每日操作指南 - Microsoft Defender for Cloud Apps
本文列出了建议使用 Defender for Cloud Apps 执行的每日操作活动。
审查警报和事件
警报和事件是安全操作 (SOC) 团队每天审查的两项最重要的项目。
定期会审 Microsoft Defender XDR 事件队列中的事件和警报,确定高严重性警报和中等严重性警报的优先级。
如果使用的是 SIEM 系统,则 SIEM 系统通常是会审的第一站。 SIEM 系统提供更多上下文,并提供额外的日志和 SOAR 功能。 然后,使用 Microsoft Defender XDR 更深入地了解警报或事件时间线。
会审 Microsoft Defender XDR 中的事件
位置:在 Microsoft Defender XDR 中,选择事件和警报
角色:SOC 分析师
会审事件时:
在事件仪表板中,针对以下项目进行筛选:
筛选器 值 Status 新建、正在进行 严重性 高、中、低 服务源 将所有服务源保持为选中状态。 将所有服务源保持为选中状态时,应会列出保真度最高的警报,并与其他 Microsoft XDR 工作负荷相关联。 选择 Defender for Cloud Apps 可查看专门来自 Defender for Cloud Apps 的项目。 选择每个事件以查看所有详细信息。 查看事件、活动日志和高级搜寻中的所有选项卡。
在事件的证据和响应选项卡中,选择每个证据项。 选择选项菜单>调查,然后按需选择活动日志或执行搜寻。
会审事件。 对于每个事件,选择管理事件,然后选择以下选项之一:
- 真正
- 假正
- 信息性、预期活动
对于实际警报,请指定处理类型以帮助安全团队查看威胁模式,并保护组织免遭风险。
准备好启动活动调查时,请将此事件分配给某一用户,并将事件状态更新为正在进行。
修正事件后,请将其解决以解决所有链接与相关的活动警报。
有关详细信息,请参阅:
- 确定 Microsoft Defender XDR 中的事件的优先级
- - 在 Microsoft Defender XDR 中调查警报
- 事件响应剧本剧本
- 如何调查异常情况检测警报
- 管理应用治理警报
- 调查威胁检测警报
会审 SIEM 系统中的事件
角色:SOC 分析师
先决条件:必须连接到 SIEM 系统,建议与 Microsoft Sentinel 集成。 有关详细信息,请参阅:
通过将 Microsoft Defender XDR 与 Microsoft Sentinel 集成,可以将所有 Microsoft Defender XDR 事件流式传输到 Microsoft Sentinel,并在两个门户之间保持同步。 Microsoft Sentinel 中的 Microsoft Defender XDR 事件包括所有关联的警报、实体和相关信息,从而提供足够的上下文来会审和运行初步调查。
在 Microsoft Sentinel 中后,事件将与 Microsoft Defender XDR 保持同步,以便在调查中使用两个门户的功能。
- 安装 Microsoft Sentinel 用于 Microsoft Defender XDR 的数据连接器时,确保包含 Microsoft Defender for Cloud Apps 选项。
- 考虑使用流式处理 API 将数据发送到事件中心,其中可以通过任何合作伙伴 SIEM 和事件中心连接器使用,或将其放置在 Azure 存储中。
有关详细信息,请参阅:
审查威胁检测数据
其中:在 Microsoft Defender XDR 门户中,选择:
- 事件和警报
- 云应用 > 策略 > 策略管理 > 威胁检测
- 云应用 > Oauth 应用
角色:安全管理员和 SOC 分析师
云应用威胁检测是许多 SOC 分析师关注其每日活动的位置,用于识别显示异常行为的高风险用户。
Defender for Cloud Apps 威胁检测使用 Microsoft 威胁情报和安全研究数据。 警报在 Microsoft Defender XDR 中提供,应定期会审。
当安全管理员和 SOC 分析师处理警报时,他们将处理以下主要类型的威胁检测策略:
角色:安全管理员
确保创建贵组织所需的威胁防护策略,包括处理任何先决条件。
审查应用程序治理
其中:在 Microsoft Defender XDR 门户中,选择:
- 事件和警报
- 事件和警报/应用治理
角色:SOC 分析师
应用治理提供对 OAuth 应用的深入可见性和控制。 应用治理有助于应对日益复杂的活动,这些活动利用部署在本地和云基础架构中的应用,为特权提升、横向移动和数据外泄建立起点。
应用治理与 Defender for Cloud Apps 一起提供。 警报也在 Microsoft Defender XDR 中提供,应定期会审。
有关详细信息,请参阅:
检查应用治理概述页
其中:在 Microsoft Defender XDR 门户中,选择:
- 事件和警报
- 云应用 > 治理 > 概述
角色:SOC 分析师和安全管理员
建议对应用和事件的合规性态势进行快速每日评估。 例如,检查以下详细信息:
- 过度特权或高特权应用的数量
- 发布者未经验证的应用
- 使用图形 API 访问的服务和资源的数据使用情况
- 使用最常见敏感度标签访问数据的应用数
- 在 Microsoft 365 服务中使用和不使用敏感度标签访问数据的应用数
- 与应用治理相关的事件的概述
根据审查的数据,可能需要创建新的应用治理策略或调整现有应用治理策略。
有关详细信息,请参阅:
审查 OAuth 应用数据
其中:在 Microsoft Defender XDR 门户中,选择:
- 事件和警报
- 云应用 > 应用治理 > Azure AD
建议每天检查启用 OAuth 的应用列表,以及相关的应用元数据和使用情况数据。 选择应用以查看更深入的见解和信息。
应用治理使用基于机器学习的检测算法来检测 Microsoft Defender XDR 租户中的异常应用行为,并生成可以查看、调查和解决的警报。 除此内置检测功能之外,还可以使用一组默认的策略模板,或创建可生成其他警报的应用策略。
有关详细信息,请参阅:
创建和管理应用治理策略
其中:在 Microsoft Defender XDR 门户中,选择云应用 > 应用治理 > 策略
角色:安全管理员
建议每天检查 OAuth 应用,了解定期深入可见性和控制。 根据机器学习算法生成警报,并为应用治理创建应用策略。
有关详细信息,请参阅:
审查条件访问应用控制
其中:在 Microsoft Defender XDR 门户中,选择:
- 事件和警报
- 云应用 > 策略 > 策略管理 > 条件访问
若要配置条件访问应用控制,请选择设置 > 云应用 > 条件访问应用控制
角色:安全管理员
借助条件访问应用控制,你可以根据访问和会话策略实时监视与控制用户应用访问和会话。
生成的警报在 Microsoft Defender XDR 中提供,应定期会审。
默认情况下,未部署任何访问或会话策略,因此没有可用的相关警报。 你可以载入任何 Web 应用,以使用访问和会话控制,而 Microsoft Entra ID 应用会自动载入。 建议根据需要为贵组织创建会话和访问策略。
有关详细信息,请参阅:
- 查看和管理事件和警报
- 使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用
- 阻止并保护对非托管或有风险的设备上敏感数据的下载
- 通过强制实施实时会话控制来保护与外部用户的协作
角色:SOC 管理员
建议每天查看条件访问应用控制警报和活动日志。 按源、访问控制和会话控制筛选活动日志。
有关详细信息,请参阅审查警报和事件
审查影子 IT - Cloud Discovery
其中:在 Microsoft Defender XDR 门户中,选择:
- 事件和警报
- 云应用 > Cloud Discovery/云应用目录
- 云应用 > 策略 > 策略管理 > 影子 IT
角色:安全管理员
Defender for Cloud Apps 会根据超过 31,000 个云应用的云应用目录分析你的流量日志。 应用根据 90 多个风险因素进行排名和评分,以提供针对云使用、影子 IT 以及影子 IT 给贵组织造成的风险的持续可见性。
与 Cloud Discovery 相关的警报在 Microsoft Defender XDR 中提供,应定期会审。
创建应用发现策略,以根据某些条件开始警报和标记新发现的应用,例如风险分数、类别和应用行为,例如每日流量和下载的数据。
提示
建议将 Defender for Cloud Apps 与 Microsoft Defender for Endpoint 集成,以便在企业网络或安全网关之外发现云应用,并在终结点上应用治理操作。
有关详细信息,请参阅:
角色:安全与合规管理员、SOC 分析师
如果发现了大量应用,可能需要使用筛选选项了解有关已发现应用的详细信息。
有关详细信息,请参阅在 Microsoft Defender for Cloud Apps 中发现的应用筛选器和查询。
审查 Cloud Discovery 仪表板
其中:在 Microsoft Defender XDR 门户中,选择云应用 > Cloud Discovery > 仪表板。
角色:安全与合规管理员、SOC 分析师
建议每天审查 Cloud Discovery 仪表板。 Cloud Discovery 仪表板旨在让你更深入地了解云应用在贵组织中的使用方式,并简要概述了正在使用的应用的子项、开放式警报以及贵组织中应用的风险级别。
在 Cloud Discovery 仪表板上:
使用页面顶部的小组件了解总体云应用使用情况。
根据兴趣筛选仪表板图以生成特定视图。 例如:
- 了解贵组织中使用的主要应用类别,尤其是批准的应用。
- 审查已发现应用的风险分数。
- 筛选视图以查看特定类别中的主要应用。
- 查看主要用户和 IP 地址,以确定哪些用户是组织中云应用的最主要用户。
- 查看世界地图上的应用数据,以了解发现的应用如何按地理位置分布。
审查环境中发现的应用列表后,建议通过以下方式保护环境,即批准安全应用(批准的应用),或禁止不想要的应用(未批准的应用),或应用自定义标记。
你可能还想要在环境中发现之前,主动审查云应用目录中可用的应用并对其应用标记。 为了帮助你管理这些应用程序,请创建由特定标记触发的相关 Cloud Discovery 策略。
有关详细信息,请参阅:
提示
根据环境配置,可以从无缝和自动化的阻止中受益,甚至受益于 Microsoft Defender for Endpoint 提供的警告和教育功能。 有关详细信息,请参阅将 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud Apps 集成。
审查信息保护
其中:在 Microsoft Defender XDR 门户中,选择:
- 事件和警报
- 云应用 > 文件
- 云应用 > 策略 > 策略管理 > 信息保护
角色:安全与合规管理员、SOC 分析师
Defender for Cloud Apps 文件策略和警报允许强制执行各种自动化流程。 创建策略以提供信息保护,包括持续的合规性扫描、合法的电子数据展示任务、对公开共享的敏感内容的数据丢失防护 (DLP)。
除了会审警报和事件之外,我们还建议 SOC 团队运行额外的主动操作和查询。 在云应用 > 文件页中,检查是否有以下问题:
- 公开共享了多少个文件?即,所有人无需链接即可访问这些文件。
- 你使用出站共享与哪些合作伙伴共享文件?
- 是否有文件具有敏感名称?
- 有与他人的个人帐户共享的文件吗?
使用这些查询的结果来调整现有文件策略或创建新策略。
有关详细信息,请参阅: