חקירת אופני פעולה באמצעות ציד מתקדם (תצוגה מקדימה)
בעוד שזיהוי חריגות מסוימים מתמקדים בעיקר בזיהוי תרחישי אבטחה בעייתיים, אחרים יכולים לעזור לזהות ולחקור התנהגות משתמש חריגה שלא בהכרח מצביעה על פשרה. במקרים כאלה, יישומי ענן של Microsoft Defender בסוג נתונים נפרד, הנקרא אופני פעולה.
מאמר זה מתאר כיצד לחקור יישומי ענן של Defender פעולה באמצעות Microsoft Defender XDR מתקדם.
יש לך משוב לשתף? מלא את טופס המשוב שלנו!
מהו אופן פעולה?
אופני פעולה מצורפים לקטגוריות ולטכניקות של התקפה של MITRE, ומספקים הבנה עמוקה יותר של אירוע מאשר נתוני האירוע הגולמיים. נתוני אופן הפעולה קיימים בין נתוני אירוע גולמיים לבין ההתראות שנוצרות על-ידי אירוע.
בעוד שה אופני פעולה עשויים להיות קשורים לתרחישי אבטחה, הם אינם בהכרח סימן לפעילות זדונית או לתקרית אבטחה. כל אופן פעולה מבוסס על אירוע גולמי אחד או יותר ומספק תובנות הקשריות לגבי מה שהתרחש בזמן מסוים, תוך שימוש במידע שאינו יישומי ענן של Defender כפי שהוא נלמד או מזוהה.
זיהויים נתמכים
אופני פעולה תומכים כעת באמינות נמוכה, יישומי ענן של Defender זיהוי אוטומטי, שעשויים שלא לעמוד בתקן עבור התראות, אך הם עדיין שימושיים באספקת הקשר במהלך חקירה. הזיהויים הנתמכים כעת כוללים:
| שם התראה | שם מדיניות | ActionType (ציד) |
|---|---|---|
| פעילות ממדינה נדירה | פעילות ממדינה/אזור נדירים | ActivityFromInfrequentCountry |
| פעילות בלתי אפשרית של נסיעות | נסיעה בלתי אפשרית | בלתי אפשריTravelActivity |
| מחיקת מסה | פעילות חריגה של מחיקת קבצים (לפי משתמש) | MassDelete |
| הורדה במונים | הורדת קובץ חריגה (לפי משתמש) | מסההורד |
| שיתוף במונים | פעילות לא שגרתית של שיתוף קבצים (לפי משתמש) | MassShare |
| פעילויות מחיקה מרובות של מחשבים וירטואליים | פעילויות מחיקה מרובות של מחשבים וירטואליים | MultipleDeleteVmActivities |
| מספר נסיונות כניסה שנכשלו | מספר נסיונות כניסה שנכשלו | MultipleFailedLoginAttempts |
| פעילויות מרובות של שיתוף דוחות של Power BI | פעילויות מרובות של שיתוף דוחות של Power BI | MultiplePowerBiReportSharingActivities |
| פעילויות יצירה מרובות של מחשבים וירטואליים | פעילויות יצירה מרובות של מחשבים וירטואליים | MultipleVmCreationActivities |
| פעילות מנהלית חשודה | פעילות ניהולית חריגה (לפי משתמש) | חשודהניהניהותActivity |
| פעילות חשודה מתחזה | פעילות התחזות לא שגרתית (לפי משתמש) | התחזות חשודהActivity |
| פעילויות הורדת קבצים חשודות של אפליקציית OAuth | פעילויות הורדת קבצים חשודות של אפליקציית OAuth | SuspiciousOauthAppFileDownloadActivities |
| שיתוף דוחות חשוד של Power BI | שיתוף דוחות חשוד של Power BI | חשודPowerBiReportSharing |
| הוספת אישורים לא שגרתית ליישום OAuth | הוספת אישורים לא שגרתית ליישום OAuth | חריגההוספתOfCredentialsToAnOauthApp |
יישומי ענן של Defender' מהתראות לאוהפי פעולה
כדי לשפר את איכות ההתראות שנוצרו על-ידי יישומי ענן של Defender, ולהוות את מספר תוצאות החיוביות המופקות באופן מוטעה, יישומי ענן של Defender כעת מעבר תוכן אבטחה מהתראות לאוהלי פעולה.
תהליך זה שואפת להסיר מדיניות מהתראות שמענות זיהוי באיכות נמוכה, תוך יצירת תרחישי אבטחה שמתמקדים בזיהויים מו לצאת מהתוקף. במקביל, יישומי ענן של Defender שולח אופני פעולה כדי לסייע לך בחקירות שלך.
תהליך המעבר מהתראות לאוהבי פעולה כולל את השלבים הבאים:
(הושלם) יישומי ענן של Defender שולח אופני פעולה במקביל להתראות.
(כעת בתצוגה מקדימה) פריטי מדיניות שיצרו אופני פעולה אינם זמינים כעת כברירת מחדל, ואינם שולחים התראות.
מעבר למודל זיהוי מנוהל בענן והסרה מלאה של מדיניות הפונה ללקוח. שלב זה מתוכנן לספק הן זיהויים מותאמים אישית והן התראות נבחרות שנוצרו על-ידי פריטי מדיניות פנימיים עבור תרחישים בעלי אמינות גבוהה וממוקדת באבטחה.
המעבר לאוהלי פעולה כולל גם שיפורים עבור סוגי אופן פעולה נתמכים והתאמות עבור התראות שנוצרו על-ידי מדיניות לקבלת דיוק מיטבי.
הערה
התזמון של השלב האחרון אינו ידוע. לקוחות יקבלו הודעה על שינויים באמצעות הודעות במרכז ההודעות.
לקבלת מידע נוסף, עיין בבלוג TechCommunity שלנו.
שימוש בהת אופני פעולה Microsoft Defender XDR ציד מתקדם
אופני פעולה של Access בדף 'Microsoft Defender XDR מתקדם', והשתמש אופני פעולה על-ידי ביצוע שאילתות על טבלאות אופן פעולה ויצירת כללי זיהוי מותאמים אישית הכוללים נתוני אופן פעולה.
סכימת אופני הפעולה בדף ציד מתקדם דומה בסכימת ההתראות, וכוללת את הטבלאות הבאות:
| שם טבלה | תיאור |
|---|---|
| BehaviorInfo | הקלט לכל אופן פעולה עם המטה-נתונים שלו, כולל כותרת אופן פעולה, קטגוריות של התקפת MITRE וטכניקות. (לא זמין עבור GCC.) |
| BehaviorEntities | מידע על הישויות שהיו חלק מההתפקוד. יכול להיות רשומות מרובות לכל אופן פעולה. (לא זמין עבור GCC.) |
כדי לקבל מידע מלא על אופן פעולה ועל הישויות שלו, השתמש BehaviorId כמפתח הראשי עבור הצירוף. לדוגמה:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
תרחישים לדוגמה
סעיף זה מספק תרחישים לדוגמה לשימוש נתוני אופן פעולה בדף Microsoft Defender XDR מתקדם, ודוגמאות קוד רלוונטיות.
עצה
צור כללי זיהוי מותאמים אישית עבור כל זיהוי שברצונך להמשיך להופיע כהתראה, אם התראה אינה נוצרת עוד כברירת מחדל.
קבל התראות עבור הורדות במונים
תרחיש: אתה רוצה לקבל התראה כאשר הורדה במונים מתבצעת על-ידי משתמש ספציפי או רשימה של משתמשים העשויים להיחשף לסכנה או לסיכון פנימי.
לשם כך, צור כלל זיהוי מותאם אישית המבוסס על השאילתה הבאה:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
לקבלת מידע נוסף, ראה יצירה וניהול של כללי זיהוי מותאמים אישית Microsoft Defender XDR.
ביצוע שאילתה על אופני פעולה אחרונים של 100
תרחיש: ברצונך לבצע שאילתה על 100 אופני פעולה אחרונים הקשורים לטכניקת ההתקפה של MITRE Valid Accounts (T1078).
השתמש בשאילתה הבאה:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
חקירת אופני פעולה עבור משתמש ספציפי
תרחיש: בדוק את כל אופני הפעולה הקשורים למשתמש מסוים לאחר שהבנת שהמשתמש נחשף לסכנה.
השתמש בשאילתה הבאה, כאשר username הוא שם המשתמש שברצונך לחקור:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
בדוק אופני פעולה עבור כתובת IP ספציפית
תרחיש: בדוק את כל אופני הפעולה שבהם אחת מהישויות היא כתובת IP חשודה.
השתמש בשאילתה הבאה, כאשר IP חשוד* הוא ה- IP שברצונך לחקור.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
השלבים הבאים
אם אתה נתקל בבעיות כלשהן, אנחנו כאן כדי לעזור. כדי לקבל סיוע או תמיכה עבור בעיית המוצר שלך, פתח כרטיס תמיכה..