Поделиться через

Поиск угроз в действиях приложения

  • Статья

Приложения могут быть ценными точками входа для злоумышленников, поэтому мы рекомендуем отслеживать аномалии и подозрительные поведения, использующие приложения. Изучая оповещение системы управления приложениями или просматривая поведение приложения в среде, важно быстро получить представление о действиях, выполненных такими подозрительными приложениями, и предпринять действия по исправлению для защиты ресурсов в организации.

С помощью управления приложениями и расширенных возможностей охоты вы можете получить полную видимость действий, выполненных приложениями и ресурсами, к которым он обращается.

В этой статье описывается, как упростить поиск угроз на основе приложений с помощью управления приложениями в Microsoft Defender для облака Apps.

Шаг 1. Поиск приложения в системе управления приложениями

На странице управления приложениями Defender для облака перечислены все приложения OAuth идентификатора Microsoft Entra.

Если вы хотите получить дополнительные сведения о данных, к которым обращается конкретное приложение, найдите это приложение в списке приложений в управлении приложениями. Кроме того, используйте фильтры для доступа к данным или службам для просмотра приложений, имеющих доступ к данным одной или нескольких поддерживаемых служб Microsoft 365.

Шаг 2. Просмотр данных, к которым обращаются приложения

  1. После определения приложения выберите приложение, чтобы открыть область сведений о приложении.
  2. Перейдите на вкладку "Использование данных" в области сведений о приложении, чтобы просмотреть сведения о размере и количестве ресурсов, к которым обращается приложение за последние 30 дней.

Например:

Screenshot of the app details pane with data usage details.

Управление приложениями предоставляет аналитические сведения об использовании данных для таких ресурсов, как электронная почта, файлы и сообщения чата и каналы в Exchange Online, OneDrive, SharePoint и Teams.

После того как вы получите общий обзор данных, используемых приложением в службах и ресурсах, вы можете узнать подробности действий приложения и ресурсов, к которым он обращается при выполнении этих действий.

  1. Щелкните значок охоты рядом с каждым ресурсом, чтобы просмотреть сведения о ресурсах, к которым обращается приложение за последние 30 дней. Откроется новая вкладка, перенаправляющая вас на страницу расширенной охоты с предварительно заполненным запросом KQL.
  2. После загрузки страницы нажмите кнопку "Выполнить запрос", чтобы запустить запрос KQL и просмотреть результаты.

После выполнения запроса результаты запроса отображаются в табличной форме. Каждая строка в таблице соответствует действиям, выполненным приложением для доступа к конкретному типу ресурса. Каждый столбец в таблице предоставляет полный контекст о самом приложении, ресурсе, пользователе и действии.

Например, при выборе значка go-hunt рядом с ресурсом электронной почты система управления приложениями позволяет просматривать следующие сведения для всех сообщений электронной почты, к которым обращается приложение за последние 30 дней в расширенной охоте:

  • Сведения электронной почты: InternetMessageId, NetworkMessageId, Subject, Имя отправителя и адрес, адрес получателя, Вложения и URLCount
  • Сведения о приложении: OAuthApplicationId приложения, используемого для отправки или доступа к электронной почте
  • Контекст пользователя: ObjectId, AccountDisplayName, IPAddress и UserAgent
  • Контекст действия приложения: OperationType, Timestamp действия, Рабочая нагрузка

Например:

Screenshot of an Advanced Hunting page for emails.

Аналогичным образом используйте значок go-hunt в управлении приложениями, чтобы получить сведения о других поддерживаемых ресурсах, таких как файлы, сообщения чата и сообщения канала. Используйте значок go-hunt рядом с любым пользователем на вкладке "Пользователи" в области сведений о приложении, чтобы получить сведения обо всех действиях, выполненных приложением в контексте конкретного пользователя.

Например:

Screenshot of an Advanced Hunting page for users.

Шаг 4. Применение расширенных возможностей охоты

Используйте страницу расширенной охоты , чтобы изменить или настроить запрос KQL, чтобы получить результаты на основе конкретных требований. Вы можете сохранить запрос для будущих пользователей или поделиться ссылкой с другими пользователями в организации или экспортировать результаты в CSV-файл.

Дополнительные сведения см. в статье "Упреждающая охота на угрозы с расширенным поиском в XDR в Microsoft Defender".

Известные ограничения

При использовании страницы расширенной охоты для изучения данных из системы управления приложениями могут возникнуть несоответствия в данных. Эти несоответствия могут быть вызваны одной из следующих причин:

  • Управление приложениями и данные расширенного охотничьего процесса отдельно. Любые проблемы, возникающие любым решением во время обработки, могут привести к несоответствию.

  • Обработка данных управления приложениями может занять несколько часов дольше. Из-за этой задержки это может не охватывать недавние действия приложения, доступные в расширенной охоте.

  • Предоставленные запросы расширенной охоты задаются для отображения только 1k результатов. Хотя вы можете изменить запрос, чтобы отобразить дополнительные результаты, Расширенная охота по-прежнему будет применять максимальный предел 10k результатов. Управление приложениями не имеет этого ограничения.

Следующие шаги

Изучение и исправление рискованных приложений OAuth