Codzienny przewodnik operacyjny — Microsoft Defender for Cloud Apps

W tym artykule wymieniono codzienne działania operacyjne, które zalecamy wykonać przy użyciu Defender for Cloud Apps.

Przeglądanie alertów i zdarzeń

Alerty i zdarzenia to dwa najważniejsze elementy, które zespół ds. operacji zabezpieczeń powinien przeglądać codziennie.

• Regularnie klasyfikowanie zdarzeń i alertów z kolejki zdarzeń w Microsoft Defender XDR, priorytetyzowanie alertów o wysokiej i średniej ważności.

• Jeśli pracujesz z systemem SIEM, system SIEM jest zwykle pierwszym przystankiem klasyfikacji. Systemy SIEM zapewniają więcej kontekstu z dodatkowymi dziennikami i funkcjami SOAR. Następnie użyj Microsoft Defender XDR, aby lepiej zrozumieć oś czasu alertu lub zdarzenia.

Klasyfikowanie zdarzeń z Microsoft Defender XDR

Gdzie: W Microsoft Defender XDR wybierz pozycję Zdarzenia & alerty

Persona: Analitycy SOC

Podczas klasyfikowania zdarzeń:

1. Na pulpicie nawigacyjnym zdarzenia odfiltruj następujące elementy:

   Filtrowanie	Wartości
   Stan	Nowy, W toku
   Dotkliwość	Wysoki, Średni, Niski
   Źródło usługi	Sprawdź wszystkie źródła usług. Sprawdzanie wszystkich źródeł usług powinno zawierać listę alertów o największej wierności z korelacją między innymi obciążeniami XDR firmy Microsoft. Wybierz pozycję Defender for Cloud Apps, aby wyświetlić elementy pochodzące z Defender for Cloud Apps.

2. Wybierz każde zdarzenie, aby przejrzeć wszystkie szczegóły. Przejrzyj wszystkie karty w zdarzeniu, dziennik aktywności i zaawansowane wyszukiwanie zagrożeń.

   Na karcie Dowód i odpowiedź zdarzenia wybierz każdy element dowodu. Wybierz menu > Opcje Zbadaj, a następnie w razie potrzeby wybierz pozycję Dziennik aktywności lub Polowanie na go.

3. Klasyfikowanie zdarzeń. Dla każdego zdarzenia wybierz pozycję Zarządzaj incydentem , a następnie wybierz jedną z następujących opcji:

   • Prawdziwie dodatnie
   • Wynik fałszywie dodatni
   • Działanie informacyjne, oczekiwane

   W przypadku prawdziwych alertów określ typ leczenia, aby pomóc zespołowi ds. zabezpieczeń zobaczyć wzorce zagrożeń i chronić organizację przed ryzykiem.

4. Gdy wszystko będzie gotowe do rozpoczęcia aktywnego badania, przypisz zdarzenie do użytkownika i zaktualizuj stan zdarzenia na W toku.

5. Po skorygowaniu zdarzenia rozwiąż problem, aby rozwiązać wszystkie połączone i powiązane aktywne alerty.

Więcej informacji można znaleźć w następujących artykułach:

• Określanie priorytetów zdarzeń w Microsoft Defender XDR
• Badanie alertów w Microsoft Defender XDR
• Podręczniki dotyczące reagowania na zdarzenia
• Jak zbadać alerty wykrywania anomalii
• Zarządzanie alertami ładu aplikacji
• Badanie alertów wykrywania zagrożeń

Klasyfikowanie zdarzeń z systemu SIEM

Persona: Analitycy SOC

Wymagania wstępne: musisz mieć połączenie z systemem SIEM i zalecamy integrację z Microsoft Sentinel. Więcej informacji można znaleźć w następujących artykułach:

• integracja Microsoft Sentinel (wersja zapoznawcza)
• Łączenie danych z Microsoft Defender XDR z Microsoft Sentinel
• Ogólna integracja rozwiązania SIEM

Integracja Microsoft Defender XDR z Microsoft Sentinel umożliwia przesyłanie strumieniowe wszystkich zdarzeń Microsoft Defender XDR do Microsoft Sentinel i synchronizowanie ich między obydwoma portalami. Microsoft Defender XDR zdarzenia w Microsoft Sentinel obejmują wszystkie skojarzone alerty, jednostki i odpowiednie informacje, zapewniając kontekst umożliwiający klasyfikację i uruchomienie wstępnego badania.

Po Microsoft Sentinel zdarzenia pozostają zsynchronizowane z Microsoft Defender XDR, dzięki czemu można używać funkcji z obu portali w badaniu.

• Podczas instalowania łącznika danych Microsoft Sentinel dla Microsoft Defender XDR należy uwzględnić opcję Microsoft Defender for Cloud Apps.
• Rozważ użycie interfejsu API przesyłania strumieniowego do wysyłania danych do centrum zdarzeń, gdzie mogą być używane za pośrednictwem dowolnego partnera SIEM z łącznikiem centrum zdarzeń lub umieszczane w usłudze Azure Storage.

Więcej informacji można znaleźć w następujących artykułach:

• integracja Microsoft Defender XDR z Microsoft Sentinel
• Nawigowanie i badanie zdarzeń w Microsoft Sentinel
• Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń

Przeglądanie danych wykrywania zagrożeń

Gdzie: W portalu Microsoft Defender XDR wybierz:

• Zdarzenia & alerty
• Wykrywanie zagrożeń w zasadach zarządzania > zasadami > aplikacji > w chmurze
• Aplikacje w chmurze Aplikacje > Oauth

Persona: Administratorzy zabezpieczeń i analitycy SOC

Wykrywanie zagrożeń aplikacji w chmurze to miejsce, w którym wielu analityków SOC koncentruje swoje codzienne działania, identyfikując użytkowników wysokiego ryzyka, którzy wykazują nietypowe zachowanie.

Defender for Cloud Apps wykrywania zagrożeń używa danych analizy zagrożeń i badań zabezpieczeń firmy Microsoft. Alerty są dostępne w Microsoft Defender XDR i powinny być regularnie klasyfikowane.

Gdy administratorzy zabezpieczeń i analitycy SOC zajmują się alertami, obsługują następujące główne typy zasad wykrywania zagrożeń:

• Zasady działania
• Zasady wykrywania anomalii
• Zasady OAuth i zasady ładu aplikacji

Persona: Administrator zabezpieczeń

Pamiętaj o utworzeniu zasad ochrony przed zagrożeniami wymaganych przez organizację, w tym obsługi wszelkich wymagań wstępnych.

Przegląd ładu aplikacji

Gdzie: W portalu Microsoft Defender XDR wybierz:

• Zdarzenia & alerty
• Zdarzenia & alerty / zarządzanie aplikacjami

Persona: Analitycy SOC

Ład aplikacji zapewnia szczegółowy wgląd i kontrolę nad aplikacjami OAuth. Zarządzanie aplikacjami pomaga zwalczać coraz bardziej zaawansowane kampanie wykorzystujące aplikacje wdrożone lokalnie i w infrastrukturze chmury, ustanawiając punkt wyjścia do eskalacji uprawnień, przenoszenia bocznego i eksfiltracji danych.

Ład aplikacji jest udostępniany razem z Defender for Cloud Apps. Alerty są również dostępne w Microsoft Defender XDR i powinny być regularnie klasyfikowane.

Więcej informacji można znaleźć w następujących artykułach:

• Alerty odnajdywania
• Badanie wstępnie zdefiniowanych alertów zasad aplikacji
• Badanie i korygowanie ryzykownych aplikacji OAuth

Sprawdzanie strony przeglądu ładu aplikacji

Gdzie: W portalu Microsoft Defender XDR wybierz:

• Zdarzenia & alerty
• Omówienie ładu > aplikacji w > chmurze

Persona: analitycy SOC i administrator zabezpieczeń

Zalecamy przeprowadzenie szybkiej, codziennej oceny stanu zgodności aplikacji i zdarzeń. Sprawdź na przykład następujące szczegóły:

• Liczba aplikacji z nadmiernymi uprawnieniami lub wysoce uprzywilejowanymi
• Aplikacje z niezweryfikowanym wydawcą
• Użycie danych dla usług i zasobów, do których uzyskano dostęp przy użyciu interfejs Graph API
• Liczba aplikacji, które uzyskiwały dostęp do danych z najczęstszymi etykietami poufności
• Liczba aplikacji, które uzyskiwały dostęp do danych z etykietami poufności i bez nich w usługach Platformy Microsoft 365
• Omówienie zdarzeń związanych z ładem aplikacji

Na podstawie danych, które przeglądasz, możesz chcieć utworzyć nowe lub dostosować zasady ładu aplikacji.

Więcej informacji można znaleźć w następujących artykułach:

• Wyświetlanie i zarządzanie zdarzeniami i alertami
• Wyświetlanie szczegółów aplikacji przy użyciu ładu aplikacji
• Tworzenie zasad aplikacji w zarządzaniu aplikacjami.

Przeglądanie danych aplikacji OAuth

Gdzie: W portalu Microsoft Defender XDR wybierz:

• Zdarzenia & alerty
• Azure AD ładu > aplikacji w > chmurze

Zalecamy codzienne sprawdzanie listy aplikacji z obsługą protokołu OAuth wraz z odpowiednimi metadanymi aplikacji i danymi użycia. Wybierz aplikację, aby wyświetlić bardziej szczegółowe informacje i szczegółowe informacje.

Ład aplikacji używa algorytmów wykrywania opartych na uczeniu maszynowym do wykrywania nietypowego zachowania aplikacji w dzierżawie Microsoft Defender XDR i generuje alerty, które można wyświetlać, badać i rozwiązywać. Poza tą wbudowaną funkcją wykrywania możesz użyć zestawu domyślnych szablonów zasad lub utworzyć własne zasady aplikacji, które generują inne alerty.

Więcej informacji można znaleźć w następujących artykułach:

• Wyświetlanie i zarządzanie zdarzeniami i alertami
• Wyświetlanie szczegółów aplikacji przy użyciu ładu aplikacji
• Uzyskiwanie szczegółowych informacji o aplikacji

Tworzenie zasad ładu aplikacji i zarządzanie nimi

Gdzie: W portalu Microsoft Defender XDR wybierz pozycję Zasady ładu > aplikacji w > chmurze

Persona: Administratorzy zabezpieczeń

Zalecamy codzienne sprawdzanie aplikacji OAuth pod kątem regularnej szczegółowej widoczności i kontroli. Generowanie alertów na podstawie algorytmów uczenia maszynowego i tworzenie zasad aplikacji na potrzeby ładu aplikacji.

Więcej informacji można znaleźć w następujących artykułach:

• Tworzenie zasad aplikacji w zakresie ładu aplikacji
• Zarządzanie zasadami aplikacji

Przejrzyj kontrolę aplikacji dostępu warunkowego

Gdzie: W portalu Microsoft Defender XDR wybierz:

• Zdarzenia & alerty
• Dostęp warunkowy do zasad zarządzania > zasadami > aplikacji > w chmurze

Aby skonfigurować kontrolę aplikacji dostępu warunkowego, wybierz pozycję Ustawienia > Aplikacje w > chmurze Kontrola aplikacji dostępu warunkowego

Persona: Administrator zabezpieczeń

Kontrola aplikacji dostępu warunkowego zapewnia możliwość monitorowania i kontrolowania dostępu do aplikacji użytkowników oraz sesji w czasie rzeczywistym na podstawie zasad dostępu i sesji.

Wygenerowane alerty są dostępne w Microsoft Defender XDR i powinny być regularnie klasyfikowane.

Domyślnie nie wdrożono żadnych zasad dostępu ani sesji, dlatego nie są dostępne żadne powiązane alerty. Możesz dołączyć dowolną aplikację internetową do pracy z kontrolkami dostępu i sesji, Tożsamość Microsoft Entra aplikacje są automatycznie dołączane. Zalecamy utworzenie zasad sesji i dostępu zgodnie z potrzebami organizacji.

Więcej informacji można znaleźć w następujących artykułach:

• Wyświetlanie i zarządzanie zdarzeniami i alertami
• Ochrona aplikacji za pomocą Microsoft Defender for Cloud Apps kontroli aplikacji dostępu warunkowego
• Blokuj i chroń pobieranie poufnych danych na urządzenia niezarządzane lub ryzykowne
• Zabezpieczanie współpracy z użytkownikami zewnętrznymi przez wymuszanie kontrolek sesji w czasie rzeczywistym

Persona: administrator SOC

Zalecamy codzienne przeglądanie alertów kontroli aplikacji dostępu warunkowego i dziennika aktywności. Filtruj dzienniki aktywności według źródła, kontroli dostępu i kontroli sesji.

Aby uzyskać więcej informacji, zobacz Przeglądanie alertów i zdarzeń

Przeglądanie w tle IT — odnajdywanie w chmurze

Gdzie: W portalu Microsoft Defender XDR wybierz:

• Zdarzenia & alerty
• Aplikacje w > chmurze Odnajdywanie w chmurze / Wykaz aplikacji w chmurze
• Zarządzanie zasadami aplikacji w >> chmurze — zarządzanie > zasadami w tle IT

Persona: Administratorzy zabezpieczeń

Usługa Defender dla aplikacji w chmurze analizuje dzienniki ruchu względem katalogu aplikacji w chmurze ponad 31 000 aplikacji w chmurze. Aplikacje są klasyfikowane i oceniane na podstawie ponad 90 czynników ryzyka w celu zapewnienia stałego wglądu w korzystanie z chmury, shadow IT i ryzyko, jakie shadow IT stwarza dla Twojej organizacji.

Alerty związane z odnajdywaniem w chmurze są dostępne w Microsoft Defender XDR i powinny być regularnie klasyfikowane.

Utwórz zasady odnajdywania aplikacji, aby rozpocząć alerty i tagowanie nowo odnalezionych aplikacji na podstawie określonych warunków, takich jak wyniki ryzyka, kategorie i zachowania aplikacji, takie jak dzienny ruch i pobrane dane.

Więcej informacji można znaleźć w następujących artykułach:

• Wyświetlanie i zarządzanie zdarzeniami i alertami
• Zasady odnajdywania w chmurze
• Tworzenie zasad odnajdywania w chmurze
• Konfigurowanie odnajdywania w chmurze
• Odnajdywanie i ocenianie aplikacji w chmurze

Persona: Administratorzy zabezpieczeń i zgodności, analitycy SOC

Jeśli masz dużą liczbę odnalezionych aplikacji, możesz użyć opcji filtrowania, aby dowiedzieć się więcej o odnalezionych aplikacjach.

Aby uzyskać więcej informacji, zobacz Odnalezione filtry aplikacji i zapytania w Microsoft Defender for Cloud Apps.

Przeglądanie pulpitu nawigacyjnego odnajdywania w chmurze

Gdzie: W portalu Microsoft Defender XDR wybierz pozycję Aplikacje > w chmurze Pulpit nawigacyjny odnajdywania > w chmurze.

Persona: Administratorzy zabezpieczeń i zgodności, analitycy SOC

Zalecamy codzienne przeglądanie pulpitu nawigacyjnego odnajdywania w chmurze. Pulpit nawigacyjny odnajdywania w chmurze został zaprojektowany tak, aby zapewnić lepszy wgląd w sposób użycia aplikacji w chmurze w organizacji, dzięki szybkiemu przeglądowi używanych aplikacji, otwartym alertom i poziomom ryzyka aplikacji w organizacji.

Na pulpicie nawigacyjnym odnajdywania w chmurze:

1. Użyj widżetów w górnej części strony, aby zrozumieć ogólne użycie aplikacji w chmurze.

2. Filtruj wykresy pulpitu nawigacyjnego, aby wygenerować określone widoki, w zależności od zainteresowania. Przykład:

   • Omówienie najważniejszych kategorii aplikacji używanych w organizacji, szczególnie w przypadku aplikacji objętych sankcjami.
   • Przejrzyj wyniki ryzyka dla odnalezionych aplikacji.
   • Filtruj widoki, aby wyświetlić najważniejsze aplikacje w określonych kategoriach.
   • Wyświetl najlepszych użytkowników i adresy IP, aby zidentyfikować użytkowników, którzy są najbardziej dominującym użytkownikiem aplikacji w chmurze w organizacji.
   • Wyświetl dane aplikacji na mapie świata, aby zrozumieć, jak odnalezione aplikacje rozprzestrzeniają się według lokalizacji geograficznej.

Po przejrzeniu listy odnalezionych aplikacji w twoim środowisku zalecamy zabezpieczenie środowiska przez zatwierdzenie bezpiecznych aplikacji (aplikacje objęte sankcjami ), zakazanie niechcianych aplikacji (nieusankcjonowane aplikacje) lub stosowanie tagów niestandardowych.

Warto również proaktywnie przeglądać i stosować tagi do aplikacji dostępnych w katalogu aplikacji w chmurze, zanim zostaną odnalezione w twoim środowisku. Aby ułatwić zarządzanie tymi aplikacjami, utwórz odpowiednie zasady odnajdywania w chmurze, wyzwalane przez określone tagi.

Więcej informacji można znaleźć w następujących artykułach:

• Praca z danymi odnajdywania
• Praca z odnalezionymi aplikacjami

Przegląd ochrony informacji

Gdzie: W portalu Microsoft Defender XDR wybierz:

• Zdarzenia & alerty
• Pliki aplikacji w > chmurze
• Zarządzanie zasadami aplikacji w >> chmurze — ochrona > informacji

Persona: Administratorzy zabezpieczeń i zgodności, analitycy SOC

Defender for Cloud Apps zasady plików i alerty umożliwiają wymuszanie szerokiego zakresu zautomatyzowanych procesów. Tworzenie zasad w celu zapewnienia ochrony informacji, w tym ciągłego skanowania zgodności, prawnych zadań zbierania elektronicznych materiałów dowodowych i ochrony przed utratą danych (DLP) pod kątem zawartości poufnej udostępnionej publicznie.

Oprócz klasyfikowania alertów i zdarzeń zalecamy, aby zespoły SOC uruchamiać dodatkowe, proaktywne akcje i zapytania. Na stronie Pliki aplikacji > w chmurze sprawdź następujące pytania:

• Ile plików jest udostępnianych publicznie, aby każdy mógł uzyskać do nich dostęp bez linku?
• Którym partnerom udostępniasz pliki przy użyciu udostępniania wychodzącego?
• Czy jakiekolwiek pliki mają poufne nazwy?
• Czy którykolwiek z plików udostępnianych czyjemuś kontu osobistemu?

Wyniki tych zapytań umożliwiają dostosowanie istniejących zasad plików lub utworzenie nowych zasad.

Więcej informacji można znaleźć w następujących artykułach:

• Wyświetlanie i zarządzanie zdarzeniami i alertami
• Zasady ochrony informacji.

Zawartość pokrewna

przewodnik operacyjny Microsoft Defender for Cloud Apps