Napi működési útmutató – Microsoft Defender for Cloud Apps

Ez a cikk azokat a napi működési tevékenységeket sorolja fel, amelyeket Defender for Cloud Apps ajánlott elvégezni.

Riasztások és incidensek áttekintése

A riasztások és incidensek a két legfontosabb elem, amelyeket a biztonsági üzemeltetési (SOC) csapatának naponta kell áttekintenie.

• Az incidensek és riasztások osztályozása rendszeresen az incidensek sorából Microsoft Defender XDR, a magas és közepes súlyosságú riasztások rangsorolásával.

• Ha SIEM-rendszerrel dolgozik, a SIEM-rendszer általában az első állomás a osztályozáshoz. A SIEM-rendszerek további kontextust biztosítanak további naplókkal és SOAR-funkciókkal. Ezután használja a Microsoft Defender XDR a riasztások vagy incidensek idővonalának mélyebb megértéséhez.

Incidensek osztályozása Microsoft Defender XDR

Hol: A Microsoft Defender XDR válassza az Incidensek & riasztások lehetőséget

Persona: SOC-elemzők

Incidensek osztályozása esetén:

1. Az incidens irányítópultján szűrjön a következő elemekre:

   Szűrő	Értékek
   Állapot	Új, folyamatban
   Súlyosság	Magas, közepes, alacsony
   Szolgáltatás forrása	Ellenőrizze az összes szolgáltatásforrást. Az összes szolgáltatásforrás ellenőrzésének a leghűségesebb riasztásokat kell listáznia, a többi Microsoft XDR számítási feladat korrelációjával. A kifejezetten Defender for Cloud Apps származó elemek megtekintéséhez válassza a Defender for Cloud Apps lehetőséget.

2. Válassza ki az egyes incidenseket az összes részlet áttekintéséhez. Tekintse át az incidens összes lapfülét, a tevékenységnaplót és a speciális veszélyforrás-kereséseket.

   Az incidens Bizonyíték és válasz lapján válassza ki az egyes bizonyítékelemeket. Válassza a beállítások menü Vizsgálat elemét>, majd válassza a Tevékenységnapló vagy a Keresés igény szerint lehetőséget.

3. Az incidensek osztályozása. Minden incidensnél válassza az Incidens kezelése lehetőséget, majd válasszon az alábbi lehetőségek közül:

   • Valódi pozitív
   • Hamis pozitív
   • Tájékoztató, várt tevékenység

   A valódi riasztások esetében adja meg a kezelés típusát, hogy a biztonsági csapat láthassa a fenyegetési mintákat, és megvédhesse szervezetét a kockázatoktól.

4. Ha készen áll az aktív vizsgálat megkezdésére, rendelje hozzá az incidenst egy felhasználóhoz, és frissítse az incidens állapotát Folyamatban értékre.

5. Az incidens szervizelése után oldja fel az összes csatolt és kapcsolódó aktív riasztás feloldásához.

További információ:

• Incidensek rangsorolása Microsoft Defender XDR
• Riasztások vizsgálata Microsoft Defender XDR
• Incidensek reakció-forgatókönyvei
• Anomáliadetektálási riasztások vizsgálata
• Alkalmazásirányítási riasztások kezelése
• Fenyegetésészlelési riasztások vizsgálata

Incidensek osztályozása a SIEM-rendszerből

Persona: SOC-elemzők

Előfeltételek: Kapcsolódnia kell egy SIEM-rendszerhez, és javasoljuk, hogy integráljon Microsoft Sentinel. További információ:

• Microsoft Sentinel integráció (előzetes verzió)
• Adatok csatlakoztatása Microsoft Defender XDR Microsoft Sentinel
• Általános SIEM-integráció

A Microsoft Defender XDR és a Microsoft Sentinel integrálása lehetővé teszi, hogy az összes Microsoft Defender XDR incidenst streamelje Microsoft Sentinel, és szinkronizálja őket a két portál között. Microsoft Defender XDR incidensek a Microsoft Sentinel tartalmazzák az összes kapcsolódó riasztást, entitást és releváns információt, elegendő kontextust biztosítva az osztályozáshoz és az előzetes vizsgálat futtatásához.

A Microsoft Sentinel után az incidensek szinkronizálva maradnak a Microsoft Defender XDR, hogy mindkét portál funkcióit használhassa a vizsgálat során.

• Amikor telepíti Microsoft Sentinel Microsoft Defender XDR adatösszekötőjét, mindenképpen adja meg a Microsoft Defender for Cloud Apps lehetőséget.
• Érdemes lehet streamelési API-t használni az adatok eseményközpontba való küldéséhez, ahol azokat bármely partner SIEM-jével felhasználhatja egy eseményközpont-összekötővel, vagy elhelyezheti az Azure Storage-ban.

További információ:

• Microsoft Defender XDR integráció a Microsoft Sentinel
• Navigálás és incidensek kivizsgálása a Microsoft Sentinel
• Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez

Fenyegetésészlelési adatok áttekintése

Hol: A Microsoft Defender XDR portálon válassza a következőt:

• Incidensek & riasztások
• Felhőalkalmazások > szabályzatkezelési >> fenyegetésészlelése
• Felhőalkalmazások > – Oauth-alkalmazások

Persona: Biztonsági rendszergazdák és SOC-elemzők

A felhőalkalmazás fenyegetésészlelése az a pont, ahol számos SOC-elemző a napi tevékenységeire összpontosít, és azonosítja a rendellenes viselkedést mutató magas kockázatú felhasználókat.

Defender for Cloud Apps fenyegetésészlelés a Microsoft fenyegetésfelderítési és biztonsági kutatási adatait használja. A riasztások Microsoft Defender XDR érhetők el, és rendszeresen kell osztályozást végezni.

Amikor a biztonsági rendszergazdák és az SOC-elemzők riasztásokkal foglalkoznak, a következő fő fenyegetésészlelési szabályzattípusokat kezelik:

• Tevékenységszabályzatok
• Anomáliadetektálási szabályzatok
• OAuth-szabályzatok és alkalmazásirányítási szabályzatok

Persona: Biztonsági rendszergazda

Mindenképpen hozza létre a szervezet által igényelt veszélyforrások elleni védelmi szabályzatokat, beleértve az előfeltételek kezelését is.

Alkalmazásirányítás áttekintése

Hol: A Microsoft Defender XDR portálon válassza a következőt:

• Incidensek & riasztások
• Incidensek & riasztások / Alkalmazásirányítás

Persona: SOC-elemzők

Az alkalmazásszabályozás részletes betekintést és vezérlést biztosít az OAuth-alkalmazásokhoz. Az alkalmazásirányítás segít leküzdeni az egyre kifinomultabb kampányokat, amelyek kihasználják a helyszínen és a felhőinfrastruktúrákban üzembe helyezett alkalmazásokat, kiindulási pontot teremtve a jogosultságok eszkalálásához, az oldalirányú mozgáshoz és az adatkiszivárgáshoz.

Az alkalmazásszabályozás a Defender for Cloud Apps együtt érhető el. A riasztások Microsoft Defender XDR is elérhetők, és rendszeresen kell őket osztályozásra végezni.

További információ:

• Felderítési riasztások
• Előre definiált alkalmazásszabályzat-riasztások vizsgálata
• Kockázatos OAuth-alkalmazások vizsgálata és elhárítása

Az alkalmazásirányítás áttekintési oldalának megtekintése

Hol: A Microsoft Defender XDR portálon válassza a következőt:

• Incidensek & riasztások
• Felhőalkalmazások > – Alkalmazásirányítás > – áttekintés

Persona: SOC-elemzők és biztonsági rendszergazda

Javasoljuk, hogy futtasson gyors, napi értékelést az alkalmazások és incidensek megfelelőségi állapotáról. Ellenőrizze például a következő részleteket:

• A túljogosított vagy kiemelt jogosultságokkal rendelkező alkalmazások száma
• Nem ellenőrzött közzétevővel rendelkező alkalmazások
• A Graph API használatával elért szolgáltatások és erőforrások adathasználata
• Azon alkalmazások száma, amelyek a leggyakoribb bizalmassági címkékkel fértek hozzá az adatokhoz
• Azon alkalmazások száma, amelyek bizalmassági címkékkel és anélkül fértek hozzá az adatokhoz a Microsoft 365-szolgáltatásokban
• Az alkalmazásirányítással kapcsolatos incidensek áttekintése

Az áttekintett adatok alapján érdemes lehet új alkalmazásirányítási szabályzatokat létrehozni vagy módosítani.

További információ:

• Incidensek és riasztások megtekintése és kezelése
• Az alkalmazás részleteinek megtekintése az alkalmazásirányítással
• Alkalmazásszabályzatok létrehozása az alkalmazásirányításban.

OAuth-alkalmazásadatok áttekintése

Hol: A Microsoft Defender XDR portálon válassza a következőt:

• Incidensek & riasztások
• Felhőalkalmazások > – Alkalmazásirányítási > Azure AD

Javasoljuk, hogy naponta ellenőrizze az OAuth-kompatibilis alkalmazások listáját, valamint a vonatkozó alkalmazás-metaadatokat és használati adatokat. Válasszon ki egy alkalmazást a mélyebb elemzések és információk megtekintéséhez.

Az alkalmazásszabályozás gépi tanulási alapú észlelési algoritmusokkal észleli a rendellenes alkalmazásviselkedést a Microsoft Defender XDR-bérlőben, és riasztásokat hoz létre, amelyek megtekinthetők, kivizsgálhatók és feloldhatók. Ezen a beépített észlelési képességen túl használhatja az alapértelmezett szabályzatsablonok készletét, vagy létrehozhat saját alkalmazásszabályzatokat, amelyek más riasztásokat hoznak létre.

További információ:

• Incidensek és riasztások megtekintése és kezelése
• Az alkalmazás részleteinek megtekintése az alkalmazásirányítással
• Részletes információk lekérése egy alkalmazásról

Alkalmazásirányítási szabályzatok létrehozása és kezelése

Hol: A Microsoft Defender XDR portálon válassza a Felhőalkalmazások Alkalmazásirányítási > szabályzatok > lehetőséget

Persona: Biztonsági rendszergazdák

Javasoljuk, hogy naponta ellenőrizze az OAuth-alkalmazásokat a rendszeres részletes láthatóság és vezérlés érdekében. Riasztások létrehozása gépi tanulási algoritmusok alapján, és alkalmazásszabályzatok létrehozása az alkalmazásirányításhoz.

További információ:

• Alkalmazásszabályzatok létrehozása az alkalmazásirányításban
• Alkalmazásszabályzatok kezelése

A feltételes hozzáférés alkalmazásvezérlőjének áttekintése

Hol: A Microsoft Defender XDR portálon válassza a következőt:

• Incidensek & riasztások
• Felhőalkalmazás-szabályzatok >> házirendkezelése > – feltételes hozzáférés

A feltételes hozzáférés alkalmazásvezérlésének konfigurálásához válassza a Beállítások > Felhőalkalmazások > feltételes hozzáférésű alkalmazásvezérlő lehetőséget

Persona: Biztonsági rendszergazda

A feltételes hozzáférés alkalmazásvezérlése lehetővé teszi a felhasználói alkalmazások hozzáférésének és munkameneteinek valós idejű monitorozását és szabályozását a hozzáférési és munkamenet-szabályzatok alapján.

A generált riasztások Microsoft Defender XDR érhetők el, és rendszeresen kell osztályozást végezni.

Alapértelmezés szerint nincsenek üzembe helyezve hozzáférési vagy munkamenet-szabályzatok, ezért nem érhetők el kapcsolódó riasztások. Bármilyen webalkalmazást elővehet a hozzáférés- és munkamenet-vezérlők használatához, Microsoft Entra ID alkalmazások előkészítése automatikusan megtörténik. Javasoljuk, hogy szükség szerint hozzon létre munkamenet- és hozzáférési szabályzatokat a szervezet számára.

További információ:

• Incidensek és riasztások megtekintése és kezelése
• Alkalmazások védelme Microsoft Defender for Cloud Apps feltételes hozzáférésű alkalmazásvezérlővel
• Bizalmas adatok letöltésének letiltása és védelme nem felügyelt vagy kockázatos eszközökre
• Biztonságos együttműködés külső felhasználókkal valós idejű munkamenet-vezérlők kényszerítésével

Persona: SOC-rendszergazda

Javasoljuk, hogy naponta tekintse át a feltételes hozzáférés alkalmazásvezérlési riasztásainak és a tevékenységnaplónak a áttekintését. Szűrje a tevékenységnaplókat forrás, hozzáférés-vezérlés és munkamenet-vezérlés szerint.

További információ: Riasztások és incidensek áttekintése

Az árnyék-informatikai részleg áttekintése – felhőfelderítés

Hol: A Microsoft Defender XDR portálon válassza a következőt:

• Incidensek & riasztások
• Felhőalkalmazások > – Felhőfelderítés / Felhőalkalmazás-katalógus
• Felhőalkalmazás-szabályzatok >> szabályzatkezelése > – árnyék informatikus

Persona: Biztonsági rendszergazdák

A Felhőalkalmazásokhoz készült Defender több mint 31 000 felhőalkalmazás felhőalkalmazás-katalógusában elemzi a forgalmi naplókat. Az alkalmazások rangsorolása és pontszáma több mint 90 kockázati tényező alapján van rangsorolva, így folyamatos betekintést nyújt a felhőhasználatba, az árnyék informatikába és az árnyék informatikai részleg által a szervezetbe jelentett kockázatokba.

A felhőfelderítéssel kapcsolatos riasztások Microsoft Defender XDR érhetők el, és rendszeresen kell osztályozást végezni.

Alkalmazásfelderítési szabályzatok létrehozásával riasztásokat és címkézést indíthat el az újonnan felderített alkalmazásokhoz bizonyos feltételek, például kockázati pontszámok, kategóriák és alkalmazásviselkedések, például a napi forgalom és a letöltött adatok alapján.

Tipp

Javasoljuk, hogy integrálja a Defender for Cloud Apps a Végponthoz készült Microsoft Defender, hogy felderítse a vállalati hálózaton vagy biztonságos átjárókon túli felhőalkalmazásokat, és irányítási műveleteket alkalmazzon a végpontokon.

További információ:

• Incidensek és riasztások megtekintése és kezelése
• Felhőfelderítési szabályzatok
• Felhőfelderítési szabályzatok létrehozása
• Felhőfelderítés beállítása
• Felhőalkalmazások felderítése és értékelése

Persona: Biztonsági és megfelelőségi rendszergazdák, SOC-elemzők

Ha sok felderített alkalmazással rendelkezik, érdemes lehet a szűrési lehetőségekkel többet megtudni a felderített alkalmazásokról.

További információ: Felderített alkalmazásszűrők és -lekérdezések Microsoft Defender for Cloud Apps.

A felhőfelderítési irányítópult áttekintése

Hol: A Microsoft Defender XDR portálon válassza a Felhőalkalmazások > Felhőfelderítési > irányítópult lehetőséget.

Persona: Biztonsági és megfelelőségi rendszergazdák, SOC-elemzők

Javasoljuk, hogy naponta tekintse át a felhőfelderítési irányítópultot. A felhőfelderítési irányítópult célja, hogy részletesebb betekintést nyújtson a felhőalkalmazások szervezeti használatába, és egy pillantással áttekintheti a használt alkalmazások gyermekeit, a nyitott riasztásokat és a szervezeten belüli alkalmazások kockázati szintjeit.

A felhőfelderítési irányítópulton:

1. Az oldal tetején található widgetekkel megismerheti a felhőalkalmazások általános használatát.

2. Szűrje az irányítópult-grafikonokat az érdeklődési köreitől függően meghatározott nézetek létrehozásához. Például:

   • Megismerheti a szervezetében használt alkalmazások legfontosabb kategóriáit, különösen az engedélyezett alkalmazások esetében.
   • Tekintse át a felderített alkalmazások kockázati pontszámait.
   • A nézetek szűrésével megtekintheti az adott kategóriákba tartozó legnépszerűbb alkalmazásokat.
   • A legnépszerűbb felhasználók és IP-címek megtekintésével azonosíthatja a felhőalkalmazások legmeghatározóbb felhasználóit a szervezetben.
   • Az alkalmazásadatok világtérképen való megtekintésével megtudhatja, hogyan terjednek a felderített alkalmazások földrajzi helyek szerint.

A környezetben talált alkalmazások listájának áttekintése után azt javasoljuk, hogy biztonságossá tegye a környezetet a biztonságos alkalmazások (engedélyezett alkalmazások), a nemkívánatos alkalmazások tiltása (nem engedélyezett alkalmazások) vagy egyéni címkék alkalmazásával.

Érdemes lehet proaktívan áttekinteni és alkalmazni a címkéket a felhőalkalmazás-katalógusban elérhető alkalmazásokra, mielőtt felfedezné őket a környezetben. Az alkalmazások szabályozásának elősegítése érdekében hozzon létre releváns felhőfelderítési szabályzatokat, amelyeket adott címkék aktiválnak.

További információ:

• A felderítési adatok használata
• A felderített alkalmazások használata

Tipp

A környezet konfigurációjától függően kihasználhatja a zökkenőmentes és automatizált blokkolást, vagy akár a Végponthoz készült Microsoft Defender által biztosított figyelmeztetési és oktatási funkciókat. További információ: Végponthoz készült Microsoft Defender integrálása Microsoft Defender for Cloud Apps.

Információvédelem áttekintése

Hol: A Microsoft Defender XDR portálon válassza a következőt:

• Incidensek & riasztások
• Felhőalkalmazások > fájljai
• Felhőalkalmazás-szabályzatok >> házirendkezelési > információvédelem

Persona: Biztonsági és megfelelőségi rendszergazdák, SOC-elemzők

Defender for Cloud Apps fájlszabályzatok és -riasztások lehetővé teszik az automatizált folyamatok széles körének kikényszerítését. Szabályzatok létrehozása az információvédelem biztosításához, beleértve a folyamatos megfelelőségi vizsgálatokat, a jogi feltárási feladatokat és az adatveszteség-védelmet (DLP) a nyilvánosan megosztott bizalmas tartalmakhoz.

A riasztások és incidensek osztályozása mellett azt javasoljuk, hogy az SOC-csapatok további, proaktív műveleteket és lekérdezéseket futtassanak. A Cloud apps Files (Felhőalkalmazások > fájljai ) lapon ellenőrizze a következő kérdéseket:

• Hány fájlt oszt meg nyilvánosan, hogy bárki hivatkozás nélkül elérhesse őket?
• Mely partnereket osztja meg a kimenő megosztáshoz?
• Van olyan fájl, amely bizalmas névvel rendelkezik?
• Vannak olyan fájlok, amelyeket valaki személyes fiókjával osztanak meg?

A lekérdezések eredményeinek használatával módosíthatja a meglévő fájlszabályzatokat, vagy új házirendeket hozhat létre.

További információ:

• Incidensek és riasztások megtekintése és kezelése
• Adatvédelmi szabályzatok.

Kapcsolódó tartalom

Microsoft Defender for Cloud Apps működési útmutató