Auf Englisch lesen

Freigeben über


Untersuchen von Verhaltensweisen mit der erweiterten Suche (Vorschau)

Während sich einige Anomalieerkennungen hauptsächlich auf die Erkennung problematischer Sicherheitsszenarien konzentrieren, können andere dazu beitragen, anormales Benutzerverhalten zu identifizieren und zu untersuchen, das nicht unbedingt auf eine Gefährdung hinweist. In solchen Fällen verwendet Microsoft Defender for Cloud Apps einen separaten Datentyp, der als Verhalten bezeichnet wird.

In diesem Artikel wird beschrieben, wie Sie Defender for Cloud Apps Verhalten mit Microsoft Defender XDR erweiterten Hunting untersuchen.

Möchten Sie Feedback teilen? Füllen Sie unser Feedbackformular aus!

Was ist ein Verhalten?

Verhaltensweisen sind an MITRE-Angriffskategorien und -techniken angefügt und bieten ein tieferes Verständnis eines Ereignisses als die rohen Ereignisdaten. Verhaltensdaten liegen zwischen unformatierten Ereignisdaten und den von einem Ereignis generierten Warnungen.

Obwohl Verhaltensweisen mit Sicherheitsszenarien zusammenhängen, sind sie nicht notwendigerweise ein Zeichen für schädliche Aktivitäten oder einen Sicherheitsvorfall. Jedes Verhalten basiert auf einem oder mehreren Rohereignissen und bietet kontextbezogene Einblicke in das, was zu einem bestimmten Zeitpunkt aufgetreten ist, indem Informationen verwendet werden, die als gelernt oder identifiziert Defender for Cloud Apps.

Unterstützte Erkennungen

Verhaltensweisen unterstützen derzeit Erkennungen mit niedriger Genauigkeit Defender for Cloud Apps, die möglicherweise nicht dem Standard für Warnungen entsprechen, aber dennoch nützlich sind, um während einer Untersuchung Kontext bereitzustellen. Zu den derzeit unterstützten Erkennungen gehören:

Warnungsname Richtlinienname
Aktivität aus seltenen Ländern Aktivität aus seltenen Ländern/Regionen
Unmögliche Reiseaktivität Unmöglicher Ortswechsel
Massenlöschung Ungewöhnliche Dateilöschaktivität (nach Benutzer)
Massendownload Ungewöhnlicher Dateidownload (nach Benutzer)
Massenfreigabe Ungewöhnliche Dateifreigabeaktivität (nach Benutzer)
Mehrere VM-Löschaktivitäten Mehrere VM-Löschaktivitäten
Mehrere fehlgeschlagene Anmeldeversuche Mehrere fehlgeschlagene Anmeldeversuche
Freigabeaktivitäten für mehrere Power BI-Berichte Freigabeaktivitäten für mehrere Power BI-Berichte
Mehrere VM-Erstellungsaktivitäten Mehrere VM-Erstellungsaktivitäten
Verdächtige administrative Aktivität Ungewöhnliche administrative Aktivität (nach Benutzer)
Verdächtige Identitätswechselaktivität Ungewöhnliche Identitätswechselaktivität (nach Benutzer)
Verdächtige Herunterladenaktivitäten von OAuth-App-Dateien Verdächtige Herunterladenaktivitäten von OAuth-App-Dateien
Freigabe verdächtiger Power BI-Berichte Freigabe verdächtiger Power BI-Berichte
Ungewöhnliches Hinzufügen von Anmeldeinformationen zu einer OAuth-App Ungewöhnliches Hinzufügen von Anmeldeinformationen zu einer OAuth-App

Defender for Cloud Apps übergang von Warnungen zu Verhalten

Um die Qualität der von Defender for Cloud Apps generierten Warnungen zu verbessern und die Anzahl falsch positiver Ergebnisse zu verringern, wandelt Defender for Cloud Apps derzeit Sicherheitsinhalte von Warnungen in Verhaltensweisen um.

Dieser Prozess zielt darauf ab, Richtlinien aus Warnungen zu entfernen, die Erkennungen mit niedriger Qualität ermöglichen, während weiterhin Sicherheitsszenarien erstellt werden, die sich auf sofort einsatzbereite Erkennungen konzentrieren. Parallel sendet Defender for Cloud Apps Verhaltensweisen, die Sie bei Ihren Untersuchungen unterstützen.

Der Übergangsprozess von Warnungen zu Verhalten umfasst die folgenden Phasen:

  1. (Vollständig) Defender for Cloud Apps sendet Verhaltensweisen parallel zu Warnungen.

  2. (Derzeit in der Vorschau) Richtlinien, die Verhaltensweisen generieren, sind jetzt standardmäßig deaktiviert und senden keine Warnungen.

  3. Wechseln Sie zu einem in der Cloud verwalteten Erkennungsmodell, und entfernen Sie kundenorientierte Richtlinien vollständig. Diese Phase soll sowohl benutzerdefinierte Erkennungen als auch ausgewählte Warnungen bereitstellen, die von internen Richtlinien für szenarien mit hoher Genauigkeit und Sicherheit generiert werden.

Der Übergang zu Verhaltensweisen umfasst auch Verbesserungen für unterstützte Verhaltenstypen und Anpassungen für richtliniengenerierte Warnungen, um eine optimale Genauigkeit zu erzielen.

Hinweis

Die Planung der letzten Phase ist unbestimmt. Kunden werden über alle Änderungen über Benachrichtigungen im Nachrichtencenter benachrichtigt.

Weitere Informationen finden Sie in unserem TechCommunity-Blog.

Verwenden von Verhaltensweisen in Microsoft Defender XDR erweiterten Suche

Greifen Sie auf die Microsoft Defender XDR Seite Erweiterte Suche zu, und verwenden Sie Verhaltensweisen, indem Sie Verhaltenstabellen abfragen und benutzerdefinierte Erkennungsregeln erstellen, die Verhaltensdaten enthalten.

Das Verhaltensschema auf der Seite Erweiterte Suche ähnelt dem Warnungsschema und enthält die folgenden Tabellen:

Tabellenname Beschreibung
BehaviorInfo Zeichnen Sie pro Verhalten mit seinen Metadaten auf, einschließlich Verhaltenstitel, MITRE-Angriffskategorien und Techniken. (Für GCC nicht verfügbar.)
BehaviorEntities Informationen zu den Entitäten, die Teil des Verhaltens waren. Dies kann mehrere Datensätze pro Verhalten sein. (Für GCC nicht verfügbar.)

Um vollständige Informationen zu einem Verhalten und seinen Entitäten zu erhalten, verwenden Sie BehaviorId als Primärschlüssel für den Join. Zum Beispiel:

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

Beispielszenarien

Dieser Abschnitt enthält Beispielszenarien für die Verwendung von Verhaltensdaten auf der Seite Microsoft Defender XDR Erweiterte Suche sowie relevante Codebeispiele.

Tipp

Erstellen Sie benutzerdefinierte Erkennungsregeln für alle Erkennungen, die weiterhin als Warnung angezeigt werden sollen, wenn standardmäßig keine Warnung mehr generiert wird.

Abrufen von Warnungen für Massendownloads

Szenario: Sie möchten benachrichtigt werden, wenn ein Massendownload von einem bestimmten Benutzer oder einer Liste von Benutzern durchgeführt wird, die anfällig für Kompromittierung oder für interne Risiken sind.

Erstellen Sie dazu eine benutzerdefinierte Erkennungsregel basierend auf der folgenden Abfrage:

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

Weitere Informationen finden Sie unter Erstellen und Verwalten von benutzerdefinierten Erkennungsregeln in Microsoft Defender XDR.

Aktuelles Verhalten von Abfrage 100

Szenario: Sie möchten 100 aktuelle Verhaltensweisen im Zusammenhang mit der MITRE-Angriffstechnik Gültige Konten (T1078) abfragen.

Verwenden Sie die folgende Abfrage:

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

Untersuchen von Verhaltensweisen für einen bestimmten Benutzer

Szenario: Untersuchen Sie alle Verhaltensweisen im Zusammenhang mit einem bestimmten Benutzer, nachdem Sie wissen, dass der Benutzer möglicherweise kompromittiert wurde.

Verwenden Sie die folgende Abfrage, wobei benutzername der Name des Benutzers ist, den Sie untersuchen möchten:

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

Untersuchen von Verhaltensweisen für eine bestimmte IP-Adresse

Szenario: Untersuchen Sie alle Verhaltensweisen, bei denen eine der Entitäten eine verdächtige IP-Adresse ist.

Verwenden Sie die folgende Abfrage, wobei verdächtige IP*-Adresse die IP-Adresse ist, die Sie untersuchen möchten.

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.