每日操作指南 - Microsoft Defender for Cloud Apps

本文列出了建议使用 Defender for Cloud Apps 执行的每日操作活动。

审查警报和事件

警报和事件是安全操作 (SOC) 团队每天审查的两项最重要的项目。

• 定期会审 Microsoft Defender XDR 事件队列中的事件和警报，确定高严重性警报和中等严重性警报的优先级。

• 如果使用的是 SIEM 系统，则 SIEM 系统通常是会审的第一站。 SIEM 系统提供更多上下文，并提供额外的日志和 SOAR 功能。 然后，使用 Microsoft Defender XDR 更深入地了解警报或事件时间线。

会审 Microsoft Defender XDR 中的事件

位置：在 Microsoft Defender XDR 中，选择事件和警报

角色：SOC 分析师

会审事件时：

1. 在事件仪表板中，针对以下项目进行筛选：

   筛选器	值
   Status	新建、正在进行
   严重性	高、中、低
   服务源	将所有服务源保持为选中状态。 将所有服务源保持为选中状态时，应会列出保真度最高的警报，并与其他 Microsoft XDR 工作负荷相关联。 选择 Defender for Cloud Apps 可查看专门来自 Defender for Cloud Apps 的项目。

2. 选择每个事件以查看所有详细信息。 查看事件、活动日志和高级搜寻中的所有选项卡。

   在事件的证据和响应选项卡中，选择每个证据项。 选择选项菜单>调查，然后按需选择活动日志或执行搜寻。

3. 会审事件。 对于每个事件，选择管理事件，然后选择以下选项之一：

   • 真正
   • 假正
   • 信息性、预期活动

   对于实际警报，请指定处理类型以帮助安全团队查看威胁模式，并保护组织免遭风险。

4. 准备好启动活动调查时，请将此事件分配给某一用户，并将事件状态更新为正在进行。

5. 修正事件后，请将其解决以解决所有链接与相关的活动警报。

有关详细信息，请参阅：

• 确定 Microsoft Defender XDR 中的事件的优先级
• - 在 Microsoft Defender XDR 中调查警报
• 事件响应剧本剧本
• 如何调查异常情况检测警报
• 管理应用治理警报
• 调查威胁检测警报

会审 SIEM 系统中的事件

角色：SOC 分析师

先决条件：必须连接到 SIEM 系统，建议与 Microsoft Sentinel 集成。 有关详细信息，请参阅：

• Microsoft Sentinel 集成（预览版）
• 将 Microsoft Defender XDR 中的数据连接到 Microsoft Sentinel
• 通用 SIEM 集成

通过将 Microsoft Defender XDR 与 Microsoft Sentinel 集成，可以将所有 Microsoft Defender XDR 事件流式传输到 Microsoft Sentinel，并在两个门户之间保持同步。 Microsoft Sentinel 中的 Microsoft Defender XDR 事件包括所有关联的警报、实体和相关信息，从而提供足够的上下文来会审和运行初步调查。

在 Microsoft Sentinel 中后，事件将与 Microsoft Defender XDR 保持同步，以便在调查中使用两个门户的功能。

• 安装 Microsoft Sentinel 用于 Microsoft Defender XDR 的数据连接器时，确保包含 Microsoft Defender for Cloud Apps 选项。
• 考虑使用流式处理 API 将数据发送到事件中心，其中可以通过任何合作伙伴 SIEM 和事件中心连接器使用，或将其放置在 Azure 存储中。

有关详细信息，请参阅：

• Microsoft Defender XDR 与 Microsoft Sentinel 集成
• 在 Microsoft Sentinel 中浏览和调查事件
• 创建自定义分析规则以检测威胁

审查威胁检测数据

其中：在 Microsoft Defender XDR 门户中，选择：

• 事件和警报
• 云应用 > 策略 > 策略管理 > 威胁检测
• 云应用 > Oauth 应用

角色：安全管理员和 SOC 分析师

云应用威胁检测是许多 SOC 分析师关注其每日活动的位置，用于识别显示异常行为的高风险用户。

Defender for Cloud Apps 威胁检测使用 Microsoft 威胁情报和安全研究数据。 警报在 Microsoft Defender XDR 中提供，应定期会审。

当安全管理员和 SOC 分析师处理警报时，他们将处理以下主要类型的威胁检测策略：

• 活动策略
• 异常情况检测策略
• OAuth 策略和应用治理策略

角色：安全管理员

确保创建贵组织所需的威胁防护策略，包括处理任何先决条件。

审查应用程序治理

其中：在 Microsoft Defender XDR 门户中，选择：

• 事件和警报
• 事件和警报/应用治理

角色：SOC 分析师

应用治理提供对 OAuth 应用的深入可见性和控制。 应用治理有助于应对日益复杂的活动，这些活动利用部署在本地和云基础架构中的应用，为特权提升、横向移动和数据外泄建立起点。

应用治理与 Defender for Cloud Apps 一起提供。 警报也在 Microsoft Defender XDR 中提供，应定期会审。

有关详细信息，请参阅：

• 发现警报
• 调查预定义的应用策略警报
• 调查和修正有风险的 OAuth 应用

检查应用治理概述页

其中：在 Microsoft Defender XDR 门户中，选择：

• 事件和警报
• 云应用 > 治理 > 概述

角色：SOC 分析师和安全管理员

建议对应用和事件的合规性态势进行快速每日评估。 例如，检查以下详细信息：

• 过度特权或高特权应用的数量
• 发布者未经验证的应用
• 使用图形 API 访问的服务和资源的数据使用情况
• 使用最常见敏感度标签访问数据的应用数
• 在 Microsoft 365 服务中使用和不使用敏感度标签访问数据的应用数
• 与应用治理相关的事件的概述

根据审查的数据，可能需要创建新的应用治理策略或调整现有应用治理策略。

有关详细信息，请参阅：

• 查看和管理事件和警报
• 使用应用治理查看应用详细信息
• 在应用治理中创建应用策略

审查 OAuth 应用数据

其中：在 Microsoft Defender XDR 门户中，选择：

• 事件和警报
• 云应用 > 应用治理 > Azure AD

建议每天检查启用 OAuth 的应用列表，以及相关的应用元数据和使用情况数据。 选择应用以查看更深入的见解和信息。

应用治理使用基于机器学习的检测算法来检测 Microsoft Defender XDR 租户中的异常应用行为，并生成可以查看、调查和解决的警报。 除此内置检测功能之外，还可以使用一组默认的策略模板，或创建可生成其他警报的应用策略。

有关详细信息，请参阅：

• 查看和管理事件和警报
• 使用应用治理查看应用详细信息
• 获取有关某个应用的详细信息

创建和管理应用治理策略

其中：在 Microsoft Defender XDR 门户中，选择云应用 > 应用治理 > 策略

角色：安全管理员

建议每天检查 OAuth 应用，了解定期深入可见性和控制。 根据机器学习算法生成警报，并为应用治理创建应用策略。

有关详细信息，请参阅：

• 在应用治理中创建应用策略
• 管理应用策略

审查条件访问应用控制

其中：在 Microsoft Defender XDR 门户中，选择：

• 事件和警报
• 云应用 > 策略 > 策略管理 > 条件访问

若要配置条件访问应用控制，请选择设置 > 云应用 > 条件访问应用控制

角色：安全管理员

借助条件访问应用控制，你可以根据访问和会话策略实时监视与控制用户应用访问和会话。

生成的警报在 Microsoft Defender XDR 中提供，应定期会审。

默认情况下，未部署任何访问或会话策略，因此没有可用的相关警报。 你可以载入任何 Web 应用，以使用访问和会话控制，而 Microsoft Entra ID 应用会自动载入。 建议根据需要为贵组织创建会话和访问策略。

有关详细信息，请参阅：

• 查看和管理事件和警报
• 使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用
• 阻止并保护对非托管或有风险的设备上敏感数据的下载
• 通过强制实施实时会话控制来保护与外部用户的协作

角色：SOC 管理员

建议每天查看条件访问应用控制警报和活动日志。 按源、访问控制和会话控制筛选活动日志。

有关详细信息，请参阅审查警报和事件

审查影子 IT - Cloud Discovery

其中：在 Microsoft Defender XDR 门户中，选择：

• 事件和警报
• 云应用 > Cloud Discovery/云应用目录
• 云应用 > 策略 > 策略管理 > 影子 IT

角色：安全管理员

Defender for Cloud Apps 会根据超过 31,000 个云应用的云应用目录分析你的流量日志。 应用根据 90 多个风险因素进行排名和评分，以提供针对云使用、影子 IT 以及影子 IT 给贵组织造成的风险的持续可见性。

与 Cloud Discovery 相关的警报在 Microsoft Defender XDR 中提供，应定期会审。

创建应用发现策略，以根据某些条件开始警报和标记新发现的应用，例如风险分数、类别和应用行为，例如每日流量和下载的数据。

有关详细信息，请参阅：

• 查看和管理事件和警报
• Cloud Discovery 策略
• 创建 Cloud Discovery 策略
• 设置 Cloud Discovery
• 发现和评估云应用

角色：安全与合规管理员、SOC 分析师

如果发现了大量应用，可能需要使用筛选选项了解有关已发现应用的详细信息。

有关详细信息，请参阅在 Microsoft Defender for Cloud Apps 中发现的应用筛选器和查询。

审查 Cloud Discovery 仪表板

其中：在 Microsoft Defender XDR 门户中，选择云应用 > Cloud Discovery > 仪表板。

角色：安全与合规管理员、SOC 分析师

建议每天审查 Cloud Discovery 仪表板。 Cloud Discovery 仪表板旨在让你更深入地了解云应用在贵组织中的使用方式，并简要概述了正在使用的应用的子项、开放式警报以及贵组织中应用的风险级别。

在 Cloud Discovery 仪表板上：

1. 使用页面顶部的小组件了解总体云应用使用情况。

2. 根据兴趣筛选仪表板图以生成特定视图。 例如：

   • 了解贵组织中使用的主要应用类别，尤其是批准的应用。
   • 审查已发现应用的风险分数。
   • 筛选视图以查看特定类别中的主要应用。
   • 查看主要用户和 IP 地址，以确定哪些用户是组织中云应用的最主要用户。
   • 查看世界地图上的应用数据，以了解发现的应用如何按地理位置分布。

审查环境中发现的应用列表后，建议通过以下方式保护环境，即批准安全应用（批准的应用），或禁止不想要的应用（未批准的应用），或应用自定义标记。

你可能还想要在环境中发现之前，主动审查云应用目录中可用的应用并对其应用标记。 为了帮助你管理这些应用程序，请创建由特定标记触发的相关 Cloud Discovery 策略。

有关详细信息，请参阅：

• 使用发现数据
• 使用发现的应用

审查信息保护

其中：在 Microsoft Defender XDR 门户中，选择：

• 事件和警报
• 云应用 > 文件
• 云应用 > 策略 > 策略管理 > 信息保护

角色：安全与合规管理员、SOC 分析师

Defender for Cloud Apps 文件策略和警报允许强制执行各种自动化流程。 创建策略以提供信息保护，包括持续的合规性扫描、合法的电子数据展示任务、对公开共享的敏感内容的数据丢失防护 (DLP)。

除了会审警报和事件之外，我们还建议 SOC 团队运行额外的主动操作和查询。 在云应用 > 文件页中，检查是否有以下问题：

• 公开共享了多少个文件？即，所有人无需链接即可访问这些文件。
• 你使用出站共享与哪些合作伙伴共享文件？
• 是否有文件具有敏感名称？
• 有与他人的个人帐户共享的文件吗？

使用这些查询的结果来调整现有文件策略或创建新策略。

有关详细信息，请参阅：

• 查看和管理事件和警报
• 信息保护策略。

相关内容

Microsoft Defender for Cloud Apps 操作指南