临时操作指南 - Microsoft Defender for Cloud Apps
本文列出了建议使用Microsoft Defender for Cloud Apps执行的每月操作活动。
每月活动可以更频繁地执行,也可以根据需要执行,具体取决于你的环境和需求。
查看Microsoft服务运行状况
其中:检查以下位置:
- 在Microsoft 365 管理中心中,选择“运行状况>服务运行状况
- Microsoft 365 服务运行状况状态
- X: https://twitter.com/MSFT365status
如果云服务出现问题,建议在致电支持人员或花时间进行故障排除之前,检查服务运行状况更新,以确定它是否是已知问题,并正在解决中。
运行高级搜寻查询
其中:在Microsoft Defender XDR门户中,选择“搜寻>高级搜寻”并查询Defender for Cloud Apps数据。
角色:SOC 分析师
与查看活动日志类似,高级搜寻可用作计划活动,使用自定义检测或即席查询主动搜寻威胁。
高级搜寻是一种统一的工具,可用于跨Microsoft Defender XDR搜寻威胁。 建议保存常用查询,以便更快地手动搜寻和修正威胁。
以下示例查询在查询Defender for Cloud Apps数据时非常有用:
搜索 Office - 文件下载的事件 记录
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
搜索 Office - MailItemsAccessed 详细信息 记录
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
搜索 提取活动对象 记录
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
搜索Microsoft Entra ID - 添加到角色记录
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
搜索Microsoft Entra ID - 组添加记录
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
查看文件隔离
其中:在Microsoft Defender XDR门户中,选择“云应用>文件”。 查询隔离 = 为True 的项目。
角色:合规性管理员
使用Defender for Cloud Apps检测云中存储的不需要的文件,使你容易受到攻击。 立即采取措施,通过使用管理员隔离来锁定构成威胁的文件来阻止他们。 管理员隔离有助于保护云中的文件、修正问题并防止将来发生泄漏。
管理员隔离区中的文件可能会作为警报调查的一部分进行评审,出于治理和合规性原因,可能需要管理隔离的文件。
有关详细信息,请参阅 了解隔离的工作原理。
查看应用风险分数
其中:在Microsoft Defender XDR门户中,选择“云应用>”“云应用目录”。
角色:合规性管理员
云应用目录根据法规认证、行业标准和最佳做法对云应用的风险进行评分。 建议查看环境中每个应用的分数,以确保它符合公司法规。
检查应用的风险分数后,可能需要提交更改分数的请求,或在 Cloud Discovery > Score 指标中自定义风险分数。
有关详细信息,请参阅 查找云应用和计算风险分数。
删除云发现数据
其中:在Microsoft Defender XDR门户中,选择“设置>云应用>”“云发现>删除数据”。
角色:合规性管理员
建议在以下情况下删除云发现数据:
- 如果你有较旧的手动上传日志文件,并且不希望旧数据影响结果。
- 希望新的自定义数据视图在所有日志文件数据(包括旧文件)中包含事件时。 自定义数据视图仅适用于从该点开始提供的新数据,因此我们建议删除任何旧数据,然后再次上传以将其包含在自定义数据视图中。
- 当许多用户或 IP 地址在脱机一段时间后重新开始工作时,请删除旧数据,以防止新活动被标识为异常,并出现误报冲突。
有关详细信息,请参阅 删除云发现数据。
生成云发现执行报告
其中:在Microsoft Defender XDR门户中,选择“云应用>”“云发现>仪表板>操作”
角色:合规性管理员
建议使用云发现执行报告来大致了解整个组织使用的影子 IT。 云发现执行报告确定最大的潜在风险,并帮助你规划工作流来缓解和管理风险,直到风险得到解决。
有关详细信息,请参阅 生成云发现执行报告。
生成云发现快照报表
其中:在Microsoft Defender XDR门户中,选择“云应用>”“云发现>仪表板>操作”
角色:安全性和合规性管理员
如果还没有日志,并且想要查看其外观的示例,请下载示例日志文件。
有关详细信息,请参阅创建快照云发现报告。