临时操作指南 - Microsoft Defender for Cloud Apps

本文列出了建议使用 Microsoft Defender for Cloud Apps 执行的每月操作活动。

每月活动可以更频繁或根据需要执行,具体取决于环境和需求。

查看 Microsoft 服务运行状况

位置:检查以下位置:

如果云服务出现问题,则建议在致电支持人员或花时间进行故障排除之前先检查服务运行状况更新,以确定此问题是否为正在着手解决的已知问题。

运行高级搜寻查询

位置:在 Microsoft Defender XDR 门户中,选择 搜寻 > 高级搜寻,然后并查询 Defender for Cloud Apps 数据。

角色:SOC 分析师

与查看活动日志类似,高级搜寻可作为计划活动使用,使用自定义检测或临时查询来主动搜寻威胁。

高级搜寻是一种统一的工具,可用于跨 Microsoft Defender XDR 搜寻威胁。 建议保存常用查询,以便更快地对威胁进行手动搜寻和补救。

在查询 Defender for Cloud Apps 数据时,以下示例查询非常有用:

搜索 Office - FileDownloaded 事件记录

CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel

搜索 Office - MailItemsAccessed 详细信息记录

CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc

搜索提取活动对象记录

CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)

搜索 Microsoft Entra ID - 添加到角色记录

CloudAppEvents
| where ActionType in ("Add member to role.") 
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name,  UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName

搜索 Microsoft Entra ID - 组添加记录

CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName = 
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy = 
AccountDisplayName,GroupName

审查文件隔离区

位置:在 Microsoft Defender XDR 门户中,选择云应用 > 文件。 查询 Quarantined = True 的项目。

Persona:合规管理员

使用 Defender for Cloud Apps 来检测存储在云中的不需要的文件,这些文件容易带来漏洞。 通过使用管理员隔离区锁定构成威胁的文件,立即采取行动阻止它们继续运行。 管理隔离区有助于保护云中的文件、修复问题并防止未来发生泄露。

管理隔离区中的文件可能会作为警报调查的一部分进行审查,出于管理和合规性原因,可能需要管理被隔离的文件。

有关详细信息,请参阅了解隔离的工作原理

查看应用风险分数

位置:在 Microsoft Defender XDR 门户中,选择云应用 > 云应用目录

Persona:合规管理员

云应用目录根据规章认证、行业标准和最佳实践对云应用的风险进行分级。 建议检查环境中每个应用的分数,以确保其符合贵公司的规定。

检查应用程序的风险分数后,可能需要提交更改评分的请求,或在 Cloud Discovery > 评分指标中自定义风险分数。

有关详细信息,请参阅 查找云应用并计算风险分数

删除 Cloud Discovery 数据

位置:在 Microsoft Defender XDR 门户中,选择设置 > 云应用 > Cloud Discovery > 删除数据

Persona:合规管理员

建议在以下方案中删除 Cloud Discovery 数据:

  • 在手动上传了较早的日志文件,并且不想让旧数据影响结果时。
  • 在希望新的自定义数据视图包含所有日志文件数据(包括旧文件)中的事件时。 自定义数据视图只适用于从那时起可用的新数据,因此我们建议删除任何旧数据并重新上传,以便将其纳入自定义数据视图中。
  • 当许多用户或 IP 地址在离线一段时间后重新开始工作时,应删除旧数据,以防止新活动被识别为异常,从而造成假正冲突。

有关详细信息,请参阅删除 Cloud Discovery 数据

生成 Cloud Discovery 主管人员报表

位置:在 Microsoft Defender XDR 门户中,选择云应用 > Cloud Discovery > 仪表板 > 操作

Persona:合规管理员

我们建议使用 Cloud Discovery 执行报表来了解整个组织使用的影子 IT 的概况。 Cloud Discovery 执行报表可识别最大的潜在风险,并帮助规划工作流程,以降低和管理风险,直至问题得到解决。

有关详细信息,请参阅生成 Cloud Discovery 管理报表

生成 Cloud Discovery 快照报表

位置:在 Microsoft Defender XDR 门户中,选择云应用 > Cloud Discovery > 仪表板 > 操作

Persona:安全与合规管理员

如果还没有日志,但又想了解日志的外观示例,请下载日志示例文件。

有关详细信息,请参阅创建快照 Cloud Discovery 报表

Microsoft Defender for Cloud Apps 操作指南