Búsqueda de amenazas en las actividades de la aplicación

Las aplicaciones pueden ser un punto de entrada valioso para los atacantes, por lo que se recomienda supervisar anomalías y comportamientos sospechosos que utilizan aplicaciones. Al investigar una alerta de gobernanza de aplicaciones o revisar el comportamiento de la aplicación en el entorno, es importante obtener rápidamente visibilidad de las actividades realizadas por estas aplicaciones sospechosas y tomar acciones de corrección para proteger los recursos de tu organización.

Con la gobernanza de aplicaciones y las funcionalidades de búsqueda avanzadas, puedes obtener visibilidad completa de las actividades realizadas por las aplicaciones y los recursos a los que ha accedido.

En este artículo se describe cómo simplificar la búsqueda de amenazas basada en aplicaciones mediante la gobernanza de aplicaciones en Microsoft Defender for Cloud Apps.

Paso 1: Búsqueda de la aplicación en la gobernanza de aplicaciones

En la página Gobernanza de aplicaciones de Defender for Cloud Apps se enumeran todas las aplicaciones de OAuth de Microsoft Entra ID.

Si quieres obtener más detalles sobre los datos a los que accede una aplicación específica, busca esa aplicación en la lista de aplicaciones en la gobernanza de aplicaciones. Como alternativa, usa los filtros Uso de datos o Servicios a los que se accede para ver las aplicaciones que han accedido a datos en uno o más de los servicios compatibles de Microsoft 365.

Paso 2: Ver los datos a los que acceden las aplicaciones

1. Una vez que hayas identificado una aplicación, selecciona la aplicación para abrir el panel de detalles de la aplicación.
2. Selecciona la pestaña Uso de datos en el panel de detalles de la aplicación para ver información sobre el tamaño y el recuento de recursos a los que ha accedido la aplicación en los últimos 30 días.

Por ejemplo:

La gobernanza de aplicaciones proporciona información basada en el uso de datos para recursos como correos electrónicos, archivos y mensajes de canal y conversaciones en Exchange Online, OneDrive, SharePoint y Teams.

Paso 3: Búsqueda de actividades y recursos relacionados a los que se accede

Una vez que tengas información general de alto nivel de los datos usados por la aplicación entre servicios y recursos, es posible que quieras conocer los detalles de las actividades de la aplicación y los recursos a los que ha accedido mientras realiza estas actividades.

1. Selecciona el icono de búsqueda de acceso junto a cada recurso para ver los detalles de los recursos a los que ha accedido la aplicación en los últimos 30 días. Se abre una nueva pestaña, que te redirige a la página Búsqueda avanzada de amenazas con una consulta KQL prerrellenada.
2. Una vez que se cargue la página, selecciona el botón Ejecutar consulta para ejecutar la consulta KQL y ver los resultados.

Una vez que se ejecuta la consulta, los resultados de la consulta se muestran en formato tabular. Cada fila de la tabla corresponde a una actividad realizada por la aplicación para acceder al tipo de recurso específico. Cada columna de la tabla proporciona un contexto completo sobre la propia aplicación, el recurso, el usuario y la actividad.

Por ejemplo, al seleccionar el icono de búsqueda junto al recurso Correo electrónico, la gobernanza de aplicaciones permite ver la siguiente información para todos los correos electrónicos a los que ha accedido la aplicación en los últimos 30 días en Búsqueda avanzada de amenazas:

• Detalles del correo electrónico: InternetMessageId, NetworkMessageId, Asunto, Nombre y dirección del remitente, Dirección del destinatario, AttachmentCount y UrlCount
• Detalles de la aplicación: OAuthApplicationId de la aplicación que se usa para enviar o acceder al correo electrónico
• Contexto de usuario: ObjectId, AccountDisplayName, IPAddress y UserAgent
• Contexto de actividad de la aplicación: OperationType, Marca de tiempo de la actividad, Carga de trabajo

Por ejemplo:

Del mismo modo, puedes usar el icono de búsqueda en la gobernanza de aplicaciones para obtener detalles de otros recursos admitidos, como archivos, mensajes de conversaciones y mensajes de canal. Usa el icono de búsqueda junto a cualquier usuario de la pestaña Usuarios del panel de detalles de la aplicación para obtener detalles sobre todas las actividades realizadas por la aplicación en el contexto de un usuario específico.

Por ejemplo:

Paso 4: Aplicación de las funcionalidades de la búsqueda avanzada de amenazas

Usa la página Búsqueda avanzada de amenazas para modificar o ajustar una consulta KQL para capturar los resultados en función de requisitos específicos. Puedes optar por guardar la consulta para usuarios futuros o compartir un vínculo con otros usuarios de tu organización o exportar los resultados a un archivo CSV.

Para más información, consulta Búsqueda proactiva de amenazas con búsqueda avanzada en Microsoft Defender XDR.

Limitaciones conocidas

Al usar la página Búsqueda avanzada de amenazas para investigar datos de gobernanza de aplicaciones, es posible que observes discrepancias en los datos. Estas discrepancias pueden deberse a uno de los siguientes motivos:

• La gobernanza de aplicaciones y la búsqueda avanzada de amenazas procesan los datos por separado. Los problemas detectados por cualquiera de las soluciones durante el procesamiento pueden dar lugar a una discrepancia.

• El procesamiento de datos de gobernanza de aplicaciones puede tardar varias horas en completarse. Debido a este retraso, es posible que no cubra la actividad reciente de la aplicación que está disponible en búsqueda avanzada.

• Las consultas de búsqueda avanzada de amenazas proporcionadas se establecen para mostrar solo 1000 resultados. Aunque puedes editar una consulta para mostrar más resultados, la búsqueda avanzada de amenazas seguirá aplicando un límite máximo de 10 000 resultados. La gobernanza de aplicaciones no tiene este límite.

Pasos siguientes

Investigación y corrección de aplicaciones de OAuth de riesgo