Viselkedés vizsgálata speciális veszélyforrás-kereséssel (előzetes verzió)
Míg egyes anomáliadetektálások elsősorban a problémás biztonsági forgatókönyvek észlelésére összpontosítanak, mások segíthetnek azonosítani és kivizsgálni azokat a rendellenes felhasználói viselkedéseket, amelyek nem feltétlenül jelentenek biztonsági sérülést. Ilyen esetekben a Microsoft Defender for Cloud Apps egy külön adattípust, az úgynevezett viselkedést használ.
Ez a cikk azt ismerteti, hogyan vizsgálhatja meg Defender for Cloud Apps viselkedését Microsoft Defender XDR speciális veszélyforrás-kereséssel.
Szeretne visszajelzést megosztani? Töltse ki visszajelzési űrlapunkat!
A viselkedés a MITRE támadási kategóriáihoz és technikáihoz kapcsolódik, és mélyebb megértést biztosít egy eseményről, mint amit a nyers eseményadatok biztosítanak. A viselkedési adatok a nyers eseményadatok és az esemény által létrehozott riasztások között rejlik.
Bár a viselkedések biztonsági forgatókönyvekhez kapcsolódhatnak, nem feltétlenül jele rosszindulatú tevékenységnek vagy biztonsági incidensnek. Az egyes viselkedések egy vagy több nyers eseményen alapulnak, és környezetfüggő betekintést nyújtanak abba, hogy mi történt egy adott időpontban, olyan információk felhasználásával, amelyek Defender for Cloud Apps tanultak vagy azonosítottak.
A viselkedések jelenleg támogatják az alacsony megbízhatóságot, Defender for Cloud Apps észleléseket, amelyek nem feltétlenül felelnek meg a riasztások szabványának, de a vizsgálat során továbbra is hasznosak a kontextus biztosításához. Jelenleg a következő támogatott észlelések támogatottak:
Riasztás neve | Házirend neve |
---|---|
Ritka országból származó tevékenység | Ritka országból/régióból származó tevékenység |
Lehetetlen utazási tevékenység | Lehetetlen utazás |
Tömeges törlés | Szokatlan fájltörlési tevékenység (felhasználó szerint) |
Tömeges letöltés | Szokatlan fájlletöltés (felhasználó szerint) |
Tömeges megosztás | Szokatlan fájlmegosztási tevékenység (felhasználó szerint) |
Több virtuálisgép-törlési tevékenység | Több virtuálisgép-törlési tevékenység |
Több sikertelen bejelentkezési kísérlet | Több sikertelen bejelentkezési kísérlet |
Több Power BI-jelentésmegosztási tevékenység | Több Power BI-jelentésmegosztási tevékenység |
Több virtuálisgép-létrehozási tevékenység | Több virtuálisgép-létrehozási tevékenység |
Gyanús felügyeleti tevékenység | Szokatlan felügyeleti tevékenység (felhasználó szerint) |
Gyanús megszemélyesített tevékenység | Szokatlan megszemélyesített tevékenység (felhasználó szerint) |
Gyanús OAuth-alkalmazásfájl-letöltési tevékenységek | Gyanús OAuth-alkalmazásfájl-letöltési tevékenységek |
Gyanús Power BI-jelentésmegosztás | Gyanús Power BI-jelentésmegosztás |
Szokatlan hitelesítő adatok hozzáadása egy OAuth-alkalmazáshoz | Szokatlan hitelesítő adatok hozzáadása egy OAuth-alkalmazáshoz |
A Defender for Cloud Apps által generált riasztások minőségének javítása és a téves riasztások számának csökkentése érdekében Defender for Cloud Apps jelenleg a biztonsági tartalmakat váltja át a riasztásokról a viselkedésekre.
Ennek a folyamatnak az a célja, hogy eltávolítsa azokat a szabályzatokat a riasztásokból, amelyek alacsony minőségű észlelést biztosítanak, miközben továbbra is olyan biztonsági forgatókönyveket hoz létre, amelyek a beépített észlelésekre összpontosítanak. Ezzel párhuzamosan Defender for Cloud Apps viselkedést küld, hogy segítse Önt a vizsgálatokban.
A riasztásokról a viselkedésekre való áttérés folyamata a következő fázisokat foglalja magában:
(Kész) Defender for Cloud Apps párhuzamosan küld viselkedéseket a riasztásoknak.
(Jelenleg előzetes verzióban) A viselkedést létrehozó szabályzatok alapértelmezés szerint le vannak tiltva, és nem küldenek riasztásokat.
Lépjen át egy felhőben felügyelt észlelési modellre, és távolítsa el teljesen az ügyféloldali szabályzatokat. Ez a fázis az egyéni észlelések és a belső szabályzatok által generált kiválasztott riasztások magas megbízhatóságú, biztonságközpontú forgatókönyvekhez való biztosítását is tervezi.
A viselkedésre való áttérés a támogatott viselkedéstípusok fejlesztéseit és a szabályzat által létrehozott riasztások optimális pontosságú módosítását is magában foglalja.
Megjegyzés
Az utolsó fázis ütemezése nincs meghatározva. Az ügyfelek az Üzenetközpont értesítései segítségével értesítést kapnak a változásokról.
További információt a TechCommunity blogban talál.
A Microsoft Defender XDR Speciális veszélyforrás-keresés lapon elérhető viselkedések elérése és viselkedések használata a viselkedéstáblák lekérdezésével és a viselkedési adatokat tartalmazó egyéni észlelési szabályok létrehozásával.
A Speciális veszélyforrás-keresés lap viselkedésséma hasonló a riasztási sémához, és a következő táblázatokat tartalmazza:
Táblanév | Leírás |
---|---|
BehaviorInfo | Viselkedésenként rögzítendő metaadatok, beleértve a viselkedés címét, a MITRE-támadások kategóriáit és a technikákat. (A GCC-hez nem érhető el.) |
BehaviorEntities | A viselkedés részét képező entitásokra vonatkozó információk. Viselkedésenként több rekord is lehet. (A GCC-hez nem érhető el.) |
Ha teljes körű információkat szeretne kapni egy viselkedésről és annak entitásairól, használja a parancsot BehaviorId
az illesztés elsődleges kulcsaként. Például:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Ez a szakasz a Microsoft Defender XDR Speciális veszélyforrás-keresés oldalon található viselkedési adatok és a kapcsolódó kódminták használatára vonatkozó példaforgatókönyveket tartalmaz.
Tipp.
Hozzon létre egyéni észlelési szabályokat minden olyan észleléshez, amelyet továbbra is riasztásként szeretne megjeleníteni, ha a riasztás már nem jön létre alapértelmezés szerint.
Forgatókönyv: Riasztást szeretne kapni, ha egy adott felhasználó vagy egy biztonsági résre hajlamos felhasználók vagy belső kockázatok miatt tömeges letöltést végez.
Ehhez hozzon létre egy egyéni észlelési szabályt a következő lekérdezés alapján:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
További információ: Egyéni észlelési szabályok létrehozása és kezelése Microsoft Defender XDR.
Forgatókönyv: A MITRE támadási technikával ( T1078) kapcsolatos legutóbbi viselkedéseket szeretné lekérdezni.
Használja a következő lekérdezést:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Forgatókönyv: Vizsgálja meg az adott felhasználóval kapcsolatos összes viselkedést, miután megértette, hogy a felhasználó biztonsága sérült.
Használja a következő lekérdezést, amelyben a felhasználónév a vizsgálni kívánt felhasználó neve:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Forgatókönyv: Vizsgálja meg az összes olyan viselkedést, amelyben az entitások egyike gyanús IP-cím.
Használja a következő lekérdezést, amelyben a gyanús IP* a vizsgálni kívánt IP-cím.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Ha bármilyen problémába ütközik, segítünk. A termék problémájával kapcsolatos segítségért vagy támogatásért nyisson egy támogatási jegyet.