在应用活动中搜寻威胁
对于攻击者来说,应用可能是一个有价值的入口点,因此我们建议监视使用应用的异常和可疑行为。 在调查应用治理警报或查看环境中的应用行为时,必须快速了解此类可疑应用所执行活动的详细信息,并采取修正操作来保护组织中的资产。
使用应用治理和高级搜寻功能,可以完全了解应用及其访问的资源所完成的活动。
本文介绍如何在 Microsoft Defender for Cloud Apps 中使用应用治理来简化基于应用的威胁搜寻。
步骤 1:在应用治理中查找应用
“Defender for Cloud Apps应用治理”页列出了所有Microsoft Entra ID OAuth 应用。
如果要获取有关特定应用访问的数据的更多详细信息,请在应用治理中的应用列表中搜索该应用。 或者,使用 “数据使用情况 ”或 “服务访问 ”筛选器查看已访问一个或多个受支持Microsoft 365 服务上的数据的应用。
步骤 2:查看应用访问的数据
- 确定应用后,选择应用以打开应用详细信息窗格。
- 选择“应用详细信息”窗格上的“ 数据使用情况 ”选项卡,查看有关应用在过去 30 天内访问的资源的大小和计数的信息。
例如:
应用治理为跨 Exchange Online、OneDrive、SharePoint 和 Teams 中的资源(如电子邮件、文件、聊天和频道消息)提供基于数据使用情况的见解。
步骤 3:搜寻访问的相关活动和资源
大致了解应用跨服务和资源使用的数据后,你可能想要了解应用活动的详细信息,以及在执行这些活动时访问的资源。
- 选择每个资源旁边的 “搜寻” 图标,以查看应用在过去 30 天内访问的资源的详细信息。 将打开一个新选项卡,使用预填充的 KQL 查询将你重定向到 高级搜寻 页。
- 页面加载后,选择“ 运行查询 ”按钮以运行 KQL 查询并查看结果。
查询运行后,查询结果以表格形式显示。 表中的每一行对应于应用为访问特定资源类型而完成的活动。 表中的每一列都提供有关应用本身、资源、用户和活动的综合上下文。
例如,选择Email资源旁边的“搜索”图标时,应用治理使你能够在高级搜寻中查看应用在过去 30 天内访问的所有电子邮件的以下信息:
- 电子邮件的详细信息: InternetMessageId、NetworkMessageId、主题、发件人名称和地址、收件人地址、AttachmentCount 和 UrlCount
- 应用详细信息:用于发送或访问电子邮件的应用的 OAuthApplicationId
- 用户上下文:ObjectId、AccountDisplayName、IPAddress 和 UserAgent
- 应用活动上下文:OperationType、活动的时间戳、工作负载
例如:
同样,使用应用治理中的 go-hunt 图标获取其他受支持的资源(如文件、聊天消息和频道消息)的详细信息。 使用“应用详细信息”窗格中“用户”选项卡中任意用户旁边的 go-hunt 图标获取有关应用在特定用户的上下文中执行的所有活动的详细信息。
例如:
步骤 4:应用高级搜寻功能
使用 “高级搜寻 ”页可修改或调整 KQL 查询,以便根据特定要求提取结果。 可以选择保存查询以供将来用户使用,或与组织中的其他人共享链接,或将结果导出到 CSV 文件。
有关详细信息,请参阅使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁。
已知限制
使用 “高级搜寻 ”页调查应用治理中的数据时,你可能会注意到数据存在差异。 这些差异可能是由于以下原因之一:
应用治理和高级搜寻过程数据分开。 任一解决方案在处理过程中遇到的任何问题都可能导致差异。
应用治理数据处理可能需要几个小时才能完成。 由于这种延迟,它可能不会涵盖高级搜寻中可用的最近应用活动。
提供的高级搜寻查询设置为仅显示 1k 个结果。 虽然可以编辑查询以显示更多结果,但高级搜寻仍将应用 1 万个结果的最大限制。 应用治理没有此限制。