Megosztás a következőn keresztül:

Veszélyforrások keresése az alkalmazástevékenységekben

Az alkalmazások értékes belépési pontok lehetnek a támadók számára, ezért javasoljuk, hogy monitorozza az alkalmazásokat használó rendellenességeket és gyanús viselkedéseket. Az alkalmazásirányítási riasztások vizsgálata vagy az alkalmazás viselkedésének a környezetben való áttekintése során fontos, hogy gyorsan áttekintse az ilyen gyanús alkalmazások által végzett tevékenységek részleteit, és szervizelési műveleteket hajt végre a szervezet eszközeinek védelme érdekében.

Az alkalmazásirányítás és a speciális veszélyforrás-keresési képességek használatával teljes körű betekintést kaphat az alkalmazások által végzett tevékenységekbe és az általa elért erőforrásokba.

Ez a cikk azt ismerteti, hogyan egyszerűsítheti le az alkalmazásalapú veszélyforrás-kereséseket az alkalmazásirányítás használatával Microsoft Defender for Cloud Apps.

1. lépés: Az alkalmazás megkeresése az alkalmazásirányításban

Az Defender for Cloud Apps Alkalmazásirányítás lapon az összes Microsoft Entra ID OAuth-alkalmazás megtalálható.

Ha további részleteket szeretne megtudni egy adott alkalmazás által elért adatokról, keresse meg az alkalmazást az alkalmazáslistában az alkalmazásirányításban. Másik lehetőségként használhatja az Adathasználat vagy a Szolgáltatások által elért szűrőket az olyan alkalmazások megtekintéséhez, amelyek egy vagy több támogatott Microsoft 365-szolgáltatás adataihoz fértek hozzá.

2. lépés: Az alkalmazások által elért adatok megtekintése

  1. Miután azonosított egy alkalmazást, válassza ki az alkalmazást az alkalmazás részleteit tartalmazó panel megnyitásához.
  2. Válassza az Alkalmazás részletei panel Adathasználat lapját az alkalmazás által az elmúlt 30 napban elért erőforrások méretével és számával kapcsolatos információk megtekintéséhez.

Például:

Képernyőkép az alkalmazás részletei panelről az adathasználat részleteivel.

Az alkalmazásszabályozás adathasználat-alapú elemzéseket biztosít az olyan erőforrásokhoz, mint az e-mailek, a fájlok, valamint a csevegési és csatornaüzenetek Exchange Online, a OneDrive, a SharePoint és a Teams között.

Ha átfogó áttekintést ad az alkalmazás által a szolgáltatások és erőforrások között használt adatokról, érdemes lehet megismernie az alkalmazástevékenységek részleteit, valamint azokat az erőforrásokat, amelyekhez a tevékenységek végrehajtása során hozzáfért.

  1. Válassza az egyes erőforrások melletti go-hunt ikont az alkalmazás által az elmúlt 30 napban elért erőforrások részleteinek megtekintéséhez. Ekkor megnyílik egy új lap, amely átirányítja a Speciális veszélyforrás-keresés lapra egy előre kitöltött KQL-lekérdezéssel.
  2. Az oldal betöltése után válassza a Lekérdezés futtatása gombot a KQL-lekérdezés futtatásához és az eredmények megtekintéséhez.

A lekérdezés futtatása után a lekérdezés eredményei táblázatos formában jelennek meg. A tábla minden sora megfelel az alkalmazás által az adott erőforrástípus eléréséhez végzett tevékenységnek. A táblázat minden oszlopa átfogó kontextust biztosít magáról az alkalmazásról, az erőforrásról, a felhasználóról és a tevékenységről.

Ha például a Email erőforrás melletti go-hunt ikont választja, az alkalmazásirányítás lehetővé teszi az alkalmazás által az elmúlt 30 napban elért összes e-mail megtekintését a Speciális veszélyforrás-keresés területen:

  • Az e-mail részletei: InternetMessageId, NetworkMessageId, Subject, Sender name and address, Recipient address, AttachmentCount and UrlCount
  • Alkalmazás részletei: Az e-mail küldéséhez vagy eléréséhez használt alkalmazás OAuthApplicationId azonosítója
  • Felhasználói környezet: ObjectId, AccountDisplayName, IPAddress és UserAgent
  • Alkalmazástevékenység környezete: OperationType, A tevékenység időbélyege, Számítási feladat

Például:

Képernyőkép az e-mailek Speciális veszélyforrás-keresés lapjáról.

Ehhez hasonlóan az alkalmazásirányításban a go-hunt ikonnal is lekérheti a többi támogatott erőforrás, például a fájlok, a csevegőüzenetek és a csatornaüzenetek részleteit. Az alkalmazás részleteit tartalmazó panel Felhasználók lapján található bármely felhasználó melletti go-hunt ikonnal részletes információkat kaphat az alkalmazás által egy adott felhasználó kontextusában végzett összes tevékenységről.

Például:

Képernyőkép a speciális veszélyforrás-keresés lapról a felhasználók számára.

4. lépés: Speciális veszélyforrás-keresési képességek alkalmazása

A Speciális veszélyforrás-keresés lapon módosíthatja vagy módosíthatja a KQL-lekérdezéseket az eredmények adott követelmények alapján történő lekéréséhez. Dönthet úgy, hogy menti a lekérdezést a jövőbeli felhasználók számára, vagy megoszt egy hivatkozást a szervezet más tagjaival, vagy exportálja az eredményeket egy CSV-fájlba.

További információ: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel Microsoft Defender XDR.

Ismert korlátozások

Ha a Speciális veszélyforrás-keresés oldalon vizsgálja meg az alkalmazásirányításból származó adatokat, eltéréseket tapasztalhat az adatokban. Ezeket az eltéréseket az alábbi okok egyike okozhatja:

  • Az alkalmazásirányítás és a speciális veszélyforrás-keresési folyamat adatai külön-külön. A feldolgozás során bármelyik megoldás által tapasztalt problémák eltérést okozhatnak.

  • Az alkalmazásirányítási adatok feldolgozása több órát is igénybe vehet. Emiatt a késés miatt előfordulhat, hogy nem fedi le a speciális veszélyforrás-keresésben elérhető legutóbbi alkalmazástevékenységeket.

  • A megadott Speciális veszélyforrás-keresési lekérdezések csak 1 000 eredményt jelenítsenek meg. Bár a lekérdezések szerkesztésével további eredményeket jeleníthet meg, a Speciális veszélyforrás-keresés továbbra is legfeljebb 10 000 eredményt fog alkalmazni. Az alkalmazásirányítás nem rendelkezik ezzel a korlátval.

Következő lépések

Kockázatos OAuth-alkalmazások vizsgálata és elhárítása