Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az alkalmazások értékes belépési pontok lehetnek a támadók számára, ezért javasoljuk, hogy monitorozza az alkalmazásokat használó rendellenességeket és gyanús viselkedéseket. Az alkalmazásirányítási riasztások vizsgálata vagy az alkalmazás viselkedésének a környezetben való áttekintése során fontos, hogy gyorsan áttekintse az ilyen gyanús alkalmazások által végzett tevékenységek részleteit, és szervizelési műveleteket hajt végre a szervezet eszközeinek védelme érdekében.
Az alkalmazásirányítás és a speciális veszélyforrás-keresési képességek használatával teljes körű betekintést kaphat az alkalmazások által végzett tevékenységekbe és az általa elért erőforrásokba.
Ez a cikk azt ismerteti, hogyan egyszerűsítheti le az alkalmazásalapú veszélyforrás-kereséseket az alkalmazásirányítás használatával Microsoft Defender for Cloud Apps.
1. lépés: Az alkalmazás megkeresése az alkalmazásirányításban
Az Defender for Cloud Apps Alkalmazásirányítás lapon az összes Microsoft Entra ID OAuth-alkalmazás megtalálható.
Ha további részleteket szeretne megtudni egy adott alkalmazás által elért adatokról, keresse meg az alkalmazást az alkalmazáslistában az alkalmazásirányításban. Másik lehetőségként használhatja az Adathasználat vagy a Szolgáltatások által elért szűrőket az olyan alkalmazások megtekintéséhez, amelyek egy vagy több támogatott Microsoft 365-szolgáltatás adataihoz fértek hozzá.
2. lépés: Az alkalmazások által elért adatok megtekintése
- Miután azonosított egy alkalmazást, válassza ki az alkalmazást az alkalmazás részleteit tartalmazó panel megnyitásához.
- Válassza az Alkalmazás részletei panel Adathasználat lapját az alkalmazás által az elmúlt 30 napban elért erőforrások méretével és számával kapcsolatos információk megtekintéséhez.
Például:
Az alkalmazásszabályozás adathasználat-alapú elemzéseket biztosít az olyan erőforrásokhoz, mint az e-mailek, a fájlok, valamint a csevegési és csatornaüzenetek Exchange Online, a OneDrive, a SharePoint és a Teams között.
3. lépés: A kapcsolódó tevékenységek és erőforrások keresése
Ha átfogó áttekintést ad az alkalmazás által a szolgáltatások és erőforrások között használt adatokról, érdemes lehet megismernie az alkalmazástevékenységek részleteit, valamint azokat az erőforrásokat, amelyekhez a tevékenységek végrehajtása során hozzáfért.
- Válassza az egyes erőforrások melletti go-hunt ikont az alkalmazás által az elmúlt 30 napban elért erőforrások részleteinek megtekintéséhez. Ekkor megnyílik egy új lap, amely átirányítja a Speciális veszélyforrás-keresés lapra egy előre kitöltött KQL-lekérdezéssel.
- Az oldal betöltése után válassza a Lekérdezés futtatása gombot a KQL-lekérdezés futtatásához és az eredmények megtekintéséhez.
A lekérdezés futtatása után a lekérdezés eredményei táblázatos formában jelennek meg. A tábla minden sora megfelel az alkalmazás által az adott erőforrástípus eléréséhez végzett tevékenységnek. A táblázat minden oszlopa átfogó kontextust biztosít magáról az alkalmazásról, az erőforrásról, a felhasználóról és a tevékenységről.
Ha például a Email erőforrás melletti go-hunt ikont választja, az alkalmazásirányítás lehetővé teszi az alkalmazás által az elmúlt 30 napban elért összes e-mail megtekintését a Speciális veszélyforrás-keresés területen:
- Az e-mail részletei: InternetMessageId, NetworkMessageId, Subject, Sender name and address, Recipient address, AttachmentCount and UrlCount
- Alkalmazás részletei: Az e-mail küldéséhez vagy eléréséhez használt alkalmazás OAuthApplicationId azonosítója
- Felhasználói környezet: ObjectId, AccountDisplayName, IPAddress és UserAgent
- Alkalmazástevékenység környezete: OperationType, A tevékenység időbélyege, Számítási feladat
Például:
Ehhez hasonlóan az alkalmazásirányításban a go-hunt ikonnal is lekérheti a többi támogatott erőforrás, például a fájlok, a csevegőüzenetek és a csatornaüzenetek részleteit. Az alkalmazás részleteit tartalmazó panel Felhasználók lapján található bármely felhasználó melletti go-hunt ikonnal részletes információkat kaphat az alkalmazás által egy adott felhasználó kontextusában végzett összes tevékenységről.
Például:
4. lépés: Speciális veszélyforrás-keresési képességek alkalmazása
A Speciális veszélyforrás-keresés lapon módosíthatja vagy módosíthatja a KQL-lekérdezéseket az eredmények adott követelmények alapján történő lekéréséhez. Dönthet úgy, hogy menti a lekérdezést a jövőbeli felhasználók számára, vagy megoszt egy hivatkozást a szervezet más tagjaival, vagy exportálja az eredményeket egy CSV-fájlba.
További információ: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel Microsoft Defender XDR.
Ismert korlátozások
Ha a Speciális veszélyforrás-keresés oldalon vizsgálja meg az alkalmazásirányításból származó adatokat, eltéréseket tapasztalhat az adatokban. Ezeket az eltéréseket az alábbi okok egyike okozhatja:
Az alkalmazásirányítás és a speciális veszélyforrás-keresési folyamat adatai külön-külön. A feldolgozás során bármelyik megoldás által tapasztalt problémák eltérést okozhatnak.
Az alkalmazásirányítási adatok feldolgozása több órát is igénybe vehet. Emiatt a késés miatt előfordulhat, hogy nem fedi le a speciális veszélyforrás-keresésben elérhető legutóbbi alkalmazástevékenységeket.
A megadott Speciális veszélyforrás-keresési lekérdezések csak 1 000 eredményt jelenítsenek meg. Bár a lekérdezések szerkesztésével további eredményeket jeleníthet meg, a Speciális veszélyforrás-keresés továbbra is legfeljebb 10 000 eredményt fog alkalmazni. Az alkalmazásirányítás nem rendelkezik ezzel a korlátval.