Daglig driftsguide – Microsoft Defender for Cloud Apps

Den här artikeln innehåller dagliga operativa aktiviteter som vi rekommenderar att du utför med Defender for Cloud Apps.

Granska aviseringar och incidenter

Aviseringar och incidenter är två av de viktigaste objekten som ditt SOC-team (Security Operations) bör granska dagligen.

• Sortera incidenter och aviseringar regelbundet från incidentkön i Microsoft Defender XDR och prioritera aviseringar med hög och medelhög allvarlighetsgrad.

• Om du arbetar med ett SIEM-system är ditt SIEM-system vanligtvis det första stoppet för sortering. SIEM-system ger mer kontext med extra loggar och SOAR-funktioner. Använd sedan Microsoft Defender XDR för en djupare förståelse av en tidslinje för aviseringar eller incidenter.

Sortera dina incidenter från Microsoft Defender XDR

Var: I Microsoft Defender XDR väljer du Incidenter & aviseringar

Persona: SOC-analytiker

Vid sortering av incidenter:

1. I incidentinstrumentpanelen filtrerar du efter följande objekt:

   Filter	Värden
   Status	Ny, pågår
   Allvarlighetsgrad	Hög, medel, låg
   Tjänstkälla	Se till att alla tjänstkällor är markerade. Om du håller alla tjänstkällor kontrollerade bör du lista aviseringar med mest återgivning, med korrelation mellan andra Microsoft XDR-arbetsbelastningar. Välj Defender for Cloud Apps för att visa objekt som kommer specifikt från Defender for Cloud Apps.

2. Välj varje incident för att granska all information. Granska alla flikar i incidenten, aktivitetsloggen och avancerad jakt.

   På fliken Bevis och svar för incidenten väljer du varje bevisobjekt. Välj alternativmenyn >Undersök och välj sedan Aktivitetslogg eller Gå jakt efter behov.

3. Sortera dina incidenter. För varje incident väljer du Hantera incident och väljer sedan något av följande alternativ:

   • Sann positiv
   • Falsk positiv identifiering
   • Information, förväntad aktivitet

   För sanna aviseringar anger du behandlingstypen som hjälper säkerhetsteamet att se hotmönster och skydda organisationen mot risker.

4. När du är redo att starta din aktiva undersökning tilldelar du incidenten till en användare och uppdaterar incidentstatusen till Pågår.

5. När incidenten har åtgärdats löser du problemet för att lösa alla länkade och relaterade aktiva aviseringar.

Mer information finns i:

• Prioritera incidenter i Microsoft Defender XDR
• Undersöka aviseringar i Microsoft Defender XDR
• Uppspelningsböcker för incidentsvar
• Så här undersöker du aviseringar om avvikelseidentifiering
• Hantera appstyrningsaviseringar
• Undersöka hotidentifieringsaviseringar

Sortera dina incidenter från SIEM-systemet

Persona: SOC-analytiker

Krav: Du måste vara ansluten till ett SIEM-system och vi rekommenderar att du integrerar med Microsoft Sentinel. Mer information finns i:

• Microsoft Sentinel integrering (förhandsversion)
• Ansluta data från Microsoft Defender XDR till Microsoft Sentinel
• Allmän SIEM-integrering

Genom att integrera Microsoft Defender XDR med Microsoft Sentinel kan du strömma alla Microsoft Defender XDR incidenter till Microsoft Sentinel och hålla dem synkroniserade mellan båda portalerna. Microsoft Defender XDR incidenter i Microsoft Sentinel inkludera alla associerade aviseringar, entiteter och relevant information, vilket ger tillräckligt med kontext för att sortera och köra en förundersökning.

När Microsoft Sentinel förblir incidenter synkroniserade med Microsoft Defender XDR så att du kan använda funktionerna från båda portalerna i undersökningen.

• När du installerar Microsoft Sentinel dataanslutning för Microsoft Defender XDR måste du inkludera alternativet Microsoft Defender for Cloud Apps.
• Överväg att använda ett API för direktuppspelning för att skicka data till en händelsehubb, där de kan användas via valfri partner-SIEM med en händelsehubbanslutning eller placeras i Azure Storage.

Mer information finns i:

• Microsoft Defender XDR integrering med Microsoft Sentinel
• Navigera och undersöka incidenter i Microsoft Sentinel
• Skapa anpassade analysregler för att identifiera hot

Granska hotidentifieringsdata

Var: I Microsoft Defender XDR-portalen väljer du:

• Incidenter & aviseringar
• Principer för > molnappar > Principhantering > Hotidentifiering
• Oauth-appar för molnappar >

Persona: Säkerhetsadministratörer och SOC-analytiker

Hotidentifiering i molnappen är där många SOC-analytiker fokuserar sina dagliga aktiviteter och identifierar högriskanvändare som visar onormalt beteende.

Defender for Cloud Apps hotidentifiering använder Microsofts data för hotinformation och säkerhetsforskning. Aviseringar är tillgängliga i Microsoft Defender XDR och bör sorteras regelbundet.

När säkerhetsadministratörer och SOC-analytiker hanterar aviseringar hanterar de följande huvudtyper av principer för hotidentifiering:

• Aktivitetsprinciper
• Principer för avvikelseidentifiering
• OAuth-principer och appstyrningsprinciper

Persona: Säkerhetsadministratör

Se till att skapa de hotskyddsprinciper som krävs av din organisation, inklusive hantering av eventuella krav.

Granska programstyrning

Var: I Microsoft Defender XDR-portalen väljer du:

• Incidenter & aviseringar
• Incidenter & aviseringar/Appstyrning

Persona: SOC-analytiker

Appstyrning ger djupgående synlighet och kontroll över OAuth-appar. Appstyrning hjälper till att bekämpa allt mer avancerade kampanjer som utnyttjar de appar som distribueras lokalt och i molninfrastrukturer, vilket skapar en startpunkt för privilegieeskalering, lateral förflyttning och dataexfiltrering.

Appstyrning tillhandahålls tillsammans med Defender for Cloud Apps. Aviseringar är också tillgängliga i Microsoft Defender XDR och bör sorteras regelbundet.

Mer information finns i:

• Identifieringsaviseringar
• Undersöka fördefinierade appprincipaviseringar
• Undersöka och åtgärda riskfyllda OAuth-appar

Kontrollera översiktssidan för appstyrning

Var: I Microsoft Defender XDR-portalen väljer du:

• Incidenter & aviseringar
• Översikt över appstyrning > för molnappar >

Persona: SOC-analytiker och säkerhetsadministratör

Vi rekommenderar att du kör en snabb, daglig utvärdering av efterlevnadsstatusen för dina appar och incidenter. Kontrollera till exempel följande information:

• Antalet överprivilegierade eller mycket privilegierade appar
• Appar med en overifierad utgivare
• Dataanvändning för tjänster och resurser som användes med hjälp av Graph API
• Antalet appar som har åtkomst till data med de vanligaste känslighetsetiketterna
• Antalet appar som har åtkomst till data med och utan känslighetsetiketter i Microsoft 365-tjänster
• En översikt över appstyrningsrelaterade incidenter

Baserat på de data som du granskar kanske du vill skapa nya eller justera appstyrningsprinciper.

Mer information finns i:

• Visa och hantera incidenter och aviseringar
• Visa din appinformation med appstyrning
• Skapa appprinciper i appstyrning.

Granska OAuth-appdata

Var: I Microsoft Defender XDR-portalen väljer du:

• Incidenter & aviseringar
• Appstyrning > för molnappar > Azure AD

Vi rekommenderar att du kontrollerar din lista över OAuth-aktiverade appar dagligen, tillsammans med relevanta appmetadata och användningsdata. Välj en app för att visa djupare insikter och information.

Appstyrning använder maskininlärningsbaserade identifieringsalgoritmer för att identifiera avvikande appbeteende i din Microsoft Defender XDR klientorganisation och genererar aviseringar som du kan se, undersöka och lösa. Utöver den här inbyggda identifieringsfunktionen kan du använda en uppsättning standardprincipmallar eller skapa egna appprinciper som genererar andra aviseringar.

Mer information finns i:

• Visa och hantera incidenter och aviseringar
• Visa din appinformation med appstyrning
• Få detaljerad information om en app

Skapa och hantera principer för appstyrning

Var: I Microsoft Defender XDR-portalen väljer du Appstyrningsprinciper > för molnappar >

Persona: Säkerhetsadministratörer

Vi rekommenderar att du kontrollerar dina OAuth-appar dagligen för regelbunden djupgående synlighet och kontroll. Generera aviseringar baserat på maskininlärningsalgoritmer och skapa appprinciper för appstyrning.

Mer information finns i:

• Skapa appprinciper i appstyrning
• Hantera appprinciper

Granska appkontrollen för villkorsstyrd åtkomst

Var: I Microsoft Defender XDR-portalen väljer du:

• Incidenter & aviseringar
• Principhantering av > principer för molnappar >> villkorlig åtkomst

Om du vill konfigurera appkontroll för villkorsstyrd åtkomst väljer du Inställningar > Appkontroll för molnappar > med villkorsstyrd åtkomst

Persona: Säkerhetsadministratör

Med appkontrollen för villkorsstyrd åtkomst kan du övervaka och kontrollera åtkomst och sessioner för användarappar i realtid baserat på åtkomst- och sessionsprinciper.

Genererade aviseringar är tillgängliga i Microsoft Defender XDR och bör sorteras regelbundet.

Som standard distribueras inga åtkomst- eller sessionsprinciper och därför finns inga relaterade aviseringar tillgängliga. Du kan registrera alla webbappar för att arbeta med åtkomst- och sessionskontroller, Microsoft Entra ID appar registreras automatiskt. Vi rekommenderar att du skapar sessions- och åtkomstprinciper efter behov för din organisation.

Mer information finns i:

• Visa och hantera incidenter och aviseringar
• Skydda appar med Microsoft Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst
• Blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter
• Skydda samarbetet med externa användare genom att framtvinga sessionskontroller i realtid

Persona: SOC-administratör

Vi rekommenderar att du granskar appkontrollaviseringar för villkorsstyrd åtkomst dagligen och aktivitetsloggen. Filtrera aktivitetsloggar efter källa, åtkomstkontroll och sessionskontroll.

Mer information finns i Granska aviseringar och incidenter

Granska skugg-IT – molnidentifiering

Var: I Microsoft Defender XDR-portalen väljer du:

• Incidenter & aviseringar
• Cloud apps > Cloud discovery/Cloud app catalog
• Molnappar > Principer > Principhantering > Skugg-IT

Persona: Säkerhetsadministratörer

Defender för molnappar analyserar dina trafikloggar mot molnappkatalogen med över 31 000 molnappar. Appar rangordnas och poängsätts baserat på mer än 90 riskfaktorer för att ge kontinuerlig insyn i molnanvändning, Shadow IT och de risker som Shadow IT utgör i din organisation.

Aviseringar som rör molnidentifiering är tillgängliga i Microsoft Defender XDR och bör sorteras regelbundet.

Skapa appidentifieringsprinciper för att börja varna och tagga nyligen identifierade appar baserat på vissa villkor, till exempel riskpoäng, kategorier och appbeteenden som daglig trafik och nedladdade data.

Tips

Vi rekommenderar att du integrerar Defender for Cloud Apps med Microsoft Defender för Endpoint för att identifiera molnappar utanför företagets nätverk eller säkra gatewayer och tillämpa styrningsåtgärder på dina slutpunkter.

Mer information finns i:

• Visa och hantera incidenter och aviseringar
• Principer för molnidentifiering
• Skapa principer för molnidentifiering
• Konfigurera molnidentifiering
• Identifiera och utvärdera molnappar

Persona: Säkerhets- och efterlevnadsadministratörer, SOC-analytiker

När du har ett stort antal identifierade appar kanske du vill använda filtreringsalternativen för att lära dig mer om dina identifierade appar.

Mer information finns i Identifierade appfilter och frågor i Microsoft Defender for Cloud Apps.

Granska instrumentpanelen för molnidentifiering

Var: I Microsoft Defender XDR-portalen väljer du Cloud Apps Cloud discovery Dashboard(Molnidentifieringsinstrumentpanel >>).

Persona: Säkerhets- och efterlevnadsadministratörer, SOC-analytiker

Vi rekommenderar att du granskar instrumentpanelen för molnidentifiering dagligen. Instrumentpanelen för molnidentifiering är utformad för att ge dig mer inblick i hur molnappar används i din organisation, med en översikt över barnen i appar som används, dina öppna aviseringar och risknivåerna för appar i din organisation.

På instrumentpanelen för molnidentifiering:

1. Använd widgetarna överst på sidan för att förstå din övergripande användning av molnappar.

2. Filtrera instrumentpanelsdiagram för att generera specifika vyer, beroende på ditt intresse. Till exempel:

   • Förstå de vanligaste appkategorierna som används i din organisation, särskilt för sanktionerade appar.
   • Granska riskpoängen för dina identifierade appar.
   • Filtrera vyer för att se dina främsta appar i specifika kategorier.
   • Visa de främsta användarna och IP-adresserna för att identifiera de användare som är de mest dominerande användarna av molnappar i din organisation.
   • Visa appdata på en världskarta för att förstå hur identifierade appar sprids efter geografisk plats.

När du har granskat listan över identifierade appar i din miljö rekommenderar vi att du skyddar din miljö genom att godkänna säkra appar (sanktionerade appar), förbjuda oönskade appar (ej sanktionerade appar) eller tillämpa anpassade taggar.

Du kanske också vill granska och tillämpa taggar proaktivt på de appar som är tillgängliga i molnappkatalogen innan de identifieras i din miljö. För att hjälpa dig att styra dessa program skapar du relevanta molnidentifieringsprinciper som utlöses av specifika taggar.

Mer information finns i:

• Arbeta med identifieringsdata
• Arbeta med identifierade appar

Tips

Beroende på din miljökonfiguration kan du dra nytta av sömlös och automatiserad blockering, eller till och med varnings- och utbildningsfunktioner som tillhandahålls av Microsoft Defender för Endpoint. Mer information finns i Integrera Microsoft Defender för Endpoint med Microsoft Defender for Cloud Apps.

Granska informationsskydd

Var: I Microsoft Defender XDR-portalen väljer du:

• Incidenter & aviseringar
• Filer för molnappar >
• Molnappar > Principer > Principhantering > Informationsskydd

Persona: Säkerhets- och efterlevnadsadministratörer, SOC-analytiker

Defender for Cloud Apps filprinciper och aviseringar kan du framtvinga en mängd automatiserade processer. Skapa principer för att tillhandahålla informationsskydd, inklusive kontinuerliga efterlevnadsgenomsökningar, juridiska eDiscovery-uppgifter och dataskydd (DLP) för känsligt innehåll som delas offentligt.

Förutom att prioritera aviseringar och incidenter rekommenderar vi att soc-teamen kör extra, proaktiva åtgärder och frågor. På sidan Filer för molnappar > söker du efter följande frågor:

• Hur många filer delas offentligt så att vem som helst kan komma åt dem utan en länk?
• Vilka partner delar du filer till med utgående delning?
• Har några filer känsliga namn?
• Delas någon av filerna med någons personliga konto?

Använd resultatet av dessa frågor för att justera befintliga filprinciper eller skapa nya principer.

Mer information finns i:

• Visa och hantera incidenter och aviseringar
• Informationsskyddsprinciper.

Relaterat innehåll

Microsoft Defender for Cloud Apps driftsguide