Investigación de comportamientos con búsqueda avanzada (versión preliminar)
Aunque algunas detecciones de anomalías se centran principalmente en la detección de escenarios de seguridad problemáticos, otros pueden ayudar a identificar e investigar el comportamiento anómalo del usuario que no indica necesariamente un riesgo. En tales casos, Microsoft Defender for Cloud Apps usa un tipo de datos independiente, denominado comportamientos.
En este artículo se describe cómo investigar comportamientos de Defender for Cloud Apps con Microsoft Defender XDR búsqueda avanzada.
¿Tiene comentarios para compartir? Rellene nuestro formulario de comentarios.
Los comportamientos se asocian a las categorías y técnicas de ataque de MITRE y proporcionan una comprensión más profunda sobre un evento de lo que proporcionan los datos de eventos sin procesar. Los datos de comportamiento se encuentran entre los datos de eventos sin procesar y las alertas generadas por un evento.
Aunque los comportamientos pueden estar relacionados con escenarios de seguridad, no son necesariamente un signo de actividad malintencionada o un incidente de seguridad. Cada comportamiento se basa en uno o varios eventos sin procesar y proporciona información contextual sobre lo que ocurrió en un momento específico, utilizando información que Defender for Cloud Apps como aprendida o identificada.
Actualmente, los comportamientos admiten detecciones Defender for Cloud Apps de baja fidelidad que pueden no cumplir el estándar de alertas, pero que siguen siendo útiles para proporcionar contexto durante una investigación. Las detecciones admitidas actualmente incluyen:
Nombre de alerta | Nombre de la directiva |
---|---|
Actividad desde países o regiones poco frecuentes | Actividad desde un país o región poco frecuentes |
Actividad de viaje imposible | Desplazamiento imposible |
Eliminación masiva | Actividad de eliminación de archivos inusual (por usuario) |
Descarga masiva | Descarga de archivos inusuales (por usuario) |
Uso compartido masivo | Actividad de recurso compartido de archivos inusual (por usuario) |
Actividades de eliminación de varias máquinas virtuales | Actividades de eliminación de varias máquinas virtuales |
Intentos de varios inicios de sesión fallidos | Varios intentos de inicio de sesión erróneos |
Varias actividades de uso compartido de informes de Power BI | Varias actividades de uso compartido de informes de Power BI |
Actividades de creación de varias máquinas virtuales | Actividades de creación de varias máquinas virtuales |
Actividad administrativa sospechosa | Actividad administrativa inusual (por usuario) |
Actividad sospechosa suplantada | Actividad suplantada inusual (por usuario) |
Actividades sospechosas de descarga de archivos de aplicaciones de OAuth | Actividades sospechosas de descarga de archivos de aplicaciones de OAuth |
Uso compartido de informes sospechosos de Power BI | Uso compartido de informes sospechosos de Power BI |
Adición inusual de credenciales a una aplicación de OAuth | Adición inusual de credenciales a una aplicación de OAuth |
Para mejorar la calidad de las alertas generadas por Defender for Cloud Apps y reducir el número de falsos positivos, Defender for Cloud Apps actualmente está realizando la transición del contenido de seguridad de las alertas a los comportamientos.
Este proceso tiene como objetivo quitar las directivas de las alertas que proporcionan detecciones de baja calidad, a la vez que se crean escenarios de seguridad que se centran en las detecciones integradas. En paralelo, Defender for Cloud Apps envía comportamientos para ayudarle en las investigaciones.
El proceso de transición de alertas a comportamientos incluye las fases siguientes:
(Completado) Defender for Cloud Apps envía comportamientos en paralelo a las alertas.
(Actualmente en versión preliminar) Las directivas que generan comportamientos ahora están deshabilitadas de forma predeterminada y no envían alertas.
Vaya a un modelo de detección administrado en la nube y quite completamente las directivas orientadas al cliente. Esta fase está planeada para proporcionar detecciones personalizadas y alertas seleccionadas generadas por directivas internas para escenarios de alta fidelidad y centrados en la seguridad.
La transición a los comportamientos también incluye mejoras para los tipos de comportamiento admitidos y ajustes para las alertas generadas por directivas para una precisión óptima.
Nota
La programación de la última fase no está determinada. Se notificará a los clientes los cambios a través de notificaciones en el Centro de mensajes.
Para obtener más información, consulte nuestro blog de TechCommunity.
Acceda a los comportamientos de la página de búsqueda avanzada de Microsoft Defender XDR y use comportamientos consultando tablas de comportamiento y creando reglas de detección personalizadas que incluyan datos de comportamiento.
El esquema de comportamientos de la página Búsqueda avanzada es similar al esquema de alertas e incluye las tablas siguientes:
Nombre de tabla | Descripción |
---|---|
BehaviorInfo | Registre por comportamiento con sus metadatos, incluidos el título del comportamiento, las categorías de ataque de MITRE y las técnicas. (No disponible para GCC). |
BehaviorEntities | Información sobre las entidades que formaban parte del comportamiento. Puede ser varios registros por comportamiento. (No disponible para GCC). |
Para obtener información completa sobre un comportamiento y sus entidades, use BehaviorId
como clave principal para la combinación. Por ejemplo:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
En esta sección se proporcionan escenarios de ejemplo para usar datos de comportamiento en la página de búsqueda avanzada de Microsoft Defender XDR y ejemplos de código pertinentes.
Sugerencia
Cree reglas de detección personalizadas para cualquier detección que quiera seguir apareciendo como alerta, si ya no se genera una alerta de forma predeterminada.
Escenario: quiere recibir una alerta cuando un usuario específico o una lista de usuarios propensos a verse comprometidos o a riesgo interno realicen una descarga masiva.
Para ello, cree una regla de detección personalizada basada en la consulta siguiente:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Para obtener más información, consulte Creación y administración de reglas de detección personalizadas en Microsoft Defender XDR.
Escenario: quiere consultar 100 comportamientos recientes relacionados con la técnica de ataque MITRE Cuentas válidas (T1078).
Use la siguiente consulta:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Escenario: investigue todos los comportamientos relacionados con un usuario específico después de comprender que el usuario puede haber estado en peligro.
Use la consulta siguiente, donde username es el nombre del usuario que desea investigar:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Escenario: investigue todos los comportamientos en los que una de las entidades es una dirección IP sospechosa.
Use la siguiente consulta, donde ip sospechosa* es la dirección IP que desea investigar.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
- TechCommunity Blog
- Tutorial: Detección de actividad sospechosa de usuario con análisis de comportamiento
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.