Bedreigingen in app-activiteiten opsporen
Apps kunnen een waardevol toegangspunt zijn voor aanvallers, dus we raden u aan afwijkingen en verdacht gedrag te controleren die gebruikmaken van apps. Tijdens het onderzoeken van een app-governancewaarschuwing of het controleren van het app-gedrag in de omgeving, wordt het belangrijk om snel inzicht te krijgen in de details van activiteiten die door dergelijke verdachte apps worden uitgevoerd en herstelacties uit te voeren om assets in uw organisatie te beveiligen.
Met behulp van app-governance en geavanceerde opsporingsmogelijkheden kunt u volledige zichtbaarheid krijgen in activiteiten die worden uitgevoerd door de apps en de resources die worden geopend.
In dit artikel wordt beschreven hoe u het opsporen van bedreigingen op basis van apps kunt vereenvoudigen met behulp van app-governance in Microsoft Defender voor Cloud Apps.
Stap 1: De app zoeken in app-governance
Op de pagina Defender voor Cloud App-beheer van apps worden alle OAuth-apps van Microsoft Entra ID weergegeven.
Als u meer informatie wilt over de gegevens die worden geopend door een specifieke app, zoekt u naar die app in de lijst met apps in app-beheer. U kunt ook de filters voor gegevensgebruik of services gebruiken om apps weer te geven die toegang hebben tot gegevens op een of meer van de ondersteunde Microsoft 365-services.
Stap 2: Gegevens weergeven die worden geopend door apps
- Nadat u een app hebt geïdentificeerd, selecteert u de app om het detailvenster van de app te openen.
- Selecteer het tabblad Gegevensgebruik in het detailvenster van de app om informatie weer te geven over de grootte en het aantal resources dat in de afgelopen 30 dagen door de app wordt geopend.
Voorbeeld:
App-beheer biedt inzichten op basis van gegevensgebruik voor resources zoals e-mailberichten, bestanden en chat- en kanaalberichten in Exchange Online, OneDrive, SharePoint en Teams.
Stap 3: Zoeken naar gerelateerde activiteiten en resources die worden geopend
Zodra u een algemeen overzicht hebt van de gegevens die door de app worden gebruikt voor services en resources, wilt u mogelijk weten wat de details zijn van de app-activiteiten en de resources die worden geopend tijdens het uitvoeren van deze activiteiten.
- Selecteer het go-hunt-pictogram naast elke resource om details weer te geven van de resources die in de afgelopen 30 dagen door de app zijn geopend. Er wordt een nieuw tabblad geopend, waarmee u wordt omgeleid naar de pagina Geavanceerde opsporing met een vooraf ingevulde KQL-query.
- Zodra de pagina is geladen, selecteert u de knop Query uitvoeren om de KQL-query uit te voeren en de resultaten weer te geven.
Nadat de query is uitgevoerd, worden de queryresultaten weergegeven in tabelvorm. Elke rij in de tabel komt overeen met een activiteit die door de app wordt uitgevoerd voor toegang tot het specifieke resourcetype. Elke kolom in de tabel biedt uitgebreide context over de app zelf, de resource, de gebruiker en de activiteit.
Wanneer u bijvoorbeeld het go-hunt-pictogram naast de e-mailresource selecteert, kunt u met app-beheer de volgende informatie bekijken voor alle e-mailberichten die in de afgelopen 30 dagen in geavanceerde opsporing door de app zijn geopend:
- Details van het e-mailbericht: InternetMessageId, NetworkMessageId, Subject, Sender name and address, Recipient address, AttachmentCount en UrlCount
- App-details: OAuthApplicationId van de app die wordt gebruikt voor het verzenden of openen van het e-mailbericht
- Gebruikerscontext: ObjectId, AccountDisplayName, IPAddress en UserAgent
- Context van app-activiteit: OperationType, Tijdstempel van de activiteit, Workload
Voorbeeld:
Gebruik ook het go-hunt-pictogram in app-governance om details op te halen voor andere ondersteunde resources, zoals bestanden, chatberichten en kanaalberichten. Gebruik het go-hunt-pictogram naast een gebruiker op het tabblad Gebruikers in het detailvenster van de app om details te krijgen over alle activiteiten die door de app worden uitgevoerd in de context van een specifieke gebruiker.
Voorbeeld:
Stap 4: Geavanceerde opsporingsmogelijkheden toepassen
Gebruik de pagina Geavanceerde opsporing om een KQL-query te wijzigen of aan te passen om resultaten op te halen op basis van uw specifieke vereisten. U kunt ervoor kiezen om de query voor toekomstige gebruikers op te slaan of een koppeling met anderen in uw organisatie te delen of de resultaten te exporteren naar een CSV-bestand.
Zie Proactief bedreigingen opsporen met geavanceerde opsporing in Microsoft Defender XDR voor meer informatie.
Bekende beperkingen
Wanneer u de pagina Geavanceerde opsporing gebruikt om gegevens van app-governance te onderzoeken, ziet u mogelijk verschillen in de gegevens. Deze verschillen kunnen worden veroorzaakt door een van de onderstaande redenen:
App-governance en geavanceerde opsporingsprocesgegevens afzonderlijk. Eventuele problemen die tijdens de verwerking door beide oplossingen worden aangetroffen, kunnen leiden tot een discrepantie.
Het verwerken van app-governancegegevens kan enkele uren duren. Vanwege deze vertraging wordt mogelijk geen betrekking op recente app-activiteit die beschikbaar is op Geavanceerde opsporing.
De opgegeven geavanceerde opsporingsquery's zijn ingesteld om slechts 1k resultaten weer te geven. Hoewel u een query kunt bewerken om meer resultaten weer te geven, wordt er nog steeds een maximumlimiet van 10.000 resultaten toegepast. App-beheer heeft deze limiet niet.