Untersuchen von Verhaltensweisen mit der erweiterten Suche (Vorschau)
Während sich einige Anomalieerkennungen hauptsächlich auf die Erkennung problematischer Sicherheitsszenarien konzentrieren, können andere dazu beitragen, anormales Benutzerverhalten zu identifizieren und zu untersuchen, das nicht unbedingt auf eine Gefährdung hinweist. In solchen Fällen verwendet Microsoft Defender for Cloud Apps einen separaten Datentyp, der als Verhalten bezeichnet wird.
In diesem Artikel wird beschrieben, wie Sie Defender for Cloud Apps Verhalten mit Microsoft Defender XDR erweiterten Hunting untersuchen.
Möchten Sie Feedback teilen? Füllen Sie unser Feedbackformular aus!
Verhaltensweisen sind an MITRE-Angriffskategorien und -techniken angefügt und bieten ein tieferes Verständnis eines Ereignisses als die rohen Ereignisdaten. Verhaltensdaten liegen zwischen unformatierten Ereignisdaten und den von einem Ereignis generierten Warnungen.
Obwohl Verhaltensweisen mit Sicherheitsszenarien zusammenhängen, sind sie nicht notwendigerweise ein Zeichen für schädliche Aktivitäten oder einen Sicherheitsvorfall. Jedes Verhalten basiert auf einem oder mehreren Rohereignissen und bietet kontextbezogene Einblicke in das, was zu einem bestimmten Zeitpunkt aufgetreten ist, indem Informationen verwendet werden, die als gelernt oder identifiziert Defender for Cloud Apps.
Verhaltensweisen unterstützen derzeit Erkennungen mit niedriger Genauigkeit Defender for Cloud Apps, die möglicherweise nicht dem Standard für Warnungen entsprechen, aber dennoch nützlich sind, um während einer Untersuchung Kontext bereitzustellen. Zu den derzeit unterstützten Erkennungen gehören:
Warnungsname | Richtlinienname |
---|---|
Aktivität aus seltenen Ländern | Aktivität aus seltenen Ländern/Regionen |
Unmögliche Reiseaktivität | Unmöglicher Ortswechsel |
Massenlöschung | Ungewöhnliche Dateilöschaktivität (nach Benutzer) |
Massendownload | Ungewöhnlicher Dateidownload (nach Benutzer) |
Massenfreigabe | Ungewöhnliche Dateifreigabeaktivität (nach Benutzer) |
Mehrere VM-Löschaktivitäten | Mehrere VM-Löschaktivitäten |
Mehrere fehlgeschlagene Anmeldeversuche | Mehrere fehlgeschlagene Anmeldeversuche |
Freigabeaktivitäten für mehrere Power BI-Berichte | Freigabeaktivitäten für mehrere Power BI-Berichte |
Mehrere VM-Erstellungsaktivitäten | Mehrere VM-Erstellungsaktivitäten |
Verdächtige administrative Aktivität | Ungewöhnliche administrative Aktivität (nach Benutzer) |
Verdächtige Identitätswechselaktivität | Ungewöhnliche Identitätswechselaktivität (nach Benutzer) |
Verdächtige Herunterladenaktivitäten von OAuth-App-Dateien | Verdächtige Herunterladenaktivitäten von OAuth-App-Dateien |
Freigabe verdächtiger Power BI-Berichte | Freigabe verdächtiger Power BI-Berichte |
Ungewöhnliches Hinzufügen von Anmeldeinformationen zu einer OAuth-App | Ungewöhnliches Hinzufügen von Anmeldeinformationen zu einer OAuth-App |
Um die Qualität der von Defender for Cloud Apps generierten Warnungen zu verbessern und die Anzahl falsch positiver Ergebnisse zu verringern, wandelt Defender for Cloud Apps derzeit Sicherheitsinhalte von Warnungen in Verhaltensweisen um.
Dieser Prozess zielt darauf ab, Richtlinien aus Warnungen zu entfernen, die Erkennungen mit niedriger Qualität ermöglichen, während weiterhin Sicherheitsszenarien erstellt werden, die sich auf sofort einsatzbereite Erkennungen konzentrieren. Parallel sendet Defender for Cloud Apps Verhaltensweisen, die Sie bei Ihren Untersuchungen unterstützen.
Der Übergangsprozess von Warnungen zu Verhalten umfasst die folgenden Phasen:
(Vollständig) Defender for Cloud Apps sendet Verhaltensweisen parallel zu Warnungen.
(Derzeit in der Vorschau) Richtlinien, die Verhaltensweisen generieren, sind jetzt standardmäßig deaktiviert und senden keine Warnungen.
Wechseln Sie zu einem in der Cloud verwalteten Erkennungsmodell, und entfernen Sie kundenorientierte Richtlinien vollständig. Diese Phase soll sowohl benutzerdefinierte Erkennungen als auch ausgewählte Warnungen bereitstellen, die von internen Richtlinien für szenarien mit hoher Genauigkeit und Sicherheit generiert werden.
Der Übergang zu Verhaltensweisen umfasst auch Verbesserungen für unterstützte Verhaltenstypen und Anpassungen für richtliniengenerierte Warnungen, um eine optimale Genauigkeit zu erzielen.
Hinweis
Die Planung der letzten Phase ist unbestimmt. Kunden werden über alle Änderungen über Benachrichtigungen im Nachrichtencenter benachrichtigt.
Weitere Informationen finden Sie in unserem TechCommunity-Blog.
Greifen Sie auf die Microsoft Defender XDR Seite Erweiterte Suche zu, und verwenden Sie Verhaltensweisen, indem Sie Verhaltenstabellen abfragen und benutzerdefinierte Erkennungsregeln erstellen, die Verhaltensdaten enthalten.
Das Verhaltensschema auf der Seite Erweiterte Suche ähnelt dem Warnungsschema und enthält die folgenden Tabellen:
Tabellenname | Beschreibung |
---|---|
BehaviorInfo | Zeichnen Sie pro Verhalten mit seinen Metadaten auf, einschließlich Verhaltenstitel, MITRE-Angriffskategorien und Techniken. (Für GCC nicht verfügbar.) |
BehaviorEntities | Informationen zu den Entitäten, die Teil des Verhaltens waren. Dies kann mehrere Datensätze pro Verhalten sein. (Für GCC nicht verfügbar.) |
Um vollständige Informationen zu einem Verhalten und seinen Entitäten zu erhalten, verwenden Sie BehaviorId
als Primärschlüssel für den Join. Zum Beispiel:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Dieser Abschnitt enthält Beispielszenarien für die Verwendung von Verhaltensdaten auf der Seite Microsoft Defender XDR Erweiterte Suche sowie relevante Codebeispiele.
Tipp
Erstellen Sie benutzerdefinierte Erkennungsregeln für alle Erkennungen, die weiterhin als Warnung angezeigt werden sollen, wenn standardmäßig keine Warnung mehr generiert wird.
Szenario: Sie möchten benachrichtigt werden, wenn ein Massendownload von einem bestimmten Benutzer oder einer Liste von Benutzern durchgeführt wird, die anfällig für Kompromittierung oder für interne Risiken sind.
Erstellen Sie dazu eine benutzerdefinierte Erkennungsregel basierend auf der folgenden Abfrage:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Weitere Informationen finden Sie unter Erstellen und Verwalten von benutzerdefinierten Erkennungsregeln in Microsoft Defender XDR.
Szenario: Sie möchten 100 aktuelle Verhaltensweisen im Zusammenhang mit der MITRE-Angriffstechnik Gültige Konten (T1078) abfragen.
Verwenden Sie die folgende Abfrage:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Szenario: Untersuchen Sie alle Verhaltensweisen im Zusammenhang mit einem bestimmten Benutzer, nachdem Sie wissen, dass der Benutzer möglicherweise kompromittiert wurde.
Verwenden Sie die folgende Abfrage, wobei benutzername der Name des Benutzers ist, den Sie untersuchen möchten:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Szenario: Untersuchen Sie alle Verhaltensweisen, bei denen eine der Entitäten eine verdächtige IP-Adresse ist.
Verwenden Sie die folgende Abfrage, wobei verdächtige IP*-Adresse die IP-Adresse ist, die Sie untersuchen möchten.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.