在應用程式活動中搜捕威脅
應用程式可以是攻擊者的寶貴進入點,因此建議您監視使用應用程式的異常和可疑行為。 調查應用程式控管警示或檢閱環境中的應用程式行為時,請務必快速查看這類可疑應用程式所完成的活動詳細數據,並採取補救動作來保護組織中的資產。
您可以使用應用程式控管和進階搜捕功能,完整瞭解應用程式所完成的活動及其存取的資源。
本文說明如何在 Microsoft Defender for Cloud Apps 中使用應用程式控管來簡化應用程式型威脅搜捕。
步驟 1:在應用程式控管中尋找應用程式
[Defender for Cloud Apps 應用程式控管] 頁面會列出所有 Microsoft Entra ID OAuth 應用程式。
如果您想要取得特定應用程式所存取資料的詳細數據,請在應用程式控管中的應用程式清單上搜尋該應用程式。 或者,使用 [數據使用量 ] 或 [服務存取的 篩選] 來檢視在一或多個支援Microsoft 365 服務上存取數據的應用程式。
步驟 2:檢視應用程式存取的數據
- 識別應用程式之後,請選取應用程式以開啟應用程式詳細資料窗格。
- 選取應用程式詳細資料窗格上的 [ 資料使用量 ] 索引標籤,以檢視應用程式在過去 30 天記憶體取的資源大小和計數資訊。
例如:
應用程式控管可針對電子郵件、檔案、聊天和頻道訊息等資源提供數據使用量型深入解析,Exchange Online、OneDrive、SharePoint 和 Teams。
步驟 3:搜捕所存取的相關活動和資源
一旦您有跨服務和資源的應用程式所使用數據的高階概觀,您可能會想要知道應用程式活動的詳細數據,以及執行這些活動時所存取的資源。
- 選取每個資源旁邊 的搜捕 圖示,以檢視應用程式在過去 30 天記憶體取的資源詳細數據。 新的索引標籤隨即開啟,並使用預先填入的 KQL 查詢將您重新導向至 [ 進階搜捕 ] 頁面。
- 載入頁面之後,選取 [ 執行查詢 ] 按鈕以執行 KQL 查詢並檢視結果。
執行查詢之後,查詢結果會以表格式形式顯示。 數據表中的每個數據列都會對應至應用程式用來存取特定資源類型的活動。 數據表中的每個數據行都提供有關應用程式本身、資源、使用者和活動的完整內容。
例如,當您選取 Email 資源旁邊的搜捕圖示時,應用程式控管可讓您檢視應用程式在過去 30 天內在進階搜捕中存取之所有電子郵件的下列資訊:
- 電子郵件的詳細數據: InternetMessageId、NetworkMessageId、Subject、Sender 名稱和位址、收件者位址、AttachmentCount 和 UrlCount
- 應用程式詳細數據:用來傳送或存取電子郵件之應用程式的 OAuthApplicationId
- 用戶內容:ObjectId、AccountDisplayName、IPAddress 和 UserAgent
- 應用程式活動內容:OperationType、活動的時間戳、工作負載
例如:
同樣地,使用應用程式控管中的 Go-hunt 圖示來取得其他支援資源的詳細數據,例如檔案、聊天訊息和頻道訊息。 使用應用程式詳細數據窗格中 [使用者] 索引標籤中任何使用者旁邊的搜捕圖示,取得應用程式在特定用戶內容中完成之所有活動的詳細數據。
例如:
步驟 4:套用進階搜捕功能
使用 [ 進階搜捕 ] 頁面來修改或調整 KQL 查詢,以根據您的特定需求擷取結果。 您可以選擇儲存未來使用者的查詢,或與組織中的其他人共享連結,或將結果匯出至 CSV 檔案。
如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅。
已知限制
使用 [ 進階搜捕 ] 頁面調查來自應用程式控管的數據時,您可能會注意到數據不一致。 這些差異可能是下列其中一個原因所造成:
應用程式控管和進階搜捕程序數據會分開。 任一個解決方案在處理期間遇到的任何問題都可能導致不一致。
應用程式控管數據處理可能需要數小時才能完成。 由於此延遲,可能無法涵蓋進階搜捕上可用的最近應用程式活動。
提供的進階搜捕查詢設定為只顯示1k個結果。 雖然您可以編輯查詢以顯示更多結果,但進階搜捕仍會套用最多 1 萬個結果的限制。 應用程式控管沒有此限制。