Geçici operasyonel kılavuz - Microsoft Defender for Cloud Apps
Bu makalede, Microsoft Defender for Cloud Apps ile gerçekleştirmenizi önerdiğimiz aylık operasyonel etkinlikler listelenir.
Aylık etkinlikler ortamınıza ve ihtiyaçlarınıza bağlı olarak daha sık veya gerektiğinde gerçekleştirilebilir.
Microsoft hizmet durumunu gözden geçirme
Nerede: Aşağıdaki konumları denetleyin:
- Microsoft 365 yönetim merkezi Sistem Durumu > Hizmet durumu'ni seçin
- Microsoft 365 Hizmet durumu durumu
- X: https://twitter.com/MSFT365status
Bir bulut hizmetiyle ilgili sorun yaşıyorsanız, desteği aramadan veya sorun gidermeye zaman ayırmadan önce bilinen bir sorun olup olmadığını ve çözümün devam edip etmediğini belirlemek için hizmet durumu güncelleştirmelerini denetlemenizi öneririz.
Gelişmiş tehdit avcılığı sorguları çalıştırma
Nerede: Microsoft Defender XDR Portalı'nda Avcılık Gelişmiş avcılığı'nı > seçin ve Defender for Cloud Apps verileri sorgula'yı seçin.
Kişilik: SOC analistleri
Etkinlik günlüklerini gözden geçirmeye benzer şekilde gelişmiş avcılık, tehditleri proaktif olarak avlamak için özel algılamalar veya geçici sorgular kullanılarak zamanlanmış bir etkinlik olarak kullanılabilir.
Gelişmiş avcılık, Microsoft Defender XDR genelinde tehditleri avlamanıza olanak tanıyan birleşik bir araçtır. Daha hızlı el ile tehdit avcılığı ve düzeltme için sık kullanılan sorguları kaydetmenizi öneririz.
Aşağıdaki örnek sorgular, Defender for Cloud Apps verileri sorgularken yararlıdır:
Office arama - FileDownloaded Events kayıtları
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
Office arama - MailItemsAccessed Details kayıtları
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
Etkinlik nesneleri kayıtlarını ayıklama için arama yapma
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
Microsoft Entra ID arama - Rol kayıtlarına ekle
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
Microsoft Entra ID arama - Grup Kayıtları ekler
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
Dosya karantinalarını gözden geçirme
Nerede: Microsoft Defender XDR Portalı'nda Bulut uygulamaları > Dosyaları'nı seçin. Karantinaya Alınan = True olan öğeleri sorgula.
Kişi: Uyumluluk yöneticileri
Bulutunuzda depolanan istenmeyen dosyaları algılamak ve sizi savunmasız bırakmak için Defender for Cloud Apps kullanın. Tehdit oluşturan dosyaları kilitlemek için Yönetici karantinasını kullanarak onları raylarında durdurmak için hemen harekete geçin. Yönetici karantina buluttaki dosyaları korumanıza, sorunları düzeltmenize ve gelecekteki sızıntıların oluşmasını önlemenize yardımcı olabilir.
Karantina Yönetici dosyalar bir uyarı araştırması kapsamında gözden geçirilebilir ve idare ve uyumluluk nedeniyle karantinaya alınan dosyaları yönetmeniz gerekebilir.
Daha fazla bilgi için bkz. Karantinanın nasıl çalıştığını anlama.
Uygulama risk puanlarını gözden geçirme
Nerede: Microsoft Defender XDR Portalı'nda Bulut uygulamaları > Bulut uygulaması kataloğu'nu seçin.
Kişi: Uyumluluk yöneticileri
Bulut uygulaması kataloğu, bulut uygulamalarınız için riski mevzuat sertifikasyonuna, sektör standartlarına ve en iyi yöntemlere göre fiyatlandırmaktadır. Şirketinizin düzenlemelerine uygun olduğundan emin olmak için ortamınızdaki her uygulamanın puanını gözden geçirmenizi öneririz.
Bir uygulamanın risk puanını denetledikten sonra, Cloud Discovery > Score ölçümlerinde puanı değiştirmek veya risk puanını özelleştirmek için bir istek göndermek isteyebilirsiniz.
Daha fazla bilgi için bkz. Bulut uygulamanızı bulma ve risk puanlarını hesaplama.
Bulut bulma verilerini silme
Nerede: Microsoft Defender XDR Portalında Ayarlar > Bulut uygulamaları > Cloud Discovery > Verileri Sil'i seçin.
Kişi: Uyumluluk yöneticileri
Aşağıdaki senaryolarda bulut bulma verilerini silmenizi öneririz:
- Daha eski, el ile yüklenen günlük dosyalarınız varsa ve eski verilerin sonuçlarınızı etkilemesini istemiyorsanız.
- Yeni bir özel veri görünümünün, eski dosyalar da dahil olmak üzere tüm günlük dosyası verilerine olayları içermesini istediğinizde. Özel veri görünümleri yalnızca bu noktadan itibaren mevcut olan yeni veriler için geçerlidir, bu nedenle eski verileri silip özel veri görünümlerine eklemek için yeniden karşıya yüklemenizi öneririz.
- Bir süre çevrimdışı olduktan sonra birçok kullanıcı veya IP adresi yeniden çalışmaya başladığında, yeni etkinliğin hatalı pozitif ihlallerle anormal olarak tanımlanmasını önlemek için eski verileri silin.
Daha fazla bilgi için bkz. Bulut bulma verilerini silme.
Bulut bulma yönetici raporu oluşturma
Nerede: Microsoft Defender XDR Portalı'nda Bulut uygulamaları > Bulut bulma Pano > Eylemleri'ni > seçin
Kişi: Uyumluluk yöneticileri
Kuruluşunuzda kullanılan Gölge BT'ye genel bir bakış elde etmek için bir bulut bulma yönetici raporu kullanmanızı öneririz. cloud discovery yönetici raporları olası en önemli riskleri belirler ve çözümlenene kadar riskleri azaltmak ve yönetmek için bir iş akışı planlamanıza yardımcı olur.
Daha fazla bilgi için bkz. Bulut bulma yönetici raporu oluşturma.
Bulut bulma anlık görüntüsü raporu oluşturma
Nerede: Microsoft Defender XDR Portalı'nda Bulut uygulamaları > Bulut bulma Pano > Eylemleri'ni > seçin
Kişilik: Güvenlik ve Uyumluluk yöneticileri
Henüz bir günlüğünüz yoksa ve nasıl görünebileceğinin bir örneğini görmek istiyorsanız örnek bir günlük dosyası indirin.
Daha fazla bilgi için bkz. Anlık görüntü bulut bulma raporları oluşturma.