Dela via

Jaga hot i appaktiviteter

  • Artikel

Appar kan vara en värdefull startpunkt för angripare, så vi rekommenderar att du övervakar avvikelser och misstänkta beteenden som använder appar. När du undersöker en appstyrningsavisering eller granskar appbeteendet i miljön blir det viktigt att snabbt få insyn i information om aktiviteter som utförs av sådana misstänkta appar och vidta åtgärder för att skydda tillgångar i din organisation.

Med hjälp av appstyrning och avancerade jaktfunktioner kan du få fullständig insyn i aktiviteter som utförs av apparna och de resurser som den har åtkomst till.

Den här artikeln beskriver hur du kan förenkla appbaserad hotjakt med hjälp av appstyrning i Microsoft Defender for Cloud Apps.

Steg 1: Hitta appen i appstyrning

På sidan Defender for Cloud Apps Appstyrning visas alla Microsoft Entra ID OAuth-appar.

Om du vill få mer information om de data som används av en specifik app kan du söka efter appen i applistan i appstyrning. Du kan också använda filter för dataanvändning eller tjänster för att visa appar som har åtkomst till data på en eller flera av de Microsoft 365-tjänster som stöds.

Steg 2: Visa data som nås av appar

  1. När du har identifierat en app väljer du appen för att öppna appinformationsfönstret.
  2. Välj fliken Dataanvändning i appinformationsfönstret för att visa information om storleken och antalet resurser som appen har åtkomst till under de senaste 30 dagarna.

Till exempel:

Skärmbild av appinformationsfönstret med information om dataanvändning.

Appstyrning ger dataanvändningsbaserade insikter för resurser som e-post, filer och chatt- och kanalmeddelanden i Exchange Online, OneDrive, SharePoint och Teams.

När du har en övergripande översikt över de data som används av appen över tjänster och resurser kanske du vill veta information om appaktiviteterna och de resurser som den har åtkomst till när de här aktiviteterna utförs.

  1. Välj go-hunt-ikonen bredvid varje resurs för att visa information om de resurser som appen har använt under de senaste 30 dagarna. En ny flik öppnas och omdirigerar dig till sidan Avancerad jakt med en förifyllda KQL-fråga.
  2. När sidan har lästs in väljer du knappen Kör fråga för att köra KQL-frågan och visa resultatet.

När frågan har körts visas frågeresultatet i tabellformat. Varje rad i tabellen motsvarar en aktivitet som görs av appen för att få åtkomst till den specifika resurstypen. Varje kolumn i tabellen innehåller omfattande kontext om själva appen, resursen, användaren och aktiviteten.

När du till exempel väljer go-hunt-ikonen bredvid den Email resursen kan du med appstyrning visa följande information för alla e-postmeddelanden som appen har använt under de senaste 30 dagarna i Avancerad jakt:

  • Information om e-postmeddelandet: InternetMessageId, NetworkMessageId, Ämne, Avsändarens namn och adress, Mottagaradress, AttachmentCount och UrlCount
  • Appinformation: OAuthApplicationId för appen som används för att skicka eller komma åt e-postmeddelandet
  • Användarkontext: ObjectId, AccountDisplayName, IPAddress och UserAgent
  • Appaktivitetskontext: OperationType, Tidsstämpel för aktiviteten, Arbetsbelastning

Till exempel:

Skärmbild av sidan Avancerad jakt för e-postmeddelanden.

På samma sätt kan du använda go-hunt-ikonen i appstyrning för att få information om andra resurser som stöds, till exempel filer, chattmeddelanden och kanalmeddelanden. Använd go-hunt-ikonen bredvid alla användare på fliken Användare i appinformationsfönstret för att få information om alla aktiviteter som görs av appen i kontexten för en viss användare.

Till exempel:

Skärmbild av sidan Avancerad jakt för användare.

Steg 4: Tillämpa avancerade jaktfunktioner

Använd sidan Avancerad jakt för att ändra eller justera en KQL-fråga för att hämta resultat baserat på dina specifika krav. Du kan välja att spara frågan för framtida användare eller dela en länk med andra i din organisation eller exportera resultatet till en CSV-fil.

Mer information finns i Proaktiv jakt efter hot med avancerad jakt i Microsoft Defender XDR.

Kända begränsningar

När du använder sidan Avancerad jakt för att undersöka data från appstyrning kan du märka avvikelser i data. Dessa avvikelser kan bero på någon av nedanstående orsaker:

  • Appstyrning och avancerad jakt bearbetar data separat. Eventuella problem som påträffas av någon av lösningarna under bearbetningen kan resultera i en avvikelse.

  • Bearbetningen av appstyrningsdata kan ta flera timmar att slutföra. På grund av den här fördröjningen kanske den inte täcker den senaste appaktiviteten som är tillgänglig på Avancerad jakt.

  • De angivna avancerade jaktfrågorna är inställda på att endast visa 1k resultat. Du kan redigera en fråga för att visa fler resultat, men avancerad jakt tillämpar fortfarande en maxgräns på 10 000 resultat. Appstyrning har inte den här gränsen.

Nästa steg

Undersöka och åtgärda riskfyllda OAuth-appar