Jaga hot i appaktiviteter
Appar kan vara en värdefull startpunkt för angripare, så vi rekommenderar att du övervakar avvikelser och misstänkta beteenden som använder appar. När du undersöker en appstyrningsavisering eller granskar appbeteendet i miljön blir det viktigt att snabbt få insyn i information om aktiviteter som utförs av sådana misstänkta appar och vidta åtgärder för att skydda tillgångar i din organisation.
Med hjälp av appstyrning och avancerade jaktfunktioner kan du få fullständig insyn i aktiviteter som utförs av apparna och de resurser som de har åtkomst till.
Den här artikeln beskriver hur du kan förenkla appbaserad hotjakt med appstyrning i Microsoft Defender för molnet Apps.
Steg 1: Hitta appen i appstyrning
På sidan Defender för molnet Apps Appstyrning visas alla OAuth-appar för Microsoft Entra ID.
Om du vill få mer information om de data som används av en specifik app söker du efter appen i applistan i appstyrning. Du kan också använda filter för dataanvändning eller tjänster som används för att visa appar som har åtkomst till data på en eller flera av de Microsoft 365-tjänster som stöds.
Steg 2: Visa data som används av appar
- När du har identifierat en app väljer du appen för att öppna fönstret appinformation.
- Välj fliken Dataanvändning i fönstret med appinformation för att visa information om storleken och antalet resurser som appen har använt under de senaste 30 dagarna.
Till exempel:
Appstyrning ger dataanvändningsbaserade insikter för resurser som e-post, filer och chatt- och kanalmeddelanden i Exchange Online, OneDrive, SharePoint och Teams.
Steg 3: Jaga efter relaterade aktiviteter och resurser som används
När du har en översikt på hög nivå över de data som används av appen mellan tjänster och resurser kanske du vill veta mer om appaktiviteterna och de resurser som används när du utför dessa aktiviteter.
- Välj go-hunt-ikonen bredvid varje resurs för att visa information om de resurser som appen har använt under de senaste 30 dagarna. En ny flik öppnas och omdirigerar dig till sidan Avancerad jakt med en förifyllda KQL-fråga.
- När sidan har lästs in väljer du knappen Kör fråga för att köra KQL-frågan och visa resultatet.
När frågan har körts visas frågeresultatet i tabellformat. Varje rad i tabellen motsvarar en aktivitet som görs av appen för att få åtkomst till den specifika resurstypen. Varje kolumn i tabellen ger en omfattande kontext om själva appen, resursen, användaren och aktiviteten.
När du till exempel väljer go-hunt-ikonen bredvid e-postresursen kan du med appstyrning visa följande information för alla e-postmeddelanden som appen har använt under de senaste 30 dagarna i Avancerad jakt:
- Information om e-postmeddelandet: InternetMessageId, NetworkMessageId, Ämne, Avsändarens namn och adress, Mottagaradress, AttachmentCount och UrlCount
- Appinformation: OAuthApplicationId för appen som används för att skicka eller komma åt e-postmeddelandet
- Användarkontext: ObjectId, AccountDisplayName, IPAddress och UserAgent
- Appaktivitetskontext: OperationType, tidsstämpel för aktiviteten, arbetsbelastning
Till exempel:
På samma sätt kan du använda go-hunt-ikonen i appstyrning för att få information om andra resurser som stöds, till exempel filer, chattmeddelanden och kanalmeddelanden. Använd go-hunt-ikonen bredvid alla användare på fliken Användare i appinformationsfönstret för att få information om alla aktiviteter som utförs av appen i kontexten för en specifik användare.
Till exempel:
Steg 4: Tillämpa avancerade jaktfunktioner
Använd sidan Avancerad jakt för att ändra eller justera en KQL-fråga för att hämta resultat baserat på dina specifika krav. Du kan välja att spara frågan för framtida användare eller dela en länk med andra i organisationen eller exportera resultatet till en CSV-fil.
Mer information finns i Proaktiv jakt efter hot med avancerad jakt i Microsoft Defender XDR.
Kända begränsningar
När du använder sidan Avancerad jakt för att undersöka data från appstyrning kan du märka avvikelser i data. Dessa avvikelser kan bero på någon av nedanstående orsaker:
Appstyrning och avancerad jakt bearbetar data separat. Eventuella problem som uppstår av någon av lösningarna under bearbetningen kan leda till en avvikelse.
Databearbetning av appstyrning kan ta flera timmar längre tid att slutföra. På grund av den här fördröjningen kanske den inte omfattar den senaste appaktiviteten som är tillgänglig på Avancerad jakt.
De angivna avancerade jaktfrågorna är inställda på att endast visa 1k resultat. Du kan redigera en fråga för att visa fler resultat, men Avancerad jakt tillämpar fortfarande en maxgräns på 10 000 resultat. Appstyrning har inte den här gränsen.