Examiner les comportements avec le repérage avancé (aperçu)
Bien que certaines détections d’anomalies se concentrent principalement sur la détection de scénarios de sécurité problématiques, d’autres peuvent aider à identifier et à examiner le comportement anormal de l’utilisateur qui n’indique pas nécessairement une compromission. Dans ces circonstances, Microsoft Defender for Cloud Apps utilise un type de données distinct, appelé comportements.
Cet article décrit comment examiner les comportements d’application de Defender for Cloud Apps avec le repérage avancé de Microsoft Defender XDR.
Avez-vous un retour d’expérience à partager ? Remplissez le formulaire de retour d’expérience !
Qu’est-ce qu’un comportement ?
Les comportements sont attachés aux catégories et techniques d’attaque MITRE et fournissent une compréhension plus approfondie d’un événement que celui fourni par les données d’événement brutes. Les données de comportement se trouvent entre les données d’événement brutes et les alertes générées par un événement.
Bien que les comportements soient liés aux scénarios de sécurité, ils ne sont pas nécessairement un signe d’activité malveillante ou d’incident de sécurité. Chaque comportement est basé sur un ou plusieurs événements bruts et fournit des insights contextuels sur ce qui s’est produit à un moment spécifique, à l’aide d’informations qui Defender for Cloud Apps comme appris ou identifié.
Détections prises en charge
Les comportements prennent actuellement en charge les détections de faible fidélité, Defender for Cloud Apps, qui peuvent ne pas répondre à la norme des alertes, mais qui sont toujours utiles pour fournir un contexte pendant un examen. Les détections actuellement prises en charge sont les suivantes :
| Nom de l’alerte | Nom de stratégie |
|---|---|
| Activité à partir de pays peu fréquents | Activité à partir de pays/régions peu fréquents |
| Activité de type Voyage impossible | Voyage impossible |
| Suppression de masse | Activités inhabituelles de suppression de fichiers (par l’utilisateur) |
| Téléchargement de masse | Les téléchargement de fichiers inhabituel (par l’utilisateur) |
| Partage de masse | Activité inhabituelle de partage de fichiers (par l’utilisateur) |
| Plusieurs activités de suppression de machine virtuelle | Plusieurs activités de suppression de machine virtuelle |
| Plusieurs tentatives de connexion infructueuses | Plusieurs tentatives de connexion ayant échoué |
| Activités de partage de rapports Power BI multiples | Activités de partage de rapports Power BI multiples |
| Activités de création de machines virtuelles multiples | Activités de création de machines virtuelles multiples |
| Activité administrative suspecte | Activité administrative inhabituelle (par l’utilisateur) |
| Activité suspecte emprunt d’identité | Activité emprunt d’identité inhabituelle (par l’utilisateur) |
| Activités de téléchargement suspectes du fichier d’application OAuth | Activités de téléchargement suspectes du fichier d’application OAuth |
| Partage de rapport Power BI suspect | Partage de rapport Power BI suspect |
| Ajout inhabituel des identifiants à une application OAuth | Ajout inhabituel des identifiants à une application OAuth |
Transition de Defender for Cloud Apps des alertes aux comportements
Pour améliorer la qualité des alertes générées par Defender pour le cloud Apps et réduire le nombre de faux positifs, Defender pour le cloud Apps passe actuellement du contenu alertes aux comportements.
Ce processus vise à supprimer des stratégies d’alertes qui offrent des détections de faible qualité, tout en créant des scénarios de sécurité qui se concentrent sur les détections prêtes à l’emploi. En parallèle, Defender for Cloud Apps envoie des comportements pour vous aider dans vos enquêtes.
Le processus de transition des alertes aux comportements inclut les phases suivantes :
(Terminé) Defender for Cloud Apps envoie des comportements en parallèle aux alertes.
(Actuellement en aperçu) Les stratégies qui génèrent des comportements sont désormais désactivées par défaut et n’envoient pas d’alertes.
Passez à un modèle de détection géré dans le cloud, en supprimant complètement les stratégies destinées aux clients. Cette phase est prévue pour fournir à la fois des détections personnalisées et des alertes sélectionnées générées par des stratégies internes pour des scénarios à haute fidélité et axés sur la sécurité.
La transition vers les comportements inclut également des améliorations pour les types de comportements pris en charge et les ajustements pour les alertes générées par la stratégie pour une exactitude optimale.
Remarque
La planification de la dernière phase n’est pas déterminée. Les clients seront avertis des modifications par le biais de notifications dans le Centre de messages.
Pour plus d’informations, consultez notre blog TechCommunity.
Utilisation de comportements dans le repérage avancé Microsoft Defender XDR
Les comportements d’accès dans la page de Repérage avancé Microsoft Defender XDR et utilisent des comportements en interrogeant des tables de comportement et en créant des règles de détection personnalisées qui incluent des données de comportement.
Le schéma des comportements dans la page de Repérage avancé est similaire au schéma des alertes et inclut les tables suivantes :
| Nom de table | Description |
|---|---|
| BehaviorInfo | Enregistrer par comportement avec ses métadonnées, y compris le titre du comportement, les catégories d’attaque MITRE et les techniques. |
| ComportementEntities | Informations sur les entités qui faisaient partie du comportement. Peut être plusieurs enregistrements par comportement. |
Pour obtenir des informations complètes sur un comportement et ses entités, utilisez BehaviorId en tant que clé primaire pour la jointure. Par exemple :
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Exemples de scénarios
Cette section fournit des exemples de scénarios permettant d’utiliser des données de comportement dans la page de Repérage avancé Microsoft Defender XDR et des exemples de code pertinents.
Conseil
Créez des règles de détection personnalisées pour toute détection que vous souhaitez continuer à afficher en tant qu’alerte, si une alerte n’est plus générée par défaut.
Obtenir des alertes pour les téléchargements en masse
Scénario : Vous souhaitez être averti lorsqu’un téléchargement en masse est effectué par un utilisateur spécifique ou une liste d’utilisateurs susceptibles d’être compromis ou à risque interne.
Pour ce faire, créez une règle de détection personnalisée en fonction de la requête suivante :
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Pour plus d’informations, consultez Créer et gérer des règles de détection personnalisées dans Microsoft Defender XDR.
Effectuer une requête sur 100 comportements récents
Scénario : Vous souhaitez effectuer une requête 100 comportements récents liés à la technique d’attaque MITRE Valid Accounts (T1078).
Utilisez la requête suivante :
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Examiner les comportements d’un utilisateur spécifique
Scénario : Examiner tous les comportements liés à un utilisateur spécifique après avoir compris que l’utilisateur a peut-être été compromis.
Utilisez la requête suivante, où nom d’utilisateur est le nom de l’utilisateur que vous souhaitez examiner :
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Examiner les comportements d’une adresse IP spécifique
Scénario : Examinez tous les comportements où l’une des entités est une adresse IP suspecte.
Utilisez la requête suivante, où IP suspecte* est l’adresse IP que vous souhaitez examiner.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Étapes suivantes
- Blog TechCommunity
- Tutoriel : Détecter des activités suspectes des utilisateurs avec des analyses comportementales
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.