Untersuchen von Verhaltensweisen mit erweiterte Bedrohungssuche (Vorschau)
Einige Anomalieerkennungen konzentrieren sich zwar in erster Linie auf die Erkennung problematischer Sicherheitsszenarien, andere können jedoch helfen, anomale Benutzerverhalten zu identifizieren und zu untersuchen, die nicht unbedingt auf eine Kompromittierung hinweisen. In solchen Fällen verwendet Microsoft Defender for Cloud Apps einen separaten Datentyp, der als Verhalten bezeichnet wird.
Dieser Artikel beschreibt, wie Sie Defender for Cloud Apps-Verhaltensweisen mit der erweiterte Bedrohungssuche von Microsoft Defender XDR untersuchen.
Haben Sie Feedback zu teilen? Füllen Sie unserAntwortformular aus!
Was ist ein Verhalten?
Verhaltensweisen werden mit MITRE-Angriffskategorien und -Techniken verknüpft und bieten ein tieferes Verständnis über ein Ereignis, als von den Rohereignisdaten bereitgestellt wird. Verhaltensdaten liegen zwischen rohen Ereignisdaten und den Warnungen, die von einem Ereignis generiert werden.
Obwohl Verhaltensweisen möglicherweise mit Sicherheitsszenarien zusammenhängen, sind sie nicht notwendigerweise ein Zeichen für böswillige Aktivitäten oder Sicherheitsincidents. Jedes Verhalten basiert auf einem oder mehreren unformatierten Ereignissen und bietet kontextbezogene Einblicke in das Geschehen zu einem bestimmten Zeitpunkt mithilfe von Informationen, die Defender for Cloud-Apps gelernt oder identifiziert haben.
Unterstützte Erkennungen
Verhaltensweisen unterstützen derzeit Erkennungen mit niedriger Genauigkeit, Defender for Cloud-Apps, die möglicherweise nicht den Standard für Warnungen erfüllen, aber dennoch nützlich sind, während einer Untersuchung Kontext bereitzustellen. Derzeit unterstützte Erkennungen umfassen:
| Warnungsname | Richtlinienname |
|---|---|
| Aktivität aus selten verwendetem Land | Aktivität aus seltenem Land/Region |
| Unmögliche Ortswechselaktivität | Unmöglicher Ortswechsel |
| Massenlöschung | Ungewöhnliche Dateilöschungsaktivität (durch Benutzer) |
| Massendownload | Ungewöhnlicher Dateidownload (durch Benutzer) |
| Massenfreigabe | Ungewöhnliche Dateifreigabeaktivität (durch Benutzer) |
| Mehrere Aktivitäten zum Löschen von VMs | Mehrere Aktivitäten zum Löschen von VMs |
| Mehrere fehlerhafte Anmeldeversuche | Mehrere fehlgeschlagene Anmeldeversuche |
| Mehrere Aktivitäten zur Freigabe von Power BI-Berichten | Mehrere Aktivitäten zur Freigabe von Power BI-Berichten |
| Mehrere VM-Erstellungsaktivitäten | Mehrere VM-Erstellungsaktivitäten |
| Böswillige Administratoraktivität | Ungewöhnliche Administratoraktivität (durch Benutzer) |
| Verdächtige Identitätsdiebstahlaktivität | Ungewöhnliche Aktivität mit Identitätsdiebstahl (durch Benutzer) |
| Verdächtige Datei-Downloadaktivitäten der OAuth-App | Verdächtige Datei-Downloadaktivitäten der OAuth-App |
| Verdächtige Freigabe von Power BI-Berichten | Verdächtige Freigabe von Power BI-Berichten |
| Ungewöhnliche Hinzufügung von Anmeldeinformationen zu einer OAuth-App | Ungewöhnliche Hinzufügung von Anmeldeinformationen zu einer OAuth-App |
Übergang von Defender for Cloud-Apps von Warnungen zu Verhalten
Um die Qualität von Warnungen zu verbessern, die von Defender for Cloud-Apps generiert werden, und die Anzahl falsch positiver Ergebnisse zu verringern, übergibt Defender for Cloud-Apps derzeit Sicherheitsinhalte von Warnungen zu Verhaltensweisen.
Dieser Prozess zielt darauf ab, Richtlinien aus Warnungen zu entfernen, die qualitätsarme Erkennungen ermöglichen, während weiterhin Sicherheitsszenarien erstellt werden, die sich auf sofort einsatzbereite Erkennungen konzentrieren. Parallel sendet Defender for Cloud-Apps Verhaltensweisen, die Sie bei Ihren Untersuchungen unterstützen.
Der Übergangsprozess von Warnungen zu Verhaltensweisen umfasst die folgenden Phasen:
(Abgeschlossen) Defender for Cloud-Apps sendet Verhalten parallel zu Warnungen.
(Derzeit in der Vorschau) Richtlinien zum Generieren von Verhaltensweisen sind jetzt standardmäßig deaktiviert und senden keine Warnungen.
Wechseln Sie zu einem cloudverwalteten Erkennungsmodell, wobei Kundenrichtlinien vollständig entfernt werden. Diese Phase ist geplant, sowohl benutzerdefinierte Erkennungen als auch ausgewählte Warnungen bereitzustellen, die von internen Richtlinien für Szenarien mit hoher Genauigkeit und Sicherheit generiert werden.
Der Übergang zu Verhalten umfasst auch Verbesserungen für unterstützte Verhaltenstypen und Anpassungen für richtliniengenerierte Warnungen für eine optimale Genauigkeit.
Hinweis
Die Planung der letzten Phase ist unbestimmt. Kunden werden über Änderungen über Benachrichtigungen im Nachrichtencenter benachrichtigt.
Weitere Informationen finden Sie in unserem TechCommunity-Blog.
Verwenden von Verhaltensweisen in der erweiterte Bedrohungssuche in Microsoft Defender XDR
Zugriffsverhalten auf der Microsoft Defender XDR Erweiterte Bedrohungssuche und Verwenden von Verhaltensweisen durch Abfragen von Verhaltenstabellen und Erstellen von benutzerdefinierten Erkennungsregeln, die Verhaltensdaten enthalten.
Das Verhaltensschema auf der Seite Erweiterte Bedrohungssuche ähnelt dem Warnungsschema und enthält die folgenden Tabellen:
| Tabellenname | Beschreibung |
|---|---|
| BehaviorInfo | Aufzeichnung pro Verhalten mit seinen Metadaten, einschließlich Verhaltenstitel, MITRE-Angriffskategorien und Techniken. |
| BehaviorEntities | Informationen zu den Entitäten, die Teil des Verhaltens waren. Kann mehrere Datensätze pro Verhalten sein. |
Um vollständige Informationen zu einem Verhalten und seinen Entitäten zu erhalten, verwenden Sie BehaviorId als Primärschlüssel für die Verknüpfung. Beispiel:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Beispielszenarios
Dieser Abschnitt enthält Beispielszenarien für die Verwendung von Verhaltensdaten auf der Microsoft Defender XDR Erweiterte Bedrohungssuche und relevanten Codebeispielen.
Tipp
Erstellen Sie benutzerdefinierte Erkennungsregeln für alle Erkennungen, die weiterhin als Warnung angezeigt werden sollen, wenn eine Warnung nicht mehr standardmäßig generiert wird.
Abrufen von Warnungen für Massendownloads
Szenario: Sie möchten benachrichtigt werden, wenn ein Massendownload von einem bestimmten Benutzer oder einer Liste von Benutzern durchgeführt wird, die anfällig für kompromittiert oder für interne Risiken sind.
Erstellen Sie dazu eine benutzerdefinierte Erkennungsregel basierend auf der folgenden Abfrage:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Weitere Informationen finden Sie unter Erstellen und Verwalten von benutzerdefinierten Erkennungsregeln in Microsoft Defender XDR.
Aktuelles Verhalten von Abfrage 100
Szenario: Sie möchten 100 aktuelle Verhaltensweisen im Zusammenhang mit der MITRE-Angriffstechnik Valid Accounts (T1078) abfragen.
Verwenden Sie die folgende Abfrage:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Untersuchen von Verhaltensweisen für einen bestimmten Benutzer
Szenario: Untersuchen Sie alle Verhaltensweisen im Zusammenhang mit einem bestimmten Benutzer, nachdem der Benutzer möglicherweise kompromittiert wurde.
Verwenden Sie die folgende Abfrage, wobei Benutzername der Name des Benutzers ist, den Sie untersuchen möchten:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Untersuchen von Verhaltensweisen für eine bestimmte IP-Adresse
Szenario: Untersuchen Sie alle Verhaltensweisen, bei denen eine der Entitäten eine verdächtige IP-Adresse ist.
Verwenden Sie die folgende Abfrage, bei der verdächtige IP* die IP ist, die Sie untersuchen möchten.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Nächste Schritte
Sollten Sie Probleme haben, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.