每日操作指南 - Microsoft Defender for Cloud Apps

本文列出了建议使用 Defender for Cloud Apps 执行的日常操作活动。

查看警报和事件

警报和事件是安全运营 (SOC) 团队每天应审查的两个最重要的项目。

• 定期会审Microsoft Defender XDR事件队列中的事件和警报，优先处理高严重性和中等严重性警报。

• 如果使用的是 SIEM 系统，则 SIEM 系统通常是会审的第一站。 SIEM 系统通过额外的日志和 SOAR 功能提供更多上下文。 然后，使用Microsoft Defender XDR更深入地了解警报或事件时间线。

从Microsoft Defender XDR对事件进行会审

其中：在Microsoft Defender XDR中，选择“事件 & 警报”

角色：SOC 分析师

会审事件时：

1. 在事件仪表板中，筛选以下项：

   筛选器	值
   状态	新建、正在进行中
   严重性	高、中、低
   服务源	检查所有服务源。 选中所有服务源时，应列出保真度最高的警报，并与其他Microsoft XDR 工作负载关联。 选择“Defender for Cloud Apps”以查看专门来自Defender for Cloud Apps的项目。

2. 选择每个事件以查看所有详细信息。 查看事件中的所有选项卡、活动日志和高级搜寻。

   在事件的“ 证据和响应 ”选项卡中，选择每个证据项。 选择选项菜单 >“调查 ”，然后选择“ 活动日志 ”或“ 根据需要进行搜寻 ”。

3. 会审事件。 对于每个事件，选择“ 管理事件 ”，然后选择以下选项之一：

   • 真正例
   • 误报
   • 信息性、预期活动

   对于真正的警报，请指定治疗类型以帮助安全团队查看威胁模式并保护组织免受风险。

4. 准备好开始活动调查时，请将事件分配给用户，并将事件状态更新为“正在进行”。

5. 修正事件后，解决该事件以解决所有链接和相关的活动警报。

有关更多信息，请参阅：

• 在Microsoft Defender XDR中确定事件的优先级
• 调查Microsoft Defender XDR中的警报
• 事件响应手册
• 如何调查异常情况检测警报
• 管理应用治理警报
• 调查威胁检测警报

从 SIEM 系统对事件进行会审

角色：SOC 分析师

先决条件：必须连接到 SIEM 系统，建议与 Microsoft Sentinel 集成。 有关更多信息，请参阅：

• Microsoft Sentinel集成 (预览版)
• 将数据从Microsoft Defender XDR连接到Microsoft Sentinel
• 通用 SIEM 集成

通过将Microsoft Defender XDR与Microsoft Sentinel集成，可以将所有Microsoft Defender XDR事件流式传输到Microsoft Sentinel，并在两个门户之间保持同步。 Microsoft Sentinel中的Microsoft Defender XDR事件包括所有相关警报、实体和相关信息，提供足够的上下文来会审和运行初步调查。

进入Microsoft Sentinel后，事件与Microsoft Defender XDR保持同步，以便可以在调查中使用两个门户中的功能。

• 为Microsoft Defender XDR安装Microsoft Sentinel的数据连接器时，请确保包含 Microsoft Defender for Cloud Apps 选项。
• 请考虑使用 流式处理 API 将数据发送到事件中心，数据可以通过任何合作伙伴 SIEM 与事件中心连接器一起使用，或者将数据放置在 Azure 存储中。

有关更多信息，请参阅：

• Microsoft Defender XDR与 Microsoft Sentinel 集成
• 在 Microsoft Sentinel 中导航和调查事件
• 创建自定义分析规则以检测威胁

查看威胁检测数据

其中：在Microsoft Defender XDR门户中，选择：

• 事件 & 警报
• 云应用 > 策略 > 策略管理 > 威胁检测
• 云应用 > Oauth 应用

角色：安全管理员和 SOC 分析师

云应用威胁检测是许多 SOC 分析师关注其日常活动的地方，用于识别显示异常行为的高风险用户。

Defender for Cloud Apps威胁检测使用Microsoft威胁情报和安全研究数据。 警报在Microsoft Defender XDR中可用，应定期会审。

当安全管理员和 SOC 分析师处理警报时，他们处理以下main类型的威胁检测策略：

• 活动策略
• 异常检测策略
• OAuth 策略 和 应用治理策略

角色：安全管理员

请确保创建组织所需的威胁防护策略，包括处理任何先决条件。

查看应用程序治理

其中：在Microsoft Defender XDR门户中，选择：

• 事件 & 警报
• 事件 & 警报/应用治理

角色：SOC 分析师

应用治理提供对 OAuth 应用的深入可见性和控制。 应用治理有助于打击利用本地和云基础结构中部署的应用的日益复杂的活动，为特权提升、横向移动和数据外泄建立起点。

应用治理与Defender for Cloud Apps一起提供。 警报在Microsoft Defender XDR中也可用，应定期会审。

有关更多信息，请参阅：

• 发现警报
• 调查预定义的应用策略警报
• 调查和修正有风险的 OAuth 应用

查看应用治理概述页

其中：在Microsoft Defender XDR门户中，选择：

• 事件 & 警报
• 云应用 > 应用应用治理 > 概述

角色：SOC 分析师和安全管理员

建议对应用和事件的符合性状况进行每日快速评估。 例如，检查以下详细信息：

• 特权过大或高特权的应用数
• 具有未经验证的发布者的应用
• 使用 图形 API 访问的服务和资源的数据使用情况
• 使用最常见的敏感度标签访问数据的应用数
• 跨 365 个服务使用和不使用敏感度标签访问数据的应用数Microsoft
• 与应用治理相关的事件概述

根据查看的数据，你可能想要创建新的应用治理策略或调整应用治理策略。

有关更多信息，请参阅：

• 查看和管理事件和警报
• 使用应用治理查看应用详细信息
• 在应用治理中创建应用策略。

查看 OAuth 应用数据

其中：在Microsoft Defender XDR门户中，选择：

• 事件 & 警报
• 云应用 > 应用治理 > Azure AD

建议每天检查已启用 OAuth 的应用列表，以及相关的应用元数据和使用情况数据。 选择应用以查看更深入的见解和信息。

应用治理使用基于机器学习的检测算法来检测Microsoft Defender XDR租户中的异常应用行为，并生成可以查看、调查和解决的警报。 除了此内置检测功能之外，还可以使用一组默认策略模板或创建自己的应用策略来生成其他警报。

有关更多信息，请参阅：

• 查看和管理事件和警报
• 使用应用治理查看应用详细信息
• 获取有关应用的详细信息

创建和管理应用治理策略

其中：在Microsoft Defender XDR门户中，选择“云应用”“>应用治理>策略”

角色：安全管理员

建议每天检查 OAuth 应用，以便定期进行深入的可见性和控制。 基于机器学习算法生成警报，并创建应用策略进行应用治理。

有关更多信息，请参阅：

• 在应用治理中创建应用策略
• 管理应用策略

查看条件访问应用控制

其中：在Microsoft Defender XDR门户中，选择：

• 事件 & 警报
• 云应用 > 策略 > 策略管理 > 条件访问

若要配置条件访问应用控制，请选择“设置”“云应用>条件访问应用控制”>

角色：安全管理员

通过条件访问应用控制，可以根据访问和会话策略实时监视和控制用户应用访问和会话。

生成的警报在 Microsoft Defender XDR 中可用，应定期会审。

默认情况下，没有部署访问或会话策略，因此没有可用的相关警报。 你可以加入任何 Web 应用以使用访问和会话控件，Microsoft Entra ID应用会自动载入。 建议根据需要为组织创建会话和访问策略。

有关更多信息，请参阅：

• 查看和管理事件和警报
• 使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用
• 阻止和保护敏感数据下载到非托管或有风险的设备上
• 通过强制实施实时会话控件，实现与外部用户的安全协作

角色：SOC 管理员

建议每天查看条件访问应用控制警报和活动日志。 按源、访问控制和会话控制筛选活动日志。

有关详细信息，请参阅 查看警报和事件

查看影子 IT - 云发现

其中：在Microsoft Defender XDR门户中，选择：

• 事件 & 警报
• 云应用 > 云发现/云应用目录
• 云应用 > 策略 > 策略管理 > 影子 IT

角色：安全管理员

Defender for Cloud Apps 针对超过 31,000 个云应用的云应用目录分析流量日志。 应用基于 90 多个风险因素进行排名和评分，以提供对云使用、影子 IT 以及影子 IT 对组织构成的风险的持续可见性。

Microsoft Defender XDR中提供了与云发现相关的警报，应定期会审。

创建应用发现策略，以基于某些条件（例如风险评分、类别和应用行为（如每日流量和下载数据）开始对新发现的应用发出警报和标记。

提示

建议将Defender for Cloud Apps与Microsoft Defender for Endpoint集成，以发现企业网络或安全网关之外的云应用，并在终结点上应用治理操作。

有关更多信息，请参阅：

• 查看和管理事件和警报
• 云发现策略
• 创建云发现策略
• 设置云发现
• 发现和评估云应用

角色：安全性和合规性管理员、SOC 分析师

当你拥有大量已发现的应用时，你可能希望使用筛选选项来详细了解已发现的应用。

有关详细信息，请参阅在 Microsoft Defender for Cloud Apps 中发现的应用筛选器和查询。

查看云发现仪表板

其中：在Microsoft Defender XDR门户中，选择“云应用>”“云发现>仪表板”。

角色：安全性和合规性管理员、SOC 分析师

建议每天查看云发现仪表板。 云发现仪表板旨在让你更深入地了解组织中如何使用云应用，并简要概述了正在使用的应用的子级、打开的警报以及组织中应用的风险级别。

在云发现仪表板：

1. 使用页面顶部的小组件了解总体云应用使用情况。

2. 根据兴趣筛选仪表板图形以生成特定视图。 例如：

   • 了解组织中使用的应用的顶级类别，尤其是已批准的应用。
   • 查看已发现应用的风险评分。
   • 筛选视图以查看特定类别中的热门应用。
   • 查看排名靠前的用户和 IP 地址，以确定组织中云应用最占主导地位的用户。
   • 在世界地图上查看应用数据，了解已发现的应用如何按地理位置传播。

查看环境中发现的应用列表后，建议通过批准安全应用 (批准的 应用) 、禁止不需要的应用 (未批准的 应用) 或应用自定义标记来保护环境。

在环境中发现这些应用之前，你可能还希望主动查看这些标记并将其应用于云应用目录中提供的应用。 若要帮助控制这些应用程序，请创建由特定标记触发的相关云发现策略。

有关更多信息，请参阅：

• 使用发现数据
• 使用发现的应用

提示

根据环境配置，你可能会从无缝和自动阻止中受益，甚至Microsoft Defender for Endpoint提供的警告和教育功能。 有关详细信息，请参阅将 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud Apps 集成。

查看信息保护

其中：在Microsoft Defender XDR门户中，选择：

• 事件 & 警报
• 云应用 > 文件
• 云应用 > 策略 > 策略管理 > 信息保护

角色：安全性和合规性管理员、SOC 分析师

Defender for Cloud Apps文件策略和警报允许强制实施各种自动化过程。 创建策略以提供信息保护，包括持续合规性扫描、法律电子数据展示任务和数据丢失保护 (DLP) 公开共享的敏感内容。

除了 会审警报和事件外，我们建议 SOC 团队运行额外的主动操作和查询。 在“云应用>文件”页中，检查以下问题：

• 公开共享多少个文件，以便任何人都可以在没有链接的情况下访问它们？
• 你正在使用出站共享将文件共享到哪些合作伙伴？
• 是否有任何文件具有敏感名称？
• 是否有任何文件与某人的个人帐户共享？

使用这些查询的结果来调整现有文件策略或创建新策略。

有关更多信息，请参阅：

• 查看和管理事件和警报
• 信息保护策略。

相关内容

Microsoft Defender for Cloud Apps操作指南