Zkoumání chování pomocí rozšířeného proaktivního vyhledávání (Preview)
Zatímco některé detekce anomálií se primárně zaměřují na detekci problematických scénářů zabezpečení, jiné vám můžou pomoct s identifikací a zkoumáním neobvyklého chování uživatelů, které nemusí nutně značit ohrožení zabezpečení. V takových případech Microsoft Defender for Cloud Apps používá samostatný datový typ označovaný jako chování.
Tento článek popisuje, jak prozkoumat chování Defender for Cloud Apps pomocí Microsoft Defender XDR rozšířeného proaktivního vyhledávání.
Máte zpětnou vazbu ke sdílení? Vyplňte náš formulář pro zpětnou vazbu!
Chování je připojeno ke kategoriím a technikám útoků MITRE a poskytuje hlubší porozumění události, než poskytuje nezpracovaná data událostí. Data o chování se nachází mezi nezpracovanými daty událostí a výstrahami vygenerovanými událostí.
I když chování může souviset se scénáři zabezpečení, nemusí být nutně příznakem škodlivé aktivity nebo incidentu zabezpečení. Každé chování je založené na jedné nebo několika nezpracovaných událostech a poskytuje kontextové přehledy o tom, co se stalo v určitém čase, a to s využitím informací, které Defender for Cloud Apps tak, jak se naučili nebo identifikovali.
Chování v současné době podporuje detekci Defender for Cloud Apps nízké přesnosti, která nemusí splňovat standard pro výstrahy, ale jsou stále užitečná při poskytování kontextu během vyšetřování. Mezi aktuálně podporované detekce patří:
Název upozornění | Název zásady |
---|---|
Aktivita z občasné země | Aktivita z občasné země nebo oblasti |
Nesplnitelná cestovní aktivita | Nemožné cestování |
Hromadné odstranění | Neobvyklá aktivita odstraňování souborů (podle uživatele) |
Hromadné stažení | Neobvyklé stahování souborů (podle uživatele) |
Hromadný podíl | Neobvyklá aktivita sdílené složky (podle uživatele) |
Více aktivit odstranění virtuálních počítačů | Více aktivit odstranění virtuálních počítačů |
Několik neúspěšných pokusů o přihlášení | Několik neúspěšných pokusů o přihlášení |
Více aktivit sdílení sestav Power BI | Více aktivit sdílení sestav Power BI |
Více aktivit vytváření virtuálních počítačů | Více aktivit vytváření virtuálních počítačů |
Podezřelá aktivita správy | Neobvyklá aktivita správy (podle uživatele) |
Podezřelá zosobněná aktivita | Neobvyklá zosobněná aktivita (podle uživatele) |
Podezřelé aktivity stahování souborů aplikace OAuth | Podezřelé aktivity stahování souborů aplikace OAuth |
Podezřelé sdílení sestav Power BI | Podezřelé sdílení sestav Power BI |
Neobvyklé přidání přihlašovacích údajů do aplikace OAuth | Neobvyklé přidání přihlašovacích údajů do aplikace OAuth |
Kvůli zvýšení kvality výstrah generovaných Defender for Cloud Apps a snížení počtu falešně pozitivních výsledků v současné době Defender for Cloud Apps přecházející obsah zabezpečení z výstrah na chování.
Cílem tohoto procesu je odebrat zásady z výstrah, které poskytují detekci nízké kvality, a zároveň vytvářet scénáře zabezpečení, které se zaměřují na předefinované detekce. Paralelně Defender for Cloud Apps odesílá chování, které vám pomůže při vyšetřování.
Proces přechodu z upozornění na chování zahrnuje následující fáze:
(Dokončeno) Defender for Cloud Apps odesílá chování paralelně s výstrahami.
(Aktuálně ve verzi Preview) Zásady, které generují chování, jsou teď ve výchozím nastavení zakázané a neodesílají upozornění.
Přejděte na model detekce spravovaného v cloudu a úplně odeberte zásady pro zákazníky. V této fázi se plánuje poskytovat jak vlastní detekce, tak vybraná upozornění vygenerovaná interními zásadami pro vysoce věrné scénáře zaměřené na zabezpečení.
Přechod na chování zahrnuje také vylepšení podporovaných typů chování a úpravy upozornění generovaných zásadami pro zajištění optimální přesnosti.
Poznámka
Plánování poslední fáze je neurčené. Zákazníci budou na všechny změny upozorněni prostřednictvím oznámení v Centru zpráv.
Další informace najdete na našem blogu TechCommunity.
Přístup k chováním na stránce Microsoft Defender XDR rozšířeného proaktivního vyhledávání a používání chování dotazováním tabulek chování a vytvářením vlastních pravidel detekce, která obsahují data o chování.
Schéma chování na stránce Rozšířené proaktivní vyhledávání je podobné schématu upozornění a obsahuje následující tabulky:
Název tabulky | Popis |
---|---|
Informace o chování | Zaznamenejte jednotlivé chování pomocí jeho metadat, včetně názvu chování, kategorií útoků MITRE a technik. (Není k dispozici pro GCC.) |
BehaviorEntity | Informace o entitách, které byly součástí chování. Na chování může být více záznamů. (Není k dispozici pro GCC.) |
Pokud chcete získat úplné informace o chování a jeho entitách, použijte BehaviorId
jako primární klíč pro spojení. Příklady:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Tato část obsahuje ukázkové scénáře pro použití dat o chování na stránce Microsoft Defender XDR rozšířeného proaktivního vyhledávání a relevantní ukázky kódu.
Tip
Vytvořte vlastní pravidla detekce pro každou detekci, která se má dál zobrazovat jako výstraha, pokud už se výstraha ve výchozím nastavení negeneruje.
Scénář: Chcete být upozorněni na hromadné stahování konkrétním uživatelem nebo seznamem uživatelů, kteří jsou náchylní k ohrožení zabezpečení nebo k internímu riziku.
Uděláte to tak, že vytvoříte vlastní pravidlo detekce založené na následujícím dotazu:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Další informace najdete v tématu Vytvoření a správa vlastních pravidel zjišťování v Microsoft Defender XDR.
Scénář: Chcete se dotazovat na 100 nedávných chování souvisejících s technikou útoku MITRE Platné účty (T1078).
Použijte následující dotaz:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Scénář: Prozkoumejte všechna chování související s konkrétním uživatelem po zjištění, že uživatel mohl být ohrožen.
Použijte následující dotaz, kde uživatelské jméno je jméno uživatele, kterého chcete prozkoumat:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Scénář: Prozkoumejte všechna chování, kdy jedna z entit představuje podezřelou IP adresu.
Použijte následující dotaz, kde podezřelá IP adresa* je IP adresa, kterou chcete prozkoumat.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.