Megosztás a következőn keresztül:

Veszélyforrások keresése az alkalmazástevékenységekben

  • Cikk

Az alkalmazások értékes belépési pontot jelenthetnek a támadók számára, ezért javasoljuk, hogy figyelje az alkalmazásokat használó rendellenességeket és gyanús viselkedéseket. Az alkalmazásirányítási riasztások vizsgálata vagy az alkalmazás viselkedésének áttekintése során fontossá válik, hogy gyorsan áttekintse az ilyen gyanús alkalmazások tevékenységeinek részleteit, és szervizelési műveleteket hajt végre a szervezet eszközeinek védelme érdekében.

Az alkalmazásszabályozás és a speciális vadászati képességek használatával teljes körű betekintést kaphat az alkalmazások által végzett tevékenységekbe és az általa elért erőforrásokba.

Ez a cikk azt ismerteti, hogyan egyszerűsítheti le az alkalmazásalapú fenyegetéskeresést Felhőhöz készült Microsoft Defender-alkalmazások alkalmazásszabályozásával.

1. lépés: Az alkalmazás megkeresése az alkalmazásirányításban

Az Felhőhöz készült Defender Alkalmazások alkalmazásszabályozási oldala felsorolja az összes Microsoft Entra-azonosítójú OAuth-alkalmazást.

Ha további részleteket szeretne megtudni egy adott alkalmazás által elért adatokról, keresse meg az alkalmazást az alkalmazáslistában az alkalmazásszabályozásban. Másik lehetőségként az Adathasználat vagy a Szolgáltatások által elért szűrők használatával megtekintheti azokat az alkalmazásokat, amelyek egy vagy több támogatott Microsoft 365-szolgáltatásban fértek hozzá adatokhoz.

2. lépés: Alkalmazások által elért adatok megtekintése

  1. Miután azonosított egy alkalmazást, válassza ki az alkalmazást az alkalmazás részletei panel megnyitásához.
  2. Az alkalmazás részletei ablaktáblán az Adathasználat lapon megtekintheti az alkalmazás által az elmúlt 30 napban elért erőforrások méretével és számával kapcsolatos információkat.

Példa:

Screenshot of the app details pane with data usage details.

Az alkalmazásszabályozás adathasználat-alapú elemzéseket biztosít az olyan erőforrásokhoz, mint az e-mailek, a fájlok, a csevegés és a csatornaüzenetek az Exchange Online-ban, a OneDrive-on, a SharePointban és a Teamsben.

Ha magas szintű áttekintést ad az alkalmazás által a szolgáltatások és erőforrások között használt adatokról, érdemes lehet megismernie az alkalmazás tevékenységeinek részleteit, valamint azokat az erőforrásokat, amelyeket a tevékenységek végrehajtása során elért.

  1. Az egyes erőforrások melletti go-hunt ikonra kattintva megtekintheti az alkalmazás által az elmúlt 30 napban elért erőforrások részleteit. Megnyílik egy új lap, amely egy előre kitöltött KQL-lekérdezéssel átirányítja a Speciális keresési lapra.
  2. Az oldal betöltése után válassza a Lekérdezés futtatása gombot a KQL-lekérdezés futtatásához és az eredmények megtekintéséhez.

A lekérdezés futtatása után a lekérdezés eredménye táblázatos formában jelenik meg. A táblázat minden sora megfelel az alkalmazás által az adott erőforrástípus eléréséhez végzett tevékenységnek. A táblázat minden oszlopa átfogó kontextust biztosít magáról az alkalmazásról, az erőforrásról, a felhasználóról és a tevékenységről.

Ha például az E-mail erőforrás mellett a go-hunt ikont választja, az alkalmazásszabályozás lehetővé teszi az alkalmazás által az elmúlt 30 napban a Speciális keresésben elért összes e-mail megtekintését:

  • Az e-mail részletei: InternetMessageId, NetworkMessageId, Tárgy, Feladó neve és címe, Címzett címe, AttachmentCount és UrlCount
  • Alkalmazás részletei: Az e-mail küldéséhez vagy eléréséhez használt alkalmazás OAuthApplicationId azonosítója
  • Felhasználói környezet: ObjectId, AccountDisplayName, IPAddress és UserAgent
  • Alkalmazástevékenység-környezet: OperationType, A tevékenység időbélyege, Számítási feladat

Példa:

Screenshot of an Advanced Hunting page for emails.

Hasonlóképpen az alkalmazásirányításban a go-hunt ikonnal is lekérheti a többi támogatott erőforrás, például a fájlok, a csevegőüzenetek és a csatornaüzenetek részleteit. Az alkalmazás részletei panelEn a Felhasználók lap felhasználói mellett található go-hunt ikonnal részletes információkat kaphat az alkalmazás által egy adott felhasználó kontextusában végzett összes tevékenységről.

Példa:

Screenshot of an Advanced Hunting page for users.

4. lépés: Speciális vadászati képességek alkalmazása

A Speciális keresési lapon módosíthatja vagy módosíthatja a KQL-lekérdezéseket, hogy az adott követelményeknek megfelelően lekérje az eredményeket. Dönthet úgy, hogy menti a lekérdezést a jövőbeli felhasználók számára, vagy megoszt egy hivatkozást a szervezet más tagjaival, vagy exportálja az eredményeket egy CSV-fájlba.

További információt a Microsoft Defender XDR-ben a speciális vadászattal rendelkező fenyegetések proaktív keresése című témakörben talál.

Ismert korlátozások

Ha a Speciális keresési oldalt használja az alkalmazásszabályozás adatainak vizsgálatára, az adatok eltéréseit tapasztalhatja. Ezek az eltérések az alábbi okok egyikéből adódhatnak:

  • Az alkalmazásszabályozás és a speciális keresési folyamat adatai külön-külön. A feldolgozás során bármelyik megoldás által tapasztalt problémák eltérést eredményezhetnek.

  • Az alkalmazásszabályozási adatfeldolgozás több órát is igénybe vehet. Emiatt a késés miatt előfordulhat, hogy nem terjed ki az Advanced Hunting szolgáltatásban elérhető legutóbbi alkalmazástevékenységekre.

  • A megadott speciális keresési lekérdezések úgy vannak beállítva, hogy csak 1k eredményeket jelenítsen meg. Bár a lekérdezések szerkesztésével további eredményeket jeleníthet meg, az Advanced Hunting továbbra is legfeljebb 10 ezer találatot fog alkalmazni. Az alkalmazásszabályozásnak nincs ilyen korlátja.

Következő lépések

A kockázatos OAuth-alkalmazások vizsgálata és kezelése