Udostępnij za pośrednictwem

Wyszukiwanie zagrożeń w działaniach aplikacji

  • Artykuł

Aplikacje mogą być cennym punktem wejścia dla osób atakujących, dlatego zalecamy monitorowanie anomalii i podejrzanych zachowań korzystających z aplikacji. Podczas badania alertu ładu aplikacji lub przeglądania zachowania aplikacji w środowisku ważne jest szybkie uzyskanie wglądu w szczegóły działań wykonywanych przez takie podejrzane aplikacje i podjęcie działań korygujących w celu ochrony zasobów w organizacji.

Korzystając z możliwości zapewniania ładu aplikacji i zaawansowanego wyszukiwania zagrożeń, możesz uzyskać pełny wgląd w działania wykonywane przez aplikacje i zasoby, do których uzyskuje dostęp.

W tym artykule opisano sposób upraszczania wyszukiwania zagrożeń opartych na aplikacjach przy użyciu ładu aplikacji w usłudze Microsoft Defender dla Chmury Apps.

Krok 1. Znajdowanie aplikacji w ładie aplikacji

Strona nadzoru aplikacji Defender dla Chmury Apps zawiera listę wszystkich aplikacji OAuth identyfikatora Entra firmy Microsoft.

Jeśli chcesz uzyskać więcej informacji na temat danych uzyskiwanych przez określoną aplikację, wyszukaj aplikację na liście aplikacji w obszarze ład aplikacji. Alternatywnie użyj filtrów Dostęp do danych lub Usług, aby wyświetlić aplikacje, które miały dostęp do danych w co najmniej jednej z obsługiwanych usług Platformy Microsoft 365.

Krok 2. Wyświetlanie danych uzyskiwanych przez aplikacje

  1. Po zidentyfikowaniu aplikacji wybierz aplikację, aby otworzyć okienko szczegółów aplikacji.
  2. Wybierz kartę Dane użycia w okienku szczegółów aplikacji, aby wyświetlić informacje o rozmiarze i liczbie zasobów, do których aplikacja uzyskuje dostęp w ciągu ostatnich 30 dni.

Na przykład:

Screenshot of the app details pane with data usage details.

Nadzór nad aplikacjami zapewnia szczegółowe informacje o użyciu danych dla zasobów, takich jak wiadomości e-mail, pliki i komunikaty czatu i kanału w usługach Exchange Online, OneDrive, SharePoint i Teams.

Po ogólnym omówieniu danych używanych przez aplikację w usługach i zasobach warto zapoznać się ze szczegółami działań aplikacji i zasobami, do których uzyskiwano dostęp podczas wykonywania tych działań.

  1. Wybierz ikonę go-hunt obok każdego zasobu, aby wyświetlić szczegóły zasobów dostępnych przez aplikację w ciągu ostatnich 30 dni. Zostanie otwarta nowa karta, która przekierowuje Cię do strony Zaawansowane wyszukiwanie zagrożeń ze wstępnie wypełnionym zapytaniem KQL.
  2. Po załadowaniu strony wybierz przycisk Uruchom zapytanie , aby uruchomić zapytanie KQL i wyświetlić wyniki.

Po uruchomieniu zapytania wyniki zapytania są wyświetlane w postaci tabelarycznej. Każdy wiersz w tabeli odpowiada działaniu wykonywanemu przez aplikację w celu uzyskania dostępu do określonego typu zasobu. Każda kolumna w tabeli zawiera kompleksowy kontekst dotyczący samej aplikacji, zasobu, użytkownika i działania.

Na przykład po wybraniu ikony wyszukiwania obok zasobu Poczta e-mail ład aplikacji umożliwia wyświetlenie następujących informacji dla wszystkich wiadomości e-mail dostępnych przez aplikację w ciągu ostatnich 30 dni w obszarze Zaawansowane wyszukiwanie zagrożeń:

  • Szczegóły wiadomości e-mail: InternetMessageId, NetworkMessageId, Podmiot, Nazwa nadawcy i adres, Adres adresata, AttachmentCount i UrlCount
  • Szczegóły aplikacji: OAuthApplicationId aplikacji używanej do wysyłania lub uzyskiwania dostępu do wiadomości e-mail
  • Kontekst użytkownika: ObjectId, AccountDisplayName, IPAddress i UserAgent
  • Kontekst działania aplikacji: OperationType, Sygnatura czasowa działania, Obciążenie

Na przykład:

Screenshot of an Advanced Hunting page for emails.

Podobnie użyj ikony go-hunt w obszarze ładu aplikacji, aby uzyskać szczegółowe informacje dotyczące innych obsługiwanych zasobów, takich jak pliki, wiadomości czatu i wiadomości kanału. Użyj ikony go-hunt obok dowolnego użytkownika na karcie Użytkownicy w okienku szczegółów aplikacji, aby uzyskać szczegółowe informacje na temat wszystkich działań wykonywanych przez aplikację w kontekście określonego użytkownika.

Na przykład:

Screenshot of an Advanced Hunting page for users.

Krok 4. Stosowanie zaawansowanych funkcji wyszukiwania zagrożeń

Użyj strony Zaawansowane wyszukiwanie zagrożeń, aby zmodyfikować lub dostosować zapytanie KQL w celu pobrania wyników na podstawie określonych wymagań. Możesz zapisać zapytanie dla przyszłych użytkowników lub udostępnić link innym osobom w organizacji lub wyeksportować wyniki do pliku CSV.

Aby uzyskać więcej informacji, zobacz Proaktywne wyszukiwanie zagrożeń za pomocą zaawansowanego wyszukiwania zagrożeń w usłudze Microsoft Defender XDR.

Znane ograniczenia

Korzystając ze strony Zaawansowane wyszukiwanie zagrożeń w celu zbadania danych z nadzoru nad aplikacjami, możesz zauważyć rozbieżności w danych. Te rozbieżności mogą być spowodowane jedną z poniższych przyczyn:

  • Zarządzanie aplikacjami i zaawansowane dane procesu wyszukiwania zagrożeń oddzielnie. Wszelkie problemy napotkane przez dowolne rozwiązanie podczas przetwarzania mogą spowodować rozbieżność.

  • Przetwarzanie danych ładu aplikacji może potrwać kilka godzin. Ze względu na to opóźnienie może nie obejmować ostatnich działań aplikacji, które są dostępne w usłudze Advanced Hunting.

  • Podane zaawansowane zapytania wyszukiwania zagrożeń są ustawione tak, aby pokazywały tylko wyniki 1k. Chociaż można edytować zapytanie w celu wyświetlenia większej liczby wyników, wyszukiwanie zaawansowane będzie nadal stosować maksymalny limit 10 tys. wyników. Ład aplikacji nie ma tego limitu.

Następne kroki

Badanie i korygowanie ryzykownych aplikacji OAuth