臨機操作指南 - Microsoft Defender for Cloud Apps
本文列出建議您使用 Microsoft Defender for Cloud Apps 執行的每月作業活動。
視您的環境和需求而定,每月活動可以更頻繁或視需要執行。
檢閱Microsoft服務健康情況
其中:檢查下列位置:
- 在 Microsoft 365 系統管理中心 中,選取 [健康>情況 服務健康情況
- Microsoft 365 服務健康情況 狀態
- X: https://twitter.com/MSFT365status
如果您遇到雲端服務的問題,建議您在呼叫支援或花時間進行疑難解答之前,先檢查服務健康情況更新,以判斷其是否為已知問題,且解決方案正在進行中。
執行進階搜捕查詢
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取 [搜捕進階搜捕>] 並查詢 Defender for Cloud Apps 數據。
個人:SOC 分析師
與檢閱活動記錄類似,進階搜捕可以當做排程活動使用,使用自定義偵測或臨機操作查詢主動搜捕威脅。
進階搜捕是統一的工具,可讓您跨 Microsoft Defender 全面偵測回應 搜捕威脅。 建議您儲存經常使用的查詢,以加快手動搜捕威脅和補救的速度。
下列查詢範例在查詢 Defender for Cloud Apps 數據時很有用:
搜尋 Office - FileDownloaded 事件 記錄
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
搜尋 Office - MailItemsAccessed 詳細數據 記錄
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
搜尋 擷取活動對象 記錄
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
搜尋 Microsoft Entra ID - 新增至角色記錄
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
搜尋 Microsoft Entra ID - 群組新增記錄
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
檢閱檔案隔離
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取 [雲端應用程式>檔案]。 查詢 隔離 = 為 True 的專案。
Persona:合規性系統管理員
使用 Defender for Cloud Apps 來偵測儲存在雲端的垃圾檔案,讓您容易受到攻擊。 使用 管理員 隔離來鎖定造成威脅的檔案,以立即採取動作來阻止其追蹤。 管理員 隔離可協助您保護雲端中的檔案、補救問題,並防止未來發生外洩。
管理員 隔離中的檔案可能會在警示調查過程中進行檢閱,而且基於控管和合規性理由,您可能需要管理隔離的檔案。
如需詳細資訊,請 參閱瞭解隔離的運作方式。
檢閱應用程式風險分數
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取 [雲端應用程式>雲端應用程式目錄]。
Persona:合規性系統管理員
雲端應用程式類別目錄會根據法規認證、業界標準和最佳做法,為雲端應用程式降低風險。 建議您檢閱環境中每個應用程式的分數,以確保其符合公司法規。
檢查應用程式的風險分數之後,您可能會想要提交變更分數的要求,或在 Cloud Discovery > 分數計量中自定義風險分數。
如需詳細資訊,請 參閱尋找您的雲端應用程式並計算風險分數。
刪除雲端探索數據
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取 [設定雲端>應用程式>][Cloud Discovery > 刪除數據]。
Persona:合規性系統管理員
建議您在下列案例中刪除雲端探索數據:
- 如果您有較舊且手動上傳的記錄檔,而且不希望舊數據影響您的結果。
- 當您想要新的自定義數據檢視在所有記錄檔數據中包含事件時,包括較舊的檔案。 自定義數據檢視僅適用於該時間點之後可用的新數據,因此建議您刪除任何舊數據並再次上傳,以將其包含在自定義數據檢視中。
- 當許多使用者或IP位址在離線一段時間後再次開始運作時,請刪除舊數據以防止新活動被識別為異常,並發生誤判違規。
如需詳細資訊,請 參閱刪除雲端探索數據。
產生雲端探索執行報告
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取 [雲端應用程式>雲端探索>儀錶板>動作]
Persona:合規性系統管理員
建議您使用雲端探索執行報告來取得整個組織中所使用的影子 IT 概觀。 雲端探索執行報告可識別最高的潛在風險,並協助您規劃工作流程,以降低和管理風險,直到風險解決為止。
如需詳細資訊,請 參閱產生雲端探索執行報告。
產生雲端探索快照集報告
其中:在 Microsoft Defender 全面偵測回應 入口網站中,選取 [雲端應用程式>雲端探索>儀錶板>動作]
角色:安全性與合規性系統管理員
如果您還沒有記錄檔,而且想要查看其外觀範例,請下載範例記錄檔。
如需詳細資訊,請 參閱建立快照集雲端探索報告。