הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
אפליקציות יכולות להיות נקודת כניסה חשובה לתוקפים, ולכן אנו ממליצים על ניטור חריגות וה אופני פעולה חשודים המשתמשים באפליקציות. בעת חקירה של התראת פיקוח על אפליקציות או בחינת אופן הפעולה של האפליקציה בסביבה, חשוב לקבל במהירות ניראות לגבי פרטים על פעילויות שבוצעו על-ידי אפליקציות חשודות כאלה ולבצע פעולות תיקון כדי להגן על נכסים בארגון שלך.
באמצעות פיקוח על אפליקציות ויכולות ציד מתקדמות, תוכל לקבל ניראות מלאה של הפעילויות שבוצעו על-ידי האפליקציות ועל המשאבים שבהם היא ניגשה.
מאמר זה מתאר כיצד ניתן לפשט ציד איומים מבוססי אפליקציות באמצעות פיקוח על אפליקציות יישומי ענן של Microsoft Defender.
שלב 1: איתור היישום בפיקוח על היישום
דף יישומי ענן של Defender App Governance מפרט את כל Microsoft Entra מזהה OAuth.
אם אתה מעוניין לקבל פרטים נוספים על הנתונים שאפליקציות מסוימות ניגשת אליהם, חפש אפליקציה זו ברשימת האפליקציות תחת פיקוח על אפליקציות. לחלופין, השתמש במסננים 'שימוש בנתונים' או ב'שירותים' אליהם ניגשת כדי להציג יישומים עם גישה לנתונים באחד או יותר מהשירותים הנתמכים של Microsoft 365.
שלב 2: הצגת נתונים שהיישומים ניגשים אליהם
- לאחר זיהוי אפליקציה, בחר את האפליקציה כדי לפתוח את חלונית פרטי האפליקציה.
- בחר בכרטיסיה שימוש בנתונים בחלונית פרטי היישום כדי להציג מידע על הגודל והספירה של משאבים שהיישום ניגש אליהם ב- 30 הימים האחרונים.
לדוגמה:
פיקוח על אפליקציות מספק תובנות מבוססות שימוש בנתונים עבור משאבים כגון הודעות דואר אלקטרוני, קבצים והודעות צ'אט וערוץ בין Exchange Online, OneDrive, SharePoint ו- Teams.
שלב 3: חפש פעילויות ומשאבים קשורים אליהם התבצעה גישה
לאחר שתקבל סקירה כללית של הנתונים המשמשים את האפליקציה בשירותים ומשאבים שונים, ייתכן שתרצה לדעת את הפרטים של פעילויות היישום ואת המשאבים שאליהם היא ניגשה בעת ביצוע פעילויות אלה.
- בחר את סמל החיפוש לצד כל משאב כדי להציג את פרטי המשאבים שהיישום ניגש אליהם ב- 30 הימים האחרונים. כרטיסיה חדשה נפתחת, מנתבת אותך מחדש לדף 'ציד מתקדם' עם שאילתת KQL אכלוס מראש.
- לאחר טעינת הדף, בחר בלחצן הפעל שאילתה כדי להפעיל את שאילתת ה- KQL ולהצגת התוצאות.
לאחר הפעלת השאילתה, תוצאות השאילתה מוצגות בצורה טבלאית. כל שורה בטבלה תואמת לפעילות שבוצעה על-ידי היישום כדי לגשת לסוג המשאב הספציפי. כל עמודה בטבלה מספקת הקשר מקיף לגבי היישום עצמו, המשאב, המשתמש והפעילות.
לדוגמה, בעת בחירת סמל החיפוש לצד משאב הדואר האלקטרוני, פיקוח על אפליקציות מאפשר לך להציג את המידע הבא עבור כל הודעות הדואר האלקטרוני הנגישות על-ידי האפליקציה ב- 30 הימים האחרונים בהצד המתקדם:
- פרטי הדואר האלקטרוני: InternetMessageId, NetworkMessageId, נושא, שם שולח וכתובת, כתובת נמען, חשבון קובץ מצורף וחשבון Url
- פרטי יישום: OAuthApplicationId של היישום המשמש לשליחה או לגישה לדואר האלקטרוני
- הקשר משתמש: ObjectId, AccountDisplayName, IPAddress ו- UserAgent
- הקשר פעילות יישום: OperationType, חותמת זמן של הפעילות, עומס עבודה
לדוגמה:
באופן דומה, השתמש הסמל go-hunt בפיקוח על אפליקציות כדי לקבל פרטים עבור משאבים נתמכים אחרים כגון קבצים, הודעות צ'אט והודעות ערוץ. השתמש בסרגל החיפוש לצד כל משתמש בכרטיסיה משתמשים בחלונית פרטי היישום כדי לקבל פרטים על כל הפעילויות שבוצעו על-ידי היישום בהקשר של משתמש ספציפי.
לדוגמה:
שלב 4: החל יכולות ציד מתקדמות
השתמש בדף ציד מתקדם כדי לשנות או להתאים שאילתת KQL כדי להביא תוצאות בהתבסס על הדרישות הספציפיות שלך. ייתכן שתבחר לשמור את השאילתה עבור משתמשים עתידיים או לשתף קישור עם אנשים אחרים בארגון שלך, או לייצא את התוצאות לקובץ CSV.
לקבלת מידע נוסף, ראה חיפוש איומים באופן יזום באמצעות ציד מתקדם Microsoft Defender XDR.
מגבלות ידועות
בעת שימוש בדף הציד המתקדם כדי לחקור נתונים מפיקוח על אפליקציות, ייתכן שתבחין בשינויים בנתונים. אי התאמות אלה עשויים להי נובע מאחת מהסיבות הבאות:
פיקוח על אפליקציות וניתוני תהליך ציד מתקדמים בנפרד. כל בעיה שנתקלת בה בכל אחד מהפתרונות במהלך העיבוד עלולה לגרום לפער.
עיבוד נתונים של פיקוח על יישום עשוי להימשך כמה שעות. עקב עיכוב זה, ייתכן שהוא לא מכסה את פעילות האפליקציה האחרונה הזמינה בשלב 'ציד מתקדם'.
שאילתות הציד המתקדמות שסופקו מוגדרות להצגת תוצאות של 1k בלבד. למרות שניתן לערוך שאילתה כדי להציג תוצאות נוספות, 'ציד מתקדם' עדיין יחיל מגבלה מרבית של 10,000 תוצאות. לפיקוח על האפליקציה אין מגבלה זו.