每日操作指南 - Microsoft Defender for Cloud Apps

本文列出我們建議您使用 Defender for Cloud Apps 執行的日常營運活動。

審查警報與事件

警示與事件是您的資安運作 (SOC) 團隊每天應該檢視的兩項最重要的項目。

• 定期從 Microsoft Defender 全面偵測回應佇列中的事件與警示進行分流，優先處理高嚴重及中等嚴重度的警示。

• 如果你使用SIEM系統，SIEM系統通常是分診的第一站。 SIEM 系統提供更多上下文，包含額外的日誌與 SOAR 功能。 接著，使用 Microsoft Defender 全面偵測回應，以更深入理解警示或事件時間軸。

從 Microsoft Defender 全面偵測回應你的事件

其中：在Microsoft Defender 全面偵測回應中，選擇事件 & 警示

Persona：SOC 分析師

在事件分流時：

1. 在事件儀表板中，篩選以下項目：

   篩選器	值
   狀態	新作，進行中
   嚴重性	高、中、低
   服務來源	保持所有服務來源的檢查。 保持所有服務來源都勾選，應該能列出最真實的警示，並與其他 Microsoft XDR 工作負載有相關性。 選擇 Defender for Cloud Apps 以查看專門來自 Defender for Cloud Apps 的項目。

2. 選擇每起事件以檢視所有細節。 檢查事件中的所有分頁、活動記錄和進階狩獵。

   在事件的 證據與回應 標籤中，選擇每個證據項目。 選擇選項 >「調查 」，然後選擇活動 紀錄 或「 去尋找 」。

3. 對你的事件進行分流。 對於每個事件，選擇 「管理事件 」，然後選擇以下選項之一：

   • 真陽性
   • 誤判
   • 資訊性、預期活動

   若要發出真正的警示，請指定獎勵類型，幫助資安團隊洞察威脅模式並保護組織免受風險侵害。

4. 當你準備開始主動調查時，將事件指派給使用者，並將事件狀態更新為 進行中。

5. 當事件修復完成後，請解決所有連結及相關的活躍警報。

如需詳細資訊，請參閱：

• 在 Microsoft Defender 全面偵測回應中優先處理事件
• 調查 Microsoft Defender 全面偵測回應中的警報
• 事件回應劇本
• 如何調查異常偵測警報
• 管理應用程式治理警示
• 調查威脅偵測警報

從你的SIEM系統中對事件進行分流處理

Persona：SOC 分析師

前提條件：您必須連接 SIEM 系統，我們建議與 Microsoft Sentinel 整合。 如需詳細資訊，請參閱：

• Microsoft Sentinel 整合 (預覽)
• 將 Microsoft Defender 全面偵測回應至 Microsoft Sentinel 的資料
• 一般 SIEM 整合

將 Microsoft Defender 全面偵測回應與 Microsoft Sentinel 整合，可以讓你將所有 Microsoft Defender 全面偵測回應事件串流到 Microsoft Sentinel，並在兩個入口網站間保持同步。 Microsoft Defender 全面偵測回應 Microsoft Sentinel 中的事件包含所有相關警示、實體及相關資訊，提供足夠的背景資訊以進行初步篩選與調查。

一旦進入 Microsoft Sentinel，事件會與 Microsoft Defender 全面偵測回應同步，讓您能在調查中使用兩個入口的功能。

• 安裝 Microsoft Sentinel 的 Microsoft Defender 全面偵測回應 資料連接器時，務必包含Microsoft Defender for Cloud Apps選項。
• 考慮使用串流 API 將資料傳送到事件中心，透過任何合作夥伴 SIEM 搭配事件中心連接器，或放置於 Azure 儲存裝置中。

如需詳細資訊，請參閱：

• Microsoft Defender 全面偵測回應與 Microsoft Sentinel 的整合
• 在 Microsoft Sentinel 中導航並調查事件
• 建立自訂分析規則以偵測威脅

檢視威脅偵測資料

在哪裡：在 Microsoft Defender 入口網站中，選擇：

• 事件 & 警報
• 雲端應用程式 > 政策 > 政策管理 > 威脅偵測
• 雲端應用程式 > Oauth 應用程式

角色：資安管理員與SOC分析師

雲端應用程式威脅偵測是許多 SOC 分析師日常工作重點，識別表現出異常行為的高風險使用者。

Defender for Cloud Apps 的威脅偵測使用 Microsoft 的威脅情報與安全研究資料。 警示可在 Microsoft Defender 全面偵測回應中提供，並應定期分流。

當資安管理員與 SOC 分析師處理警示時，他們會處理以下主要類型的威脅偵測政策：

• 活動原則
• 異常偵測原則
• OAuth 政策 與 應用程式治理政策

人格面具：安全管理員

務必制定組織所需的威脅防護政策，包括處理任何前置條件。

檢視應用程式治理

在哪裡：在 Microsoft Defender 入口網站中，選擇：

• 事件 & 警報
• 事件 & 警示/應用程式治理

Persona：SOC 分析師

應用程式治理提供對 OAuth 應用程式的深入可見與控制。 應用程式治理有助於對抗日益複雜的攻擊活動，這些活動利用部署於本地及雲端基礎設施的應用程式，建立權限提升、橫向移動及資料外洩的起點。

應用程式治理則與 Defender for Cloud Apps 一同提供。 Microsoft Defender 全面偵測回應中也提供警示，並應定期分流。

如需詳細資訊，請參閱：

• 探索警示
• 調查預設的應用程式政策警示
• 調查並修復高風險的 OAuth 應用程式

請查看應用程式治理總覽頁面

在哪裡：在 Microsoft Defender 入口網站中，選擇：

• 事件 & 警報
• 雲端應用 > 應用程式治理 > 概述

角色：SOC分析師與資安管理員

我們建議您每日快速評估應用程式及事件的合規狀況。 例如，請查看以下細節：

• 過度特權或高度特權的應用程式數量
• 未經驗證發行商的應用程式
• 透過 圖形 API 存取的服務與資源的資料使用情況
• 存取最常見敏感性標籤資料的應用程式數量
• 在 Microsoft 365 服務中，存取資料時有沒有敏感標籤的應用程式數量
• 應用程式治理相關事件概述

根據你檢視的資料，你可能會想建立新的或調整應用程式治理政策。

如需詳細資訊，請參閱：

• 檢視和管理事件和警示
• 透過應用程式治理查看您的應用程式細節
• 在應用治理中建立應用程式政策。

檢視 OAuth 應用程式資料

在哪裡：在 Microsoft Defender 入口網站中，選擇：

• 事件 & 警報
• Cloud Apps > App governance > Microsoft 365

我們建議您每天檢查啟用 OAuth 的應用程式清單，並附上相關的應用程式元資料與使用資料。 選擇應用程式以查看更深入的見解與資訊。

應用程式治理利用基於機器學習的偵測演算法，偵測 Microsoft Defender 全面偵測回應租戶中的異常應用程式行為，並產生警示，供您查看、調查及解決。 除了內建的偵測功能外，你還可以使用預設的政策範本，或自行建立應用程式政策來產生其他警示。

如需詳細資訊，請參閱：

• 檢視和管理事件和警示
• 透過應用程式治理查看您的應用程式細節
• 取得應用程式的詳細資訊

建立並管理應用程式治理政策

在哪裡：在 Microsoft Defender 入口網站中，選擇雲端應用程式>的應用程式治理>政策

女神異聞錄：安全管理員

我們建議您每天檢查 OAuth 應用程式，以確保定期深入的可見性與控制。 根據機器學習演算法產生警示，並制定應用程式治理的政策。

如需詳細資訊，請參閱：

• 在應用治理中建立應用程式政策
• 管理應用程式原則

檢視條件存取應用程式控制

在哪裡：在 Microsoft Defender 入口網站中，選擇：

• 事件 & 警報
• 雲端應用程式 > 政策 > 政策管理 > 條件存取

要設定條件存取應用程式控制，請選擇 設定 > 雲端應用程式 > 條件存取應用程式控制

人格面具：安全管理員

條件存取應用程式控制讓您能夠根據存取與會話政策，即時監控並控制使用者應用程式的存取與會話。

產生的警報可在 Microsoft Defender 全面偵測回應中取得，並應定期進行分流。

預設情況下，沒有部署存取或會話政策，因此也無法提供相關的警示。 你可以啟用任何網頁應用程式，使用存取和會話控制，Microsoft Entra ID 應用程式會自動被啟動。 我們建議您根據組織的需求建立會話與存取政策。

如需詳細資訊，請參閱：

• 檢視和管理事件和警示
• 用 Microsoft Defender for Cloud Apps 條件存取應用程式控制來保護應用程式
• 禁止和防止將敏感性資料下載至未受管理或有風險的裝置
• 強制執行即時工作階段控制，保護與外部使用者之間的共同作業

角色：SOC管理員

我們建議您每天檢視條件存取應用程式控制警報及活動日誌。 依來源、存取控制和會話控制過濾活動日誌。

欲了解更多資訊，請參閱 審查警示與事件

檢視影子資訊科技 - 雲端發現

在哪裡：在 Microsoft Defender 入口網站中，選擇：

• 事件 & 警報
• Cloud Apps > Cloud discovery / Cloud app catalog
• 雲端應用程式 > 政策 > 管理 > 影子 IT

女神異聞錄：安全管理員

Defender for cloud apps 會分析您的流量日誌與超過 31,000 個雲端應用程式的目錄。 應用程式會根據超過 90 項風險因子進行排名與評分，持續掌握雲端使用、影子 IT 以及影子 IT 對組織帶來的風險。

與雲端發現相關的警示可在 Microsoft Defender 全面偵測回應中取得，並應定期分流。

建立應用程式發現政策，根據風險評分、分類及應用程式行為（如每日流量和下載資料）開始警示並標記新發現的應用程式。

提示

我們建議您將 Defender for Cloud Apps 與 適用於端點的 Microsoft Defender 整合，以發現企業網路外的雲端應用程式，或保護閘道，並在端點上套用治理措施。

如需詳細資訊，請參閱：

• 檢視和管理事件和警示
• 雲端發現政策
• 建立雲端發現政策
• 設定雲端發現
• 探索及評估雲端應用程式

角色：資安與合規管理員、SOC 分析師

當你發現的應用程式數量龐大時，你可能會想使用篩選選項來更深入了解你發現的應用程式。

欲了解更多資訊，請參閱 Microsoft Defender for Cloud Apps 中的發現應用程式篩選與查詢。

檢視雲端發現儀表板

地點：在 Microsoft Defender 入口網站中，選擇雲端應用程式>的雲端發現>儀表板。

角色：資安與合規管理員、SOC 分析師

我們建議每天檢視您的雲端發現儀表板。 雲端發現儀表板的設計目的是讓你更深入了解雲端應用程式在組織中的使用情況，並一目了然地了解應用程式的用戶、你開啟的通知，以及組織中應用程式的風險等級。

在雲端發現儀表板上：

1. 請使用頁面頂端的小工具來了解整體雲端應用程式的使用情況。

2. 根據你的興趣，篩選儀表板圖表以產生特定視圖。 例如：

   • 了解你組織中最常用的應用程式類別，尤其是那些經過認證的應用程式。
   • 檢視你發現的應用程式的風險分數。
   • 篩選檢視以查看你在特定分類中的熱門應用程式。
   • 查看頂尖使用者與 IP 位址，以識別組織中最具主導性的雲端應用使用者。
   • 在世界地圖上查看應用程式資料，了解發現的應用程式如何依地理位置擴散。

在檢視環境中發現的應用程式清單後，我們建議您透過審核安全的應用程式 (授權應用程式) 、禁止不想要的應用程式 (非授權 應用程式) ，或套用自訂標籤來保護環境。

你也可以主動審查並套用標籤，避免在你的環境中發現雲端應用程式目錄中。 為了協助管理這些應用程式，請建立相關的雲端發現政策，並由特定標籤觸發。

如需詳細資訊，請參閱：

• 處理發現資料
• 處理發現的應用程式

提示

根據你的環境設定，你可能會受益於無縫且自動的封鎖，甚至是 適用於端點的 Microsoft Defender 所提供的警告與教育功能。 欲了解更多資訊，請參閱「整合 適用於端點的 Microsoft Defender 與 Microsoft Defender for Cloud Apps」。

審查資訊保護

在哪裡：在 Microsoft Defender 入口網站中，選擇：

• 事件 & 警報
• 雲端應用程式 > 檔案
• 雲端應用程式 > 政策 政策管理 >> 資訊保護

角色：資安與合規管理員、SOC 分析師

Defender for Cloud Apps 的檔案政策與警示讓您能執行各種自動化流程。 制定政策以提供資訊保護，包括持續合規掃描、法律電子發現任務，以及對公開分享敏感內容 (資料遺失) 資料遺失保護。

除了 分流警示與事件外，我們建議您的 SOC 團隊執行額外且主動的行動與查詢。 在 雲端應用程式 > 檔案 頁面，請檢查以下問題：

• 有多少檔案是公開分享的，讓任何人都能在沒有連結的情況下存取？
• 你是用外撥分享的方式分享檔案給哪些合作夥伴？
• 有檔案有敏感名稱嗎？
• 有沒有檔案被分享到某個人帳號？

利用這些查詢的結果來調整現有的檔案政策或建立新的政策。

如需詳細資訊，請參閱：

• 檢視和管理事件和警示
• 資訊保護政策。

相關內容

Microsoft Defender for Cloud Apps 操作指南