在應用程式活動中搜尋威脅
應用程式對於攻擊者來說可能是一個有價值的進入點,因此我們建議監視使用應用程式的異常和可疑行為。 在調查應用程式控管警示或檢閱環境中的應用程式行為時,快速瞭解這類可疑應用程式所執行之活動的詳細數據,並採取補救動作來保護貴組織中的資產非常重要。
使用應用程式控管和進階搜捕功能,您可以完整瞭解應用程式及其存取的資源所完成的活動。
本文說明如何在 適用於雲端的 Microsoft Defender Apps 中使用應用程式控管來簡化應用程式型威脅搜捕。
步驟 1:在應用程式控管中尋找應用程式
適用於雲端的 Defender 應用程式應用程式控管頁面會列出所有 Microsoft Entra ID OAuth 應用程式。
如果您想要取得特定應用程式所存取資料的詳細數據,請在應用程式控管中的應用程式清單中搜尋該應用程式。 或者,使用 [ 資料使用量 ] 或 [服務] 存取 篩選來檢視在一或多個支援的 Microsoft 365 服務上存取數據的應用程式。
步驟 2:檢視應用程式存取的數據
- 識別應用程式之後,請選取應用程式以開啟應用程式詳細資料窗格。
- 選取應用程式詳細資料窗格上的 [ 資料使用量 ] 索引標籤,以檢視應用程式在過去 30 天記憶體取的資源大小和計數資訊。
例如:
應用程式控管提供跨 Exchange Online、OneDrive、SharePoint 和 Teams 等資源的數據使用量型深入解析,例如電子郵件、檔案和聊天和頻道訊息。
步驟 3:搜尋已存取的相關活動和資源
一旦您大致瞭解應用程式跨服務和資源使用的資料,您可能會想要知道應用程式活動的詳細數據,以及執行這些活動時所存取的資源。
- 選取每個資源旁的 搜尋 圖示,以檢視應用程式在過去 30 天記憶體取的資源詳細數據。 隨即開啟新的索引標籤,以預先填入的 KQL 查詢將您重新導向至 [進階搜捕 ] 頁面。
- 載入頁面之後,選取 [ 執行查詢 ] 按鈕以執行 KQL 查詢並檢視結果。
查詢執行之後,查詢結果會以表格式格式顯示。 數據表中的每個數據列都會對應至應用程式所完成的活動,以存取特定資源類型。 數據表中的每個數據行都會提供應用程式本身、資源、使用者和活動的完整內容。
例如,當您選取電子郵件資源旁邊的 go-hunt 圖示時,應用程式控管可讓您檢視應用程式在過去 30 天內在進階搜捕中存取的所有電子郵件的下列資訊:
- 電子郵件的詳細數據: InternetMessageId、NetworkMessageId、Subject、Sender 名稱和地址、收件者位址、AttachmentCount 和 UrlCount
- 應用程式詳細數據:用來傳送或存取電子郵件之應用程式的 OAuthApplicationId
- 用戶內容:ObjectId、AccountDisplayName、IPAddress 和 UserAgent
- 應用程式活動內容:OperationType、活動的時間戳、工作負載
例如:
同樣地,使用 應用程式控管中的go-hunt 圖示來取得其他支援資源的詳細數據,例如檔案、聊天訊息和頻道訊息。 在應用程式詳細數據窗格中的 [使用者] 索引標籤中,使用 [使用者] 索引標籤中的任何使用者旁的 Go-hunt 圖示,以取得應用程式在特定使用者內容中完成的所有活動詳細數據。
例如:
步驟 4:套用進階搜捕功能
使用 [ 進階搜捕 ] 頁面來修改或調整 KQL 查詢,以根據您的特定需求擷取結果。 您可以選擇儲存未來使用者的查詢,或與組織中的其他人共享連結,或將結果匯出至 CSV 檔案。
如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅。
已知的限制
使用 [ 進階搜捕 ] 頁面來調查來自應用程式控管的數據時,您可能會發現數據不一致。 這些差異可能是因為下列其中一個原因所造成:
應用程式控管和進階搜捕程序數據會分開。 在處理期間,任一解決方案所遇到的任何問題都可能導致差異。
應用程式控管數據處理可能需要數小時的時間才能完成。 由於此延遲,它可能不會涵蓋進階搜捕上提供的最新應用程式活動。
提供的進階搜捕查詢設定為只顯示1k個結果。 雖然您可以編輯查詢以顯示更多結果,但進階搜捕仍會套用最多 10k 個結果的限制。 應用程式控管沒有此限制。