Menyelidiki perilaku dengan perburuan tingkat lanjut (Pratinjau)
Meskipun beberapa deteksi anomali berfokus terutama pada mendeteksi skenario keamanan yang bermasalah, yang lain dapat membantu mengidentifikasi dan menyelidiki perilaku pengguna anomali yang tidak selalu menunjukkan kompromi. Dalam kasus seperti itu, Microsoft Defender untuk Cloud Apps menggunakan jenis data terpisah, yang disebut perilaku.
Artikel ini menjelaskan cara menyelidiki perilaku aplikasi Defender untuk Cloud dengan perburuan tingkat lanjut Microsoft Defender XDR.
Memiliki umpan balik untuk dibagikan? Isi formulir umpan balik kami!
Apa itu perilaku?
Perilaku melekat pada kategori dan teknik serangan MITRE, dan memberikan pemahaman yang lebih mendalam tentang suatu peristiwa daripada yang disediakan oleh data peristiwa mentah. Data perilaku terletak antara data peristiwa mentah dan pemberitahuan yang dihasilkan oleh suatu peristiwa.
Meskipun perilaku mungkin terkait dengan skenario keamanan, perilaku tersebut belum tentu merupakan tanda aktivitas berbahaya atau insiden keamanan. Setiap perilaku didasarkan pada satu atau beberapa peristiwa mentah, dan memberikan wawasan kontekstual tentang apa yang terjadi pada waktu tertentu, menggunakan informasi yang Defender untuk Cloud Aplikasi seperti yang dipelajari atau diidentifikasi.
Deteksi yang didukung
Perilaku saat ini mendukung deteksi low-fidelity, Defender untuk Cloud Apps, yang mungkin tidak memenuhi standar untuk pemberitahuan tetapi masih berguna dalam memberikan konteks selama penyelidikan. Deteksi yang saat ini didukung meliputi:
| Nama pemberitahuan | Nama Azure Policy |
|---|---|
| Aktivitas dari negara yang jarang | Aktivitas dari negara/wilayah yang jarang |
| Aktivitas perjalanan yang tidak memungkinkan | Perjalanan tidak memungkinkan |
| Penghapusan massal | Aktivitas penghapusan file yang tidak biasa (menurut pengguna) |
| Unduhan massal | Unduhan file yang tidak biasa (menurut pengguna) |
| Berbagi massal | Aktivitas berbagi file yang tidak biasa (menurut pengguna) |
| Beberapa aktivitas hapus VM | Beberapa aktivitas hapus VM |
| Beberapa upaya masuk yang gagal | Beberapa upaya masuk yang gagal |
| Beberapa aktivitas berbagi laporan Power BI | Beberapa aktivitas berbagi laporan Power BI |
| Beberapa aktivitas pembuatan VM | Beberapa aktivitas pembuatan VM |
| Aktivitas administratif yang mencurigakan | Aktivitas administratif yang tidak biasa (menurut pengguna) |
| Aktivitas meniru yang mencurigakan | Aktivitas yang tidak biasa ditiru (oleh pengguna) |
| Aktivitas pengunduhan file aplikasi OAuth yang mencurigakan | Aktivitas pengunduhan file aplikasi OAuth yang mencurigakan |
| Berbagi laporan Power BI yang mencurigakan | Berbagi laporan Power BI yang mencurigakan |
| Penambahan kredensial yang tidak biasa ke aplikasi OAuth | Penambahan kredensial yang tidak biasa ke aplikasi OAuth |
transisi Defender untuk Cloud Apps dari pemberitahuan ke perilaku
Untuk meningkatkan kualitas pemberitahuan yang dihasilkan oleh Defender untuk Cloud Apps, dan menurunkan jumlah positif palsu, aplikasi Defender untuk Cloud saat ini melakukan transisi konten keamanan dari pemberitahuan ke perilaku.
Proses ini bertujuan untuk menghapus kebijakan dari pemberitahuan yang memberikan deteksi berkualitas rendah, sambil tetap membuat skenario keamanan yang berfokus pada deteksi di luar kotak. Secara paralel, Defender untuk Cloud Apps mengirimkan perilaku untuk membantu Anda dalam penyelidikan Anda.
Proses transisi dari pemberitahuan ke perilaku mencakup fase berikut:
(Selesai) Defender untuk Cloud Apps mengirimkan perilaku secara paralel ke pemberitahuan.
(Saat ini dalam Pratinjau) Kebijakan yang menghasilkan perilaku sekarang dinonaktifkan secara default, dan tidak mengirim pemberitahuan.
Pindah ke model deteksi yang dikelola cloud, menghapus kebijakan yang menghadap pelanggan sepenuhnya. Fase ini direncanakan untuk memberikan deteksi kustom dan pemberitahuan yang dipilih yang dihasilkan oleh kebijakan internal untuk skenario berfokus pada keamanan dengan keakuratan tinggi.
Transisi ke perilaku juga mencakup peningkatan untuk jenis perilaku yang didukung dan penyesuaian untuk pemberitahuan yang dihasilkan kebijakan untuk akurasi yang optimal.
Catatan
Penjadwalan fase terakhir tidak ditentukan. Pelanggan akan diberi tahu tentang perubahan apa pun melalui pemberitahuan di Pusat Pesan.
Untuk mengetahui informasi selengkapnya, lihat blog TechCommunity kami.
Menggunakan perilaku dalam perburuan tingkat lanjut Microsoft Defender XDR
Perilaku akses di halaman perburuan Tingkat Lanjut Microsoft Defender XDR, dan gunakan perilaku dengan mengkueri tabel perilaku dan membuat aturan deteksi kustom yang menyertakan data perilaku.
Skema perilaku di halaman Perburuan tingkat lanjut mirip dengan skema pemberitahuan, dan menyertakan tabel berikut:
| Nama tabel | Deskripsi |
|---|---|
| BehaviorInfo | Catat per perilaku dengan metadatanya, termasuk judul perilaku, kategori Serangan MITRE, dan teknik. |
| Entitas Perilaku | Informasi tentang entitas yang merupakan bagian dari perilaku. Dapat berupa beberapa rekaman per perilaku. |
Untuk mendapatkan informasi lengkap tentang perilaku dan entitasnya, gunakan BehaviorId sebagai kunci utama untuk gabungan. Misalnya:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Sampel skenario
Bagian ini menyediakan skenario sampel untuk menggunakan data perilaku di halaman perburuan Microsoft Defender XDR Advanced, dan sampel kode yang relevan.
Tip
Buat aturan deteksi kustom untuk deteksi apa pun yang ingin Anda lanjutkan muncul sebagai pemberitahuan, jika pemberitahuan tidak lagi dihasilkan secara default.
Mendapatkan pemberitahuan untuk unduhan massal
Skenario: Anda ingin diberi tahu ketika unduhan massal dilakukan oleh pengguna tertentu atau daftar pengguna yang rentan disusupi atau risiko internal.
Untuk melakukannya, buat aturan deteksi kustom berdasarkan kueri berikut:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Untuk informasi selengkapnya, lihat Membuat dan mengelola aturan deteksi kustom di Microsoft Defender XDR.
Kueri 100 perilaku terbaru
Skenario: Anda ingin mengkueri 100 perilaku terbaru yang terkait dengan teknik serangan MITRE Akun Valid (T1078).
Gunakan kueri berikut:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Menyelidiki perilaku untuk pengguna tertentu
Skenario: Selidiki semua perilaku yang terkait dengan pengguna tertentu setelah memahami pengguna mungkin telah disusupi.
Gunakan kueri berikut, di mana nama pengguna adalah nama pengguna yang ingin Anda selidiki:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Menyelidiki perilaku untuk alamat IP tertentu
Skenario: Selidiki semua perilaku di mana salah satu entitas adalah alamat IP yang mencurigakan.
Gunakan kueri berikut, di mana IP mencurigakan* adalah IP yang ingin Anda selidiki.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Langkah berikutnya
- TechCommunity Blog
- Tutorial: Mendeteksi aktivitas pengguna yang mencurigakan dengan analitik perilaku
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, silakan buka tiket dukungan..