения см. в статье Проверка оповещений и инцидентов.
Обзор теневых ИТ—обнаружение в облаке
Где: на портале Microsoft Defender XDR выберите:
- Оповещения об инцидентах &
- Облачные приложения > Cloud Discovery / Каталог облачных приложений
- Теневые ИТ-службы управления политиками политик > облачных > приложений >
Персона: администраторы безопасности
Defender для облачных приложений анализирует журналы трафика в каталоге облачных приложений из более чем 31 000 облачных приложений. Приложения ранжируются и оцениваются на основе более чем 90 факторов риска, чтобы обеспечить постоянное представление об использовании облака, теневых ИТ-отделах и рисках, которые теневые ИТ-службы представляют для вашей организации.
Оповещения, связанные с обнаружением облака, доступны в Microsoft Defender XDR и должны регулярно рассматриваться.
Создайте политики обнаружения приложений, чтобы начать оповещение и пометку вновь обнаруженных приложений на основе определенных условий, таких как оценки риска, категории и поведение приложений, например ежедневный трафик и скачанные данные.
Совет
Мы рекомендуем интегрировать Defender for Cloud Apps с Microsoft Defender для конечной точки для обнаружения облачных приложений за пределами корпоративной сети или защищенных шлюзов и применения действий по управлению к конечным точкам.
Дополнительные сведения см. в разделе:
- Просмотр и управление инцидентами и оповещениями
- Политики обнаружения в облаке
- Создание политик обнаружения в облаке
- Настройка облачного обнаружения
- Обнаружение и оценка облачных приложений
Персона: администраторы безопасности и соответствия требованиям, аналитики SOC
Если у вас есть большое количество обнаруженных приложений, вы можете использовать параметры фильтрации, чтобы узнать больше об обнаруженных приложениях.
Дополнительные сведения см. в разделе Обнаруженные фильтры и запросы приложений в Microsoft Defender for Cloud Apps.
Просмотр панели мониторинга облачного обнаружения
Где: на портале Microsoft Defender XDR выберите Облачные приложения > Панель мониторинга облачного обнаружения>.
Персона: администраторы безопасности и соответствия требованиям, аналитики SOC
Рекомендуется ежедневно просматривать панель мониторинга облачного обнаружения. Панель мониторинга cloud discovery предназначена для получения более подробной информации о том, как облачные приложения используются в вашей организации, с кратким обзором детей используемых приложений, открытых оповещений и уровней риска приложений в вашей организации.
На панели мониторинга облачного обнаружения выполните следующие действия.
Используйте мини-приложения в верхней части страницы, чтобы понять общее использование облачных приложений.
Отфильтруйте графы панели мониторинга для создания определенных представлений в зависимости от ваших интересов. Например:
- Основные категории приложений, используемых в вашей организации, особенно для санкционированных приложений.
- Просмотрите оценки риска для обнаруженных приложений.
- Фильтрация представлений для просмотра лучших приложений в определенных категориях.
- Просмотрите лучших пользователей и IP-адреса, чтобы определить пользователей, которые являются наиболее доминирующими пользователями облачных приложений в вашей организации.
- Просмотрите данные приложений на карте мира, чтобы понять, как обнаруженные приложения распространяются по географическому расположению.
После просмотра списка обнаруженных приложений в вашей среде рекомендуется обеспечить безопасность среды путем утверждения безопасных приложений (санкционированных приложений), запрета нежелательных приложений (несанкционированных приложений) или применения пользовательских тегов.
Вам также может потребоваться упреждающая проверка и применение тегов к приложениям, доступным в каталоге облачных приложений, прежде чем они будут обнаружены в вашей среде. Чтобы помочь вам управлять этими приложениями, создайте соответствующие политики обнаружения облака, активированные определенными тегами.
Дополнительные сведения см. в разделе:
Совет
В зависимости от конфигурации среды вы можете воспользоваться преимуществами простой и автоматической блокировки или даже функций предупреждения и обучения, предоставляемых Microsoft Defender для конечной точки. Дополнительные сведения см. в статье Интеграция Microsoft Defender для конечной точки с Microsoft Defender for Cloud Apps.
Проверка защиты информации
Где: на портале Microsoft Defender XDR выберите:
- Оповещения об инцидентах &
- Файлы облачных приложений >
- Защита информации о политике > управления политиками облачных > приложений >
Персона: администраторы безопасности и соответствия требованиям, аналитики SOC
Defender for Cloud Apps политики файлов и оповещения позволяют применять широкий спектр автоматизированных процессов. Создайте политики для защиты информации, включая непрерывные проверки соответствия требованиям, законные задачи обнаружения электронных данных и защиту от потери данных (DLP) для конфиденциального содержимого, к которым предоставлен общий доступ.
Помимо рассмотрения оповещений и инцидентов, мы рекомендуем, чтобы команды SOC выполняли дополнительные упреждающие действия и запросы. На странице Файлы облачных приложений > проверка ответы на следующие вопросы:
- Сколько файлов доступно для общего доступа, чтобы любой пользователь мог получить к ним доступ без ссылки?
- С какими партнерами вы предоставляете общий доступ к файлам с помощью исходящего общего доступа?
- Имеют ли какие-либо файлы конфиденциальные имена?
- Предоставляется ли доступ к каким-либо файлам кому-либо личная учетная запись?
Используйте результаты этих запросов для корректировки существующих политик файлов или создания новых политик.
Дополнительные сведения см. в разделе:
Связанные материалы
руководство по эксплуатации Microsoft Defender for Cloud Apps