本文列出我們建議您使用 Microsoft Defender for Cloud Apps 執行的每月營運活動。
每月活動可以根據你的環境和需求,更頻繁或根據需要進行。
檢視 Microsoft 服務健康
地點:請查看以下地點:
- 在 Microsoft 365 系統管理中心,選擇健康>服務健康情況
- Microsoft 365 服務健康情況狀態
- X: https://twitter.com/MSFT365status
如果您在雲端服務遇到問題,建議在致電客服或花時間排查前,先檢查服務健康更新,確認是否已知且正在解決中。
執行進階狩獵查詢
地點:在 Microsoft Defender 入口網站 https://security.microsoft.com選擇「Hunting > Advanced Hunting」並查詢 Defender for Cloud Apps 資料。
Persona:SOC 分析師
類似於檢視活動日誌,進階狩獵可作為排程活動使用,利用自訂偵測或臨時查詢主動搜尋威脅。
進階搜尋是一種統一工具,讓你能在 Microsoft Defender 全面偵測回應中搜尋威脅。 我們建議您儲存常用查詢,以便更快手動搜尋威脅與修復。
以下範例查詢在查詢 Defender for Cloud Apps 資料時非常有用:
搜尋 辦公室 - 檔案已下載的活動 紀錄
CloudAppEvents
| where ActionType == "FileDownloaded"
| extend FileName = RawEventData.SourceFileName, Site = RawEventData.SiteUrl, FileLabel = RawEventData.SensitivityLabelId, SiteLabel = RawEventData.SiteSensitivityLabelId
| project Timestamp,AccountObjectId,ActionType,Application,FileName,Site,FileLabel,SiteLabel
搜尋 辦公室 - 郵件項目 已存取詳情 紀錄
CloudAppEvents
| where ActionType == "MailItemsAccessed" //Defines the action type we want to filter on 16
| extend Folders = RawEventData.Folders[0] //Set variable and then use the index to trim the [] to data can be accessed
| extend MailboxPath = Folders.Path //set a variable for the path
| mv-expand Folders.FolderItems //expand the list of items because some entries might contain multiple items which were accessed
| extend MessageIDs = tostring(Folders_FolderItems.InternetMessageId) //extend and then convert to string so table can be joined
| join EmailEvents on $left.MessageIDs == $right.InternetMessageId //join the email events table to access subject and mailbox information
| project Timestamp,AccountType,AccountDisplayName,AccountObjectId,UserAgent,IPAddress,CountryCode,City,ISP,NetworkMessageId,MailboxPath,Subject,SenderFromAddress,RecipientEmailAddress
| sort by Timestamp desc
搜尋 擷取活動物件 紀錄
CloudAppEvents
| take 100
| mv-expand(ActivityObjects)
| evaluate bag_unpack(ActivityObjects)
搜尋 Microsoft Entra ID - 新增到角色記錄
CloudAppEvents
| where ActionType in ("Add member to role.")
| extend FirstElement = ActivityObjects[0], SecondElement = ActivityObjects[1], ThirdElement = ActivityObjects[2]
| extend Type = FirstElement.ServiceObjectType, RoleName = FirstElement.Name, UserAddedName = SecondElement.Name, UserAddedId = SecondElement.Id
| project Timestamp,Type,ActionType,RoleName,UserAddedName,UserAddedId,AccountId,Account DisplayName
搜尋 Microsoft Entra ID - 群組新增紀錄
CloudAppEvents
| where ActionType in ("Add member to group.") and AccountType == "Regular"
| extend SecondElement = RawEventData.ModifiedProperties[1]
| extend UserAddedId = RawEventData.ObjectId, GroupName =
SecondElement.NewValue
| project Timestamp, ActionType,UserAddedId,PerformedBy =
AccountDisplayName,GroupName
審查檔案隔離
在哪裡:在 Microsoft Defender 入口網站中,選擇雲端應用程式>檔案。 查詢檢疫 = 真實的商品。
角色:合規管理員
使用 Defender for Cloud Apps 偵測儲存在雲端並讓你暴露的不想要檔案。 立即採取行動阻止他們,利用管理員隔離系統封鎖有威脅的檔案。 管理員隔離能幫助你保護雲端檔案、修復問題,並防止未來外洩發生。
管理員隔離中的檔案可能會作為警示調查的一部分被審查,且你可能因治理與合規考量需要管理隔離檔案。
更多資訊請參閱 「了解隔離運作方式」。
檢視應用程式風險分數
在哪裡:在 Microsoft Defender 入口網站中,選擇雲端應用程式 > Cloud 應用程式目錄。
角色:合規管理員
雲端應用程式目錄根據法規認證、產業標準及最佳實務評估您的雲端應用程式風險。 我們建議您檢視環境中每個應用程式的分數,以確保符合公司法規。
在查看應用程式的風險分數後,你可能會想提交變更分數的請求,或在 雲端發現 > 分數指標中自訂風險分數。
欲了解更多資訊,請參閱 「尋找你的雲端應用程式」並計算風險分數。
刪除雲端發現資料
在哪裡:在 Microsoft Defender 入口網站中,選擇設定>、雲端應用程式>、雲端發現、>刪除資料。
角色:合規管理員
我們建議在以下情境下刪除雲端發現資料:
- 如果你有較舊的手動上傳日誌檔案,且不想讓舊資料影響結果,
- 當你想要一個新的自訂資料視圖,將事件納入所有日誌檔案資料,包括舊檔案時, 自訂資料檢視只適用於從該時點開始的新資料,因此我們建議刪除舊資料並重新上傳,以納入自訂資料檢視中。
- 當許多使用者或 IP 位址在離線一段時間後恢復正常時,刪除舊資料以防止新活動被誤判為異常且誤判違規。
欲了解更多資訊,請參閱 刪除雲端發現資料。
產生雲端發現執行報告
在哪裡:在 Microsoft Defender 入口網站中,選擇雲端應用程式 > 雲端發現>儀表板 > 動作
角色:合規管理員
我們建議使用雲端發現執行報告,以全面了解貴組織中暗影 IT 的使用情況。 Cloud Discovery 執行報告會識別主要潛在風險,並協助你規劃工作流程,以減輕並管理風險,直到這些風險得到解決。
欲了解更多資訊,請參閱 「生成雲端發現執行報告」。
產生雲端發現快照報告
在哪裡:在 Microsoft Defender 入口網站中,選擇雲端應用程式 > 雲端發現>儀表板 > 動作
角色設定:資安與合規管理員
如果你還沒有日誌,想看看範例範例,可以下載範例日誌檔案。
欲了解更多資訊,請參閱 建立快照雲端發現報告。