Zkoumání chování pomocí rozšířeného proaktivního vyhledávání (Preview)
I když se některé detekce anomálií zaměřují především na zjišťování problematických scénářů zabezpečení, jiné vám můžou pomoct identifikovat a prošetřit neobvyklé chování uživatelů, které nutně neznamená ohrožení zabezpečení. V takových případech používá Microsoft Defender for Cloud Apps samostatný datový typ označovaný jako chování.
Tento článek popisuje, jak prozkoumat chování Defenderu for Cloud Apps pomocí rozšířeného vyhledávání XDR v programu Microsoft Defender.
Máte zpětnou vazbu ke sdílení? Vyplňte náš formulář pro zpětnou vazbu!
Co je chování?
Chování jsou připojena k kategoriím a technikám útoku MITRE a poskytují hlubší porozumění události, než poskytuje nezpracovaná data událostí. Data chování jsou mezi nezpracovanými daty událostí a výstrahami vygenerovanými událostí.
I když chování může souviset se scénáři zabezpečení, nemusí se nutně jednat o známky škodlivé aktivity nebo incidentu zabezpečení. Každé chování je založeno na jedné nebo více nezpracovaných událostech a poskytuje kontextové přehledy o tom, co se stalo v konkrétní době, pomocí informací, které Defender for Cloud Apps zjistil nebo identifikoval.
Podporované detekce
Chování v současné době podporuje detekci v programu Defender for Cloud Apps s nízkou věrností, která nemusí splňovat standard pro výstrahy, ale jsou stále užitečná při poskytování kontextu během šetření. Mezi aktuálně podporované detekce patří:
| Název upozornění | Název zásady |
|---|---|
| Aktivita z občasné země | Aktivita z občasné země nebo oblasti |
| Neschůdná cestovní aktivita | Neuskutečnitelná cesta |
| Hromadné odstranění | Neobvyklá aktivita odstranění souboru (uživatelem) |
| Hromadné stahování | Neobvyklý soubor ke stažení (uživatelem) |
| Hromadný podíl | Neobvyklá aktivita sdílené složky (uživatelem) |
| Několik aktivit odstranění virtuálních počítačů | Několik aktivit odstranění virtuálních počítačů |
| Několik neúspěšných pokusů o přihlášení | Několik neúspěšných pokusů o přihlášení |
| Více aktivit sdílení sestav Power BI | Více aktivit sdílení sestav Power BI |
| Více aktivit vytváření virtuálních počítačů | Více aktivit vytváření virtuálních počítačů |
| Podezřelá aktivita správy | Neobvyklá aktivita správy (uživatelem) |
| Podezřelá zosobněná aktivita | Neobvyklá zosobněná aktivita (uživatelem) |
| Podezřelé aktivity stahování souborů aplikace OAuth | Podezřelé aktivity stahování souborů aplikace OAuth |
| Podezřelé sdílení sestav Power BI | Podezřelé sdílení sestav Power BI |
| Neobvyklé přidání přihlašovacích údajů do aplikace OAuth | Neobvyklé přidání přihlašovacích údajů do aplikace OAuth |
Přechod Defenderu for Cloud Apps z upozornění na chování
Aby se zlepšila kvalita výstrah generovaných defenderem for Cloud Apps a snížil počet falešně pozitivních výsledků, Defender for Cloud Apps v současné době přechází obsah zabezpečení z výstrah na chování.
Cílem tohoto procesu je odebrat zásady z výstrah, které poskytují detekci nízké kvality, a zároveň vytvářet scénáře zabezpečení, které se zaměřují na předefinované detekce. Defender for Cloud Apps vám paralelně odesílá chování, které vám pomůže při vyšetřování.
Proces přechodu z výstrah na chování zahrnuje následující fáze:
(Dokončeno) Defender for Cloud Apps odesílá chování paralelně výstrahám.
(Aktuálně ve verzi Preview) Zásady, které generují chování, jsou teď ve výchozím nastavení zakázané a neodesílají upozornění.
Přejděte do modelu detekce spravovaného v cloudu a úplně odeberte zásady zaměřené na zákazníky. Tato fáze se plánuje poskytovat vlastní detekce i vybraná upozornění vygenerovaná interními zásadami pro vysoce věrné scénáře zaměřené na zabezpečení.
Přechod na chování zahrnuje také vylepšení podporovaných typů chování a úprav pro výstrahy generované zásadami pro zajištění optimální přesnosti.
Poznámka:
Plánování poslední fáze není definováno. Zákazníci budou upozorněni na všechny změny prostřednictvím oznámení v Centru zpráv.
Další informace najdete na našem blogu TechCommunity.
Použití chování v rozšířeném vyhledávání XDR v programu Microsoft Defender
Přístup k chování na stránce rozšířeného vyhledávání XDR v programu Microsoft Defender a použití chování pomocí dotazování tabulek chování a vytváření vlastních pravidel detekce, která obsahují data o chování.
Schéma chování na stránce Rozšířené proaktivní vyhledávání je podobné schématu upozornění a obsahuje následující tabulky:
| Název tabulky | Popis |
|---|---|
| BehaviorInfo | Zaznamenávání chování pomocí metadat, včetně názvu chování, kategorií útoku MITRE a technik. |
| Vlastnosti chování | Informace o entitách, které byly součástí chování. Může to být více záznamů podle chování. |
Pokud chcete získat úplné informace o chování a jejích entitách, použijte BehaviorId jako primární klíč pro spojení. Příklad:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Ukázkové scénáře
Tato část obsahuje ukázkové scénáře použití dat chování na stránce rozšířeného vyhledávání XDR v programu Microsoft Defender a relevantní ukázky kódu.
Tip
Vytvořte vlastní pravidla detekce pro detekci, kterou chcete dál zobrazovat jako výstrahu, pokud už se upozornění negeneruje ve výchozím nastavení.
Získání upozornění na hromadné stahování
Scénář: Chcete být upozorněni, když hromadný stahování provádí konkrétní uživatel nebo seznam uživatelů, kteří jsou náchylní k ohrožení zabezpečení nebo k internímu riziku.
Uděláte to tak, že vytvoříte vlastní pravidlo detekce na základě následujícího dotazu:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Další informace najdete v tématu Vytváření a správa vlastních pravidel detekce v XDR v programu Microsoft Defender.
Nedávné chování dotazu 100
Scénář: Chcete dotazovat 100 nedávných chování souvisejících s technikou útoku MITRE (T1078).
Spusťte následující dotaz:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Zkoumání chování pro konkrétního uživatele
Scénář: Prozkoumejte všechna chování související s konkrétním uživatelem po pochopení, že došlo k ohrožení zabezpečení uživatele.
Použijte následující dotaz, kde uživatelské jméno je jméno uživatele, kterého chcete prozkoumat:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Zkoumání chování pro konkrétní IP adresu
Scénář: Prozkoumejte všechna chování, ve kterých je jedna entita podezřelou IP adresou.
Použijte následující dotaz, kde podezřelá IP adresa* je IP adresa, kterou chcete prozkoumat.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Další kroky
Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.