Ad hoc-driftsguide – Microsoft Defender for Cloud Apps
Den här artikeln innehåller månatliga operativa aktiviteter som vi rekommenderar att du utför med Microsoft Defender for Cloud Apps.
Månatliga aktiviteter kan utföras oftare eller efter behov, beroende på din miljö och dina behov.
Granska Microsofts tjänsthälsa
Var: Kontrollera följande platser:
- I Administrationscenter för Microsoft 365 väljer du Hälsa > Tjänststatus
- Microsoft 365 Tjänststatus status
- X: https://twitter.com/MSFT365status
Om du har problem med en molntjänst rekommenderar vi att du kontrollerar uppdateringar av tjänstens hälsotillstånd för att avgöra om det är ett känt problem, med en pågående lösning, innan du ringer supporten eller ägnar tid åt att felsöka.
Köra avancerade jaktfrågor
Var: I Microsoft Defender XDR-portalen väljer du Jakt > Avancerad jakt och frågar efter Defender for Cloud Apps data.
Persona: SOC-analytiker
På samma sätt som vid granskning av aktivitetsloggar kan avancerad jakt användas som en schemalagd aktivitet, med hjälp av anpassade identifieringar eller ad hoc-frågor för att proaktivt söka efter hot.
Avancerad jakt är ett enhetligt verktyg som gör att du kan jaga hot över Microsoft Defender XDR. Vi rekommenderar att du sparar vanliga frågor för snabbare manuell hotjakt och reparation.
Följande exempelfrågor är användbara när du frågar efter Defender for Cloud Apps data:
Sök efter Office – ArkivLaddade händelser-poster
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
Sök efter Office – posterna MailItemsAccessed Details
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
Sök efter poster för att extrahera aktivitetsobjekt
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
Sök efter Microsoft Entra ID – Lägg till i rollposter
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
Sök efter Microsoft Entra ID – Gruppen lägger till poster
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
Granska filkarantäner
Var: I Microsoft Defender XDR-portalen väljer du Molnappar > Filer. Fråga efter objekt där True har placerats i = karantän.
Persona: Efterlevnadsadministratörer
Använd Defender for Cloud Apps för att identifiera oönskade filer som lagras i molnet och göra dig sårbar. Vidta omedelbara åtgärder för att stoppa dem i spåren genom att använda Admin karantän för att låsa de filer som utgör ett hot. Admin karantän kan hjälpa dig att skydda filer i molnet, åtgärda problem och förhindra framtida läckor.
Filer i Admin karantän kan granskas som en del av en aviseringsundersökning och du kan behöva hantera filer i karantän av styrnings- och efterlevnadsskäl.
Mer information finns i Förstå hur karantän fungerar.
Granska appens riskpoäng
Var: I Microsoft Defender XDR-portalen väljer du Cloud apps Cloud app catalog (Molnappkatalog>).
Persona: Efterlevnadsadministratörer
Molnappkatalogen bedömer risken för dina molnappar baserat på regelcertifiering, branschstandarder och bästa praxis. Vi rekommenderar att du granskar poängen för var och en av apparna i din miljö för att se till att den överensstämmer med företagets regler.
När du har kontrollerat en apps riskpoäng kanske du vill skicka en begäran om att ändra poängen eller anpassa riskpoängen i Cloud Discovery > Score-mått.
Mer information finns i Hitta din molnapp och beräkna riskpoäng.
Ta bort molnidentifieringsdata
Var: I Microsoft Defender XDR-portalen väljer du Inställningar > Molnappar > Cloud Discovery > Ta bort data.
Persona: Efterlevnadsadministratörer
Vi rekommenderar att du tar bort molnidentifieringsdata i följande scenarier:
- Om du har äldre, manuellt uppladdade loggfiler och du inte vill att gamla data ska påverka dina resultat.
- När du vill att en ny anpassad datavy ska inkludera händelser i alla loggfilsdata, inklusive äldre filer. Anpassade datavyer gäller endast för nya data som är tillgängliga från och med då, så vi rekommenderar att du tar bort gamla data och laddar upp dem igen för att inkludera dem i anpassade datavyer.
- När många användare eller IP-adresser började arbeta igen efter att ha varit offline under en tid tar du bort gamla data för att förhindra att den nya aktiviteten identifieras som avvikande, med falska positiva överträdelser.
Mer information finns i Ta bort molnidentifieringsdata.
Generera en chefsrapport för molnidentifiering
Var: I Microsoft Defender XDR-portalen väljer du Cloud apps Cloud discovery Dashboard Actions (Åtgärder för molnidentifiering på instrumentpanelen för molnidentifiering >>>)
Persona: Efterlevnadsadministratörer
Vi rekommenderar att du använder en chefsrapport för molnidentifiering för att få en översikt över skugg-IT som används i hela organisationen. Chefsrapporterna för cloud discovery identifierar de största potentiella riskerna och hjälper dig att planera ett arbetsflöde för att minimera och hantera risker tills de har lösts.
Mer information finns i Generera chefsrapport för molnidentifiering.
Generera en ögonblicksbildsrapport för molnidentifiering
Var: I Microsoft Defender XDR-portalen väljer du Cloud apps Cloud discovery Dashboard Actions (Åtgärder för molnidentifiering på instrumentpanelen för molnidentifiering >>>)
Persona: Säkerhets- och efterlevnadsadministratörer
Om du inte har någon logg ännu och vill se ett exempel på hur en sådan kan se ut laddar du ned en exempelloggfil.
Mer information finns i Skapa molnidentifieringsrapporter för ögonblicksbilder.