Aracılığıyla paylaş

Uygulama etkinliklerinde tehditleri avlama

  • Makale

Uygulamalar saldırganlar için değerli bir giriş noktası olabileceği için uygulamaları kullanan anomalileri ve şüpheli davranışları izlemenizi öneririz. Bir uygulama idaresi uyarısını araştırırken veya ortamdaki uygulama davranışını gözden geçirirken, bu tür şüpheli uygulamalar tarafından yapılan etkinliklerin ayrıntılarına hızla göz atmak ve kuruluşunuzdaki varlıkları korumak için düzeltme eylemleri yapmak önemli hale gelir.

Uygulama idaresi ve gelişmiş tehdit avcılığı özelliklerini kullanarak, uygulamalar ve eriştiği kaynaklar tarafından yapılan etkinliklere tam görünürlük sağlayabilirsiniz.

Bu makalede, Microsoft Defender for Cloud Apps'de uygulama idaresini kullanarak uygulama tabanlı tehdit avcılığı sürecini nasıl basitleştirebileceğiniz açıklanır.

1. Adım: Uygulamayı uygulama idaresinde bulma

Defender for Cloud Apps Uygulaması idare sayfasında tüm Microsoft Entra ID OAuth uygulamaları listelenir.

Belirli bir uygulama tarafından erişilen veriler hakkında daha fazla ayrıntı almak istiyorsanız, uygulama idaresindeki uygulama listesinde bu uygulamayı arayın. Alternatif olarak, desteklenen Bir veya daha fazla Microsoft 365 hizmetindeki verilere erişen uygulamaları görüntülemek için Veri kullanımı veya Erişilen Hizmetler filtrelerini kullanın.

2. Adım: Uygulamalar tarafından erişilen verileri görüntüleme

  1. Bir uygulama tanımladıktan sonra uygulamayı seçerek uygulama ayrıntıları bölmesini açın.
  2. Son 30 gün içinde uygulama tarafından erişilen kaynakların boyutu ve sayısıyla ilgili bilgileri görüntülemek için uygulama ayrıntıları bölmesindeki Veri kullanımı sekmesini seçin.

Örneğin:

Veri kullanımı ayrıntılarını içeren uygulama ayrıntıları bölmesinin ekran görüntüsü.

Uygulama idaresi Exchange Online, OneDrive, SharePoint ve Teams genelinde e-postalar, dosyalar, sohbet ve kanal iletileri gibi kaynaklar için veri kullanımına dayalı içgörüler sağlar.

Uygulama tarafından hizmetler ve kaynaklar arasında kullanılan verilere üst düzey bir genel bakış elde ettikten sonra, uygulama etkinliklerinin ayrıntılarını ve bu etkinlikleri gerçekleştirirken eriştiği kaynakları bilmek isteyebilirsiniz.

  1. Son 30 gün içinde uygulama tarafından erişilen kaynakların ayrıntılarını görüntülemek için her kaynağın yanındaki go-hunt simgesini seçin. Önceden doldurulmuş bir KQL sorgusuyla sizi Gelişmiş tehdit avcılığı sayfasına yönlendiren yeni bir sekme açılır.
  2. Sayfa yüklendikten sonra Sorguyu çalıştır düğmesini seçerek KQL sorgusunu çalıştırın ve sonuçları görüntüleyin.

Sorgu çalıştırıldıktan sonra sorgu sonuçları tablo biçiminde görüntülenir. Tablodaki her satır, belirli bir kaynak türüne erişmek için uygulama tarafından yapılan bir etkinliğe karşılık gelir. Tablodaki her sütun uygulamanın kendisi, kaynak, kullanıcı ve etkinlik hakkında kapsamlı bağlam sağlar.

Örneğin, Email kaynağının yanındaki go-hunt simgesini seçtiğinizde, uygulama idaresi son 30 gün içinde uygulama tarafından erişilen tüm e-postalar için aşağıdaki bilgileri Gelişmiş avcılık'ta görüntülemenizi sağlar:

  • E-postanın ayrıntıları: InternetMessageId, NetworkMessageId, Subject, Sender name and address, Recipient address, AttachmentCount and UrlCount
  • Uygulama ayrıntıları: E-postayı göndermek veya e-postaya erişmek için kullanılan uygulamanın OAuthApplicationId değeri
  • Kullanıcı bağlamı: ObjectId, AccountDisplayName, IPAddress ve UserAgent
  • Uygulama etkinliği bağlamı: OperationType, Etkinliğin zaman damgası, İş Yükü

Örneğin:

E-postalar için Gelişmiş Tehdit Avcılığı sayfasının ekran görüntüsü.

Benzer şekilde, dosyalar, sohbet iletileri ve kanal iletileri gibi diğer desteklenen kaynakların ayrıntılarını almak için uygulama idaresindeki go-hunt simgesini kullanın. Uygulama ayrıntıları bölmesindeki Kullanıcılar sekmesindeki herhangi bir kullanıcının yanındaki go-hunt simgesini kullanarak uygulama tarafından belirli bir kullanıcı bağlamında gerçekleştirilir.

Örneğin:

Kullanıcılar için Gelişmiş Tehdit Avcılığı sayfasının ekran görüntüsü.

4. Adım: Gelişmiş avcılık özelliklerini uygulama

Belirli gereksinimlerinize göre sonuçları getirmek üzere KQL sorgusunu değiştirmek veya ayarlamak için Gelişmiş tehdit avcılığı sayfasını kullanın. Sorguyu gelecekteki kullanıcılar için kaydetmeyi veya kuruluşunuzdaki diğer kullanıcılarla bağlantı paylaşmayı veya sonuçları csv dosyasına aktarmayı seçebilirsiniz.

Daha fazla bilgi için bkz. Microsoft Defender XDR'de gelişmiş avcılık ile tehditleri proaktif olarak avlama.

Bilinen sınırlamalar

Uygulama idaresindeki verileri araştırmak için Gelişmiş tehdit avcılığı sayfasını kullanırken verilerde tutarsızlıklar fark edebilirsiniz. Bu tutarsızlıklar aşağıdaki nedenlerden biri olabilir:

  • Uygulama idaresi ve gelişmiş tehdit avcılığı süreci verileri ayrı ayrı. İşlem sırasında herhangi bir çözüm tarafından karşılaşılan tüm sorunlar tutarsızlıkla sonuçlanabilir.

  • Uygulama idaresi veri işleme işleminin tamamlanması birkaç saat sürebilir. Bu gecikme nedeniyle Gelişmiş Tehdit Avcılığı'nda kullanılabilen son uygulama etkinliğini kapsamayabilir.

  • Sağlanan Gelişmiş tehdit avcılığı sorguları yalnızca 1k sonuçları gösterecek şekilde ayarlanır. Daha fazla sonuç göstermek için sorguyu düzenleyebilirsiniz ancak Gelişmiş Avcılık yine de en fazla 10 bin sonuç sınırı uygular. Uygulama idaresi bu sınıra sahip değildir.

Sonraki adımlar

Riskli OAuth uygulamalarını araştırma ve düzeltme