Lire en anglais

Partager via


Examiner les comportements avec la chasse avancée (préversion)

Bien que certaines détections d’anomalies se concentrent principalement sur la détection de scénarios de sécurité problématiques, d’autres peuvent aider à identifier et à examiner le comportement anormal de l’utilisateur qui n’indique pas nécessairement une compromission. Dans ce cas, Microsoft Defender for Cloud Apps utilise un type de données distinct, appelé comportements.

Cet article explique comment examiner les comportements Defender for Cloud Apps avec Microsoft Defender XDR repérage avancé.

Vous avez des commentaires à partager ? Remplissez notre formulaire de commentaires !

Qu’est-ce qu’un comportement ?

Les comportements sont associés aux catégories et techniques d’attaque MITRE et fournissent une compréhension plus approfondie d’un événement que ce que fournissent les données d’événement brutes. Les données de comportement se trouvent entre les données d’événement brutes et les alertes générées par un événement.

Bien que les comportements puissent être liés à des scénarios de sécurité, ils ne sont pas nécessairement le signe d’une activité malveillante ou d’un incident de sécurité. Chaque comportement est basé sur un ou plusieurs événements bruts et fournit des insights contextuels sur ce qui s’est produit à un moment spécifique, à l’aide d’informations qui Defender for Cloud Apps telles qu’elles ont été apprises ou identifiées.

Détections prises en charge

Les comportements prennent actuellement en charge les détections de faible fidélité, Defender for Cloud Apps, qui peuvent ne pas répondre à la norme pour les alertes, mais qui sont toujours utiles pour fournir un contexte lors d’une investigation. Les détections actuellement prises en charge sont les suivantes :

Nom de l’alerte Nom de la stratégie
Activité à partir d’un pays peu fréquent Activité à partir d’un pays ou d’une région peu fréquents
Activité de voyage impossible Temps de trajet impossible
Suppression en masse Activité inhabituelle de suppression de fichier (par utilisateur)
Téléchargement en masse Téléchargement de fichiers inhabituel (par utilisateur)
Partage de masse Activité de partage de fichiers inhabituelle (par utilisateur)
Plusieurs activités de suppression de machine virtuelle Plusieurs activités de suppression de machine virtuelle
Plusieurs tentatives de connexion infructueuses Plusieurs tentatives de connexion ayant échoué
Activités de partage de rapports Power BI multiples Activités de partage de rapports Power BI multiples
Plusieurs activités de création de machine virtuelle Plusieurs activités de création de machine virtuelle
Activité administrative suspecte Activité administrative inhabituelle (par utilisateur)
Activité d’emprunt d’identité suspecte Activité d’emprunt d’identité inhabituelle (par l’utilisateur)
Activités de téléchargement de fichiers d’application OAuth suspectes Activités de téléchargement de fichiers d’application OAuth suspectes
Partage de rapports Power BI suspects Partage de rapports Power BI suspects
Ajout inhabituel d’informations d’identification à une application OAuth Ajout inhabituel d’informations d’identification à une application OAuth

Defender for Cloud Apps transition des alertes aux comportements

Pour améliorer la qualité des alertes générées par Defender for Cloud Apps et réduire le nombre de faux positifs, Defender for Cloud Apps effectue actuellement la transition du contenu de sécurité des alertes aux comportements.

Ce processus vise à supprimer les stratégies des alertes qui fournissent des détections de faible qualité, tout en créant des scénarios de sécurité qui se concentrent sur des détections prêtes à l’emploi. En parallèle, Defender for Cloud Apps envoie des comportements pour vous aider dans vos investigations.

Le processus de transition des alertes aux comportements comprend les phases suivantes :

  1. (Terminé) Defender for Cloud Apps envoie des comportements en parallèle aux alertes.

  2. (Actuellement en préversion) Les stratégies qui génèrent des comportements sont désormais désactivées par défaut et n’envoient pas d’alertes.

  3. Passez à un modèle de détection géré par le cloud, en supprimant complètement les stratégies destinées aux clients. Cette phase est prévue pour fournir des détections personnalisées et des alertes sélectionnées générées par des stratégies internes pour des scénarios de haute fidélité axés sur la sécurité.

La transition vers les comportements inclut également des améliorations pour les types de comportements pris en charge et des ajustements pour les alertes générées par la stratégie pour une précision optimale.

Notes

La planification de la dernière phase n’est pas déterminée. Les clients seront avertis de toute modification par le biais de notifications dans le Centre de messages.

Pour plus d’informations, consultez notre blog TechCommunity.

Utilisation de comportements dans Microsoft Defender XDR repérage avancé

Accédez aux comportements dans la page Microsoft Defender XDR Repérage avancé et utilisez les comportements en interrogeant des tables de comportement et en créant des règles de détection personnalisées qui incluent des données de comportement.

Le schéma des comportements dans la page Repérage avancé est similaire au schéma des alertes et inclut les tableaux suivants :

Nom du tableau Description
BehaviorInfo Enregistrement par comportement avec ses métadonnées, y compris le titre du comportement, les catégories d’attaque MITRE et les techniques. (Non disponible pour GCC.)
BehaviorEntities Informations sur les entités qui faisaient partie du comportement. Il peut s’agir de plusieurs enregistrements par comportement. (Non disponible pour GCC.)

Pour obtenir des informations complètes sur un comportement et ses entités, utilisez BehaviorId comme clé primaire pour la jointure. Par exemple :

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

Exemples de scénarios

Cette section fournit des exemples de scénarios d’utilisation des données de comportement dans la page Microsoft Defender XDR Repérage avancé, ainsi que des exemples de code pertinents.

Conseil

Créez des règles de détection personnalisées pour toute détection que vous souhaitez continuer à afficher en tant qu’alerte, si une alerte n’est plus générée par défaut.

Obtenir des alertes pour les téléchargements en masse

Scénario : vous souhaitez être alerté lorsqu’un téléchargement en masse est effectué par un utilisateur spécifique ou une liste d’utilisateurs susceptibles d’être compromis ou à risque interne.

Pour ce faire, créez une règle de détection personnalisée basée sur la requête suivante :

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

Pour plus d’informations, consultez Créer et gérer des règles de détection personnalisées dans Microsoft Defender XDR.

Interroger 100 comportements récents

Scénario : Vous souhaitez interroger 100 comportements récents liés à la technique d’attaque MITRE Comptes valides (T1078).

Utilisez la requête suivante :

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

Examiner les comportements d’un utilisateur spécifique

Scénario : Examinez tous les comportements liés à un utilisateur spécifique après avoir compris que l’utilisateur a peut-être été compromis.

Utilisez la requête suivante, où username est le nom de l’utilisateur que vous souhaitez examiner :

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

Examiner les comportements d’une adresse IP spécifique

Scénario : examinez tous les comportements où l’une des entités est une adresse IP suspecte.

Utilisez la requête suivante, où ip suspecte* est l’adresse IP que vous souhaitez examiner.

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.