Delen via

Dagelijkse operationele handleiding - Microsoft Defender for Cloud Apps

  • Artikel

In dit artikel vindt u een overzicht van de dagelijkse operationele activiteiten die u met Defender for Cloud Apps kunt uitvoeren.

Waarschuwingen en incidenten controleren

Waarschuwingen en incidenten zijn twee van de belangrijkste items die uw SOC-team (Security Operations) dagelijks moet controleren.

  • Sorteer incidenten en waarschuwingen regelmatig uit de wachtrij incidenten in Microsoft Defender XDR, waarbij u prioriteit geeft aan waarschuwingen met een hoge en gemiddelde ernst.

  • Als u met een SIEM-systeem werkt, is uw SIEM-systeem meestal de eerste stop voor triage. SIEM-systemen bieden meer context met extra logboeken en SOAR-functionaliteit. Gebruik vervolgens Microsoft Defender XDR voor een dieper inzicht in de tijdlijn van een waarschuwing of incident.

Uw incidenten uit Microsoft Defender XDR

Waar: selecteer in Microsoft Defender XDR incidenten & waarschuwingen

Persona: SOC-analisten

Bij het trieren van incidenten:

  1. Filter in het incidentdashboard op de volgende items:

    Filter Waarden
    Status Nieuw, wordt uitgevoerd
    Ernst Hoog, Gemiddeld, Laag
    Servicebron Houd alle servicebronnen gecontroleerd. Als u alle servicebronnen controleert, worden waarschuwingen met de meeste betrouwbaarheid weergegeven, met correlatie tussen andere Microsoft XDR-workloads. Selecteer Defender for Cloud Apps om items weer te geven die specifiek afkomstig zijn van Defender for Cloud Apps.

  2. Selecteer elk incident om alle details te bekijken. Controleer alle tabbladen in het incident, het activiteitenlogboek en geavanceerde opsporing.

    Selecteer elk bewijsitem op het tabblad Bewijs en reactie van het incident. Selecteer het menu >Opties onderzoeken en selecteer vervolgens Activiteitenlogboek of Ga zo nodig zoeken .

  3. Sorteer uw incidenten. Selecteer voor elk incident Incident beheren en selecteer vervolgens een van de volgende opties:

    • Waar positief
    • Fout-positief
    • Informatieve, verwachte activiteit

    Geef voor echte waarschuwingen het type behandeling op om uw beveiligingsteam te helpen bedreigingspatronen te zien en uw organisatie te beschermen tegen risico's.

  4. Wanneer u klaar bent om uw actieve onderzoek te starten, wijst u het incident toe aan een gebruiker en werkt u de incidentstatus bij naar In uitvoering.

  5. Wanneer het incident is opgelost, lost u dit op om alle gekoppelde en gerelateerde actieve waarschuwingen op te lossen.

Zie voor meer informatie:

Uw incidenten van uw SIEM-systeem sorteren

Persona: SOC-analisten

Vereisten: u moet zijn verbonden met een SIEM-systeem en we raden u aan te integreren met Microsoft Sentinel. Zie voor meer informatie:

Als u Microsoft Defender XDR integreert met Microsoft Sentinel, kunt u alle Microsoft Defender XDR incidenten streamen naar Microsoft Sentinel en deze gesynchroniseerd houden tussen beide portals. Microsoft Defender XDR incidenten in Microsoft Sentinel alle bijbehorende waarschuwingen, entiteiten en relevante informatie bevatten, waardoor er voldoende context is om een voorlopig onderzoek uit te voeren en te sorteren.

Eenmaal in Microsoft Sentinel blijven incidenten gesynchroniseerd met Microsoft Defender XDR, zodat u de functies van beide portals in uw onderzoek kunt gebruiken.

  • Wanneer u de gegevensconnector van Microsoft Sentinel voor Microsoft Defender XDR installeert, moet u de optie Microsoft Defender for Cloud Apps opnemen.
  • Overweeg het gebruik van een streaming-API om gegevens te verzenden naar een Event Hub, waar deze kunnen worden gebruikt via een siem van een partner met een Event Hub-connector of in Azure Storage kunnen worden geplaatst.

Zie voor meer informatie:

Detectiegegevens van bedreigingen controleren

Waar: selecteer in de Microsoft Defender XDR Portal:

  • Waarschuwingen voor incidenten &
  • Beleid voor > cloud-apps > Beleidsbeheer > Detectie van bedreigingen
  • Cloud-apps > Oauth-apps

Persona: Beveiligingsbeheerders en SOC-analisten

Cloud-app-bedreigingsdetectie is waar veel SOC-analisten hun dagelijkse activiteiten richten en gebruikers met een hoog risico identificeren die abnormaal gedrag vertonen.

Defender for Cloud Apps bedreigingsdetectie maakt gebruik van Microsoft-gegevens over bedreigingsinformatie en beveiligingsonderzoek. Waarschuwingen zijn beschikbaar in Microsoft Defender XDR en moeten regelmatig worden opgehaald.

Wanneer beveiligingsbeheerders en SOC-analisten waarschuwingen verwerken, verwerken ze de volgende hoofdtypen bedreigingsdetectiebeleid:

Persona: Beveiligingsbeheerder

Zorg ervoor dat u het beveiligingsbeleid voor bedreigingen maakt dat uw organisatie nodig heeft, inclusief het afhandelen van eventuele vereisten.

Toepassingsbeheer controleren

Waar: selecteer in de Microsoft Defender XDR Portal:

  • Waarschuwingen voor incidenten &
  • Incidenten & waarschuwingen/ App-governance

Persona: SOC-analisten

App-governance biedt diepgaande zichtbaarheid en controle over OAuth-apps. App-governance helpt bij het bestrijden van steeds geavanceerdere campagnes die gebruikmaken van de apps die on-premises en in cloudinfrastructuren worden geïmplementeerd, en een uitgangspunt vormen voor escalatie van bevoegdheden, laterale verplaatsing en gegevensexfiltratie.

App-governance wordt samen met Defender for Cloud Apps geboden. Waarschuwingen zijn ook beschikbaar in Microsoft Defender XDR en moeten regelmatig worden opgehaald.

Zie voor meer informatie:

Overzichtspagina voor app-beheer controleren

Waar: selecteer in de Microsoft Defender XDR Portal:

  • Waarschuwingen voor incidenten &
  • Overzicht van app-governance voor > cloud-apps >

Persona: SOC-analisten en beveiligingsbeheerder

We raden u aan om een snelle, dagelijkse evaluatie uit te voeren van de nalevingsstatus van uw apps en incidenten. Controleer bijvoorbeeld de volgende gegevens:

  • Het aantal apps met te veel bevoegdheden of apps met hoge bevoegdheden
  • Apps met een niet-geverifieerde uitgever
  • Gegevensgebruik voor services en resources die zijn geopend met behulp van Graph API
  • Het aantal apps dat toegang heeft tot gegevens met de meest voorkomende vertrouwelijkheidslabels
  • Het aantal apps dat toegang heeft tot gegevens met en zonder vertrouwelijkheidslabels in Microsoft 365-services
  • Een overzicht van incidenten met betrekking tot app-governance

Op basis van de gegevens die u bekijkt, wilt u mogelijk nieuw beleid voor app-governance maken of aanpassen.

Zie voor meer informatie:

OAuth-app-gegevens controleren

Waar: selecteer in de Microsoft Defender XDR Portal:

  • Waarschuwingen voor incidenten &
  • App-governance-Azure AD > voor cloud-apps >

We raden u aan uw lijst met OAuth-apps dagelijks te controleren, samen met relevante app-metagegevens en gebruiksgegevens. Selecteer een app om diepere inzichten en informatie weer te geven.

App-governance maakt gebruik van detectiealgoritmen op basis van machine learning om afwijkend app-gedrag in uw Microsoft Defender XDR tenant te detecteren en waarschuwingen te genereren die u kunt zien, onderzoeken en oplossen. Naast deze ingebouwde detectiemogelijkheid kunt u een set standaardbeleidssjablonen gebruiken of uw eigen app-beleid maken waarmee andere waarschuwingen worden gegenereerd.

Zie voor meer informatie:

Beleid voor app-governance maken en beheren

Waar: Selecteer in de Microsoft Defender XDR Portal App-governancebeleid > voor cloud-apps >

Persona: Beveiligingsbeheerders

U wordt aangeraden uw OAuth-apps dagelijks te controleren op regelmatige diepgaande zichtbaarheid en controle. Genereer waarschuwingen op basis van machine learning-algoritmen en maak app-beleid voor app-governance.

Zie voor meer informatie:

App-beheer voor voorwaardelijke toegang controleren

Waar: selecteer in de Microsoft Defender XDR Portal:

  • Waarschuwingen voor incidenten &
  • Beleid voor > cloud-apps > Beleidsbeheer > voor voorwaardelijke toegang

Als u app-beheer voor voorwaardelijke toegang wilt configureren, selecteert u Instellingen > Cloud-apps > Voorwaardelijke toegang App-beheer

Persona: Beveiligingsbeheerder

App-beheer voor voorwaardelijke toegang biedt u de mogelijkheid om de toegang en sessies van gebruikers-apps in realtime te bewaken en te beheren op basis van toegangs- en sessiebeleid.

Gegenereerde waarschuwingen zijn beschikbaar in Microsoft Defender XDR en moeten regelmatig worden opgehaald.

Standaard is er geen toegangs- of sessiebeleid geïmplementeerd en zijn er dus geen gerelateerde waarschuwingen beschikbaar. U kunt elke web-app onboarden om te werken met toegangs- en sessiebesturingselementen, Microsoft Entra ID apps automatisch worden onboarding uitgevoerd. We raden u aan om zo nodig een sessie- en toegangsbeleid voor uw organisatie te maken.

Zie voor meer informatie:

Persona: SOC-beheerder

We raden u aan om dagelijks waarschuwingen voor app-beheer voor voorwaardelijke toegang en het activiteitenlogboek te bekijken. Activiteitenlogboeken filteren op bron, toegangsbeheer en sessiebeheer.

Zie Waarschuwingen en incidenten controleren voor meer informatie.

Schaduw-IT controleren - clouddetectie

Waar: selecteer in de Microsoft Defender XDR Portal:

  • Waarschuwingen voor incidenten &
  • Cloud-apps > Clouddetectie/Catalogus met cloud-apps
  • Beleid voor > cloud-apps > Beleidsbeheer > Schaduw-IT

Persona: Beveiligingsbeheerders

Defender voor cloud-apps analyseert uw verkeerslogboeken op basis van de catalogus met cloud-apps van meer dan 31.000 cloud-apps. Apps worden gerangschikt en beoordeeld op basis van meer dan 90 risicofactoren om doorlopend inzicht te bieden in cloudgebruik, Schaduw-IT en de risico's die Schaduw-IT voor uw organisatie met zich meebrengt.

Waarschuwingen met betrekking tot clouddetectie zijn beschikbaar in Microsoft Defender XDR en moeten regelmatig worden opgehaald.

Maak beleid voor app-detectie om te beginnen met het waarschuwen en taggen van nieuw gedetecteerde apps op basis van bepaalde voorwaarden, zoals risicoscores, categorieën en app-gedrag, zoals dagelijks verkeer en gedownloade gegevens.

Tip

We raden u aan Defender for Cloud Apps te integreren met Microsoft Defender voor Eindpunt om cloud-apps buiten uw bedrijfsnetwerk of beveiligde gateways te detecteren en governanceacties toe te passen op uw eindpunten.

Zie voor meer informatie:

Persona: Beveiligings- en nalevingsbeheerders, SOC-analisten

Wanneer u een groot aantal gedetecteerde apps hebt, kunt u de filteropties gebruiken voor meer informatie over uw gedetecteerde apps.

Zie Gedetecteerde app-filters en -query's in Microsoft Defender for Cloud Apps voor meer informatie.

Het clouddetectiedashboard controleren

Waar: selecteer cloud-apps Cloud-apps > Dashboard voor clouddetectie >in de Microsoft Defender XDR Portal.

Persona: Beveiligings- en nalevingsbeheerders, SOC-analisten

We raden u aan uw clouddetectiedashboard dagelijks te controleren. Het dashboard voor clouddetectie is ontworpen om u meer inzicht te geven in hoe cloud-apps worden gebruikt in uw organisatie, met een overzicht in één oogopslag van de kinderen van apps die worden gebruikt, uw open waarschuwingen en de risiconiveaus van apps in uw organisatie.

Op het clouddetectiedashboard:

  1. Gebruik de widgets bovenaan de pagina om inzicht te hebben in uw totale gebruik van cloud-apps.

  2. Filter de dashboardgrafieken om specifieke weergaven te genereren, afhankelijk van uw interesse. Bijvoorbeeld:

    • Inzicht in de belangrijkste categorieën apps die in uw organisatie worden gebruikt, met name voor goedgekeurde apps.
    • Bekijk risicoscores voor uw gedetecteerde apps.
    • Filter weergaven om uw belangrijkste apps in specifieke categorieën weer te geven.
    • Bekijk de belangrijkste gebruikers en IP-adressen om de gebruikers te identificeren die de meest dominante gebruikers van cloud-apps in uw organisatie zijn.
    • Bekijk app-gegevens op een wereldkaart om te begrijpen hoe gedetecteerde apps zich per geografische locatie verspreiden.

Nadat u de lijst met gedetecteerde apps in uw omgeving hebt bekeken, raden we u aan uw omgeving te beveiligen door veilige apps (goedgekeurde apps) goed te keuren, ongewenste apps te verbieden (niet-goedgekeurde apps) of aangepaste tags toe te passen.

U kunt ook proactief tags controleren en toepassen op de apps die beschikbaar zijn in de cloud-app-catalogus voordat ze in uw omgeving worden gedetecteerd. Als u deze toepassingen wilt beheren, maakt u relevante beleidsregels voor clouddetectie, geactiveerd door specifieke tags.

Zie voor meer informatie:

Tip

Afhankelijk van uw omgevingsconfiguratie, kunt u profiteren van de naadloze en geautomatiseerde blokkering of zelfs van de waarschuwings- en onderwijsfuncties van Microsoft Defender voor Eindpunt. Zie Integreren van Microsoft Defender voor Eindpunt met Microsoft Defender for Cloud Apps voor meer informatie.

Informatiebeveiliging controleren

Waar: selecteer in de Microsoft Defender XDR Portal:

  • Waarschuwingen voor incidenten &
  • Cloud-apps-bestanden >
  • Beleid voor > cloud-apps > Beleidsbeheer > Informatiebeveiliging

Persona: Beveiligings- en nalevingsbeheerders, SOC-analisten

Defender for Cloud Apps bestandsbeleid en waarschuwingen kunt u een breed scala aan geautomatiseerde processen afdwingen. Maak beleidsregels om informatiebeveiliging te bieden, waaronder doorlopende nalevingsscans, juridische eDiscovery-taken en bescherming tegen gegevensverlies (DLP) voor gevoelige inhoud die openbaar wordt gedeeld.

Naast het trineren van waarschuwingen en incidenten, raden we uw SOC-teams aan extra, proactieve acties en query's uit te voeren. Controleer op de pagina Bestanden van Cloud-apps > op de volgende vragen:

  • Hoeveel bestanden worden openbaar gedeeld, zodat iedereen ze zonder koppeling kan openen?
  • Met welke partners deelt u bestanden voor uitgaand delen?
  • Hebben bestanden gevoelige namen?
  • Worden er bestanden gedeeld met iemands persoonlijke account?

Gebruik de resultaten van deze query's om bestaand bestandsbeleid aan te passen of nieuwe beleidsregels te maken.

Zie voor meer informatie:

Verwante onderwerpen

operationele handleiding voor Microsoft Defender for Cloud Apps