Analizzare i comportamenti con ricerca avanzata (anteprima)
Anche se alcuni rilevamenti anomalie si concentrano principalmente sul rilevamento di scenari di sicurezza problematici, altri possono aiutare a identificare e analizzare il comportamento anomalo dell'utente che non indica necessariamente una compromissione. In questi casi, Microsoft Defender per il cloud App usa un tipo di dati separato, denominato comportamenti.
Questo articolo descrive come analizzare i comportamenti delle app Defender per il cloud con la ricerca avanzata di Microsoft Defender XDR.
Hai commenti e suggerimenti da condividere? Compilare il modulo di feedback.
Che cos'è un comportamento?
I comportamenti sono associati a categorie e tecniche di attacco MITRE e forniscono una comprensione più approfondita di un evento rispetto a quanto fornito dai dati dell'evento non elaborati. I dati di comportamento si trovano tra i dati degli eventi non elaborati e gli avvisi generati da un evento.
Anche se i comportamenti potrebbero essere correlati agli scenari di sicurezza, non sono necessariamente un segno di attività dannosa o di un evento imprevisto di sicurezza. Ogni comportamento si basa su uno o più eventi non elaborati e fornisce informazioni contestuali su ciò che si è verificato in un momento specifico, usando informazioni che Defender per il cloud App come apprese o identificate.
Rilevamenti supportati
I comportamenti attualmente supportano rilevamenti di app con bassa fedeltà Defender per il cloud, che potrebbero non soddisfare lo standard per gli avvisi, ma sono comunque utili per fornire contesto durante un'indagine. I rilevamenti attualmente supportati includono:
| Nome avviso | Nome del criterio |
|---|---|
| Attività da un paese non frequente | Attività da paese/area geografica non frequente |
| Attività di tipo spostamento fisico impossibile | Comunicazione impossibile |
| Eliminazione di massa | Attività insolita di eliminazione di file (da parte dell'utente) |
| Download di massa | Download insolito dei file (da parte dell'utente) |
| Condivisione di massa | Attività insolita di condivisione file (per utente) |
| Più attività di eliminazione di VM | Più attività di eliminazione di VM |
| Più tentativi di accesso non riusciti | Più tentativi di accesso non riusciti |
| Più attività di condivisione di report di Power BI | Più attività di condivisione di report di Power BI |
| Più attività di creazione di macchine virtuali | Più attività di creazione di macchine virtuali |
| Attività amministrativa sospetta | Attività amministrativa insolita (per utente) |
| Attività rappresentata sospetta | Attività di rappresentazione insolita (da parte dell'utente) |
| Attività sospette di download dei file dell'app OAuth | Attività sospette di download dei file dell'app OAuth |
| Condivisione di report di Power BI sospetta | Condivisione di report di Power BI sospetta |
| Aggiunta insolita di credenziali a un'app OAuth | Aggiunta insolita di credenziali a un'app OAuth |
Defender per il cloud transizione delle app dagli avvisi ai comportamenti
Per migliorare la qualità degli avvisi generati da app di Defender per il cloud e ridurre il numero di falsi positivi, Defender per il cloud app sta attualmente passando il contenuto della sicurezza dagli avvisi ai comportamenti.
Questo processo mira a rimuovere i criteri dagli avvisi che forniscono rilevamenti di bassa qualità, pur creando scenari di sicurezza incentrati sui rilevamenti predefiniti. In parallelo, Defender per il cloud App invia comportamenti per facilitare le indagini.
Il processo di transizione dagli avvisi ai comportamenti include le fasi seguenti:
(Completato) Defender per il cloud App invia comportamenti in parallelo agli avvisi.
(Attualmente in anteprima) I criteri che generano comportamenti sono ora disabilitati per impostazione predefinita e non inviano avvisi.
Passare a un modello di rilevamento gestito dal cloud, rimuovendo completamente i criteri rivolti ai clienti. Questa fase è pianificata per fornire sia rilevamenti personalizzati che avvisi selezionati generati da criteri interni per scenari incentrati sulla sicurezza ad alta fedeltà.
La transizione ai comportamenti include anche miglioramenti per i tipi di comportamento supportati e le modifiche per gli avvisi generati dai criteri per un'accuratezza ottimale.
Nota
La pianificazione dell'ultima fase non è determinata. I clienti riceveranno una notifica di eventuali modifiche tramite notifiche nel Centro messaggi.
Per altre informazioni, vedere il blog techCommunity.
Uso dei comportamenti nella ricerca avanzata di Microsoft Defender XDR
Accedere ai comportamenti nella pagina Ricerca avanzata di Microsoft Defender XDR e usare i comportamenti eseguendo query sulle tabelle di comportamento e creando regole di rilevamento personalizzate che includono i dati di comportamento.
Lo schema dei comportamenti nella pagina Ricerca avanzata è simile allo schema degli avvisi e include le tabelle seguenti:
| Nome tabella | Descrizione |
|---|---|
| BehaviorInfo | Registrare in base al comportamento con i relativi metadati, inclusi il titolo del comportamento, le categorie di attacco MITRE e le tecniche. |
| BehaviorEntities | Informazioni sulle entità che fanno parte del comportamento. Può essere più record per comportamento. |
Per ottenere informazioni complete su un comportamento e sulle relative entità, usare BehaviorId come chiave primaria per il join. Ad esempio:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Scenari di esempio
Questa sezione fornisce scenari di esempio per l'uso dei dati di comportamento nella pagina Ricerca avanzata di Microsoft Defender XDR e negli esempi di codice pertinenti.
Suggerimento
Creare regole di rilevamento personalizzate per qualsiasi rilevamento che si desidera continuare a visualizzare come avviso, se un avviso non viene più generato per impostazione predefinita.
Ottenere avvisi per i download di massa
Scenario: si vuole ricevere un avviso quando un download di massa viene eseguito da un utente specifico o da un elenco di utenti soggetti a compromissione o a rischi interni.
A tale scopo, creare una regola di rilevamento personalizzata in base alla query seguente:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Per altre informazioni, vedere Creare e gestire regole di rilevamento personalizzate in Microsoft Defender XDR.
Comportamenti recenti delle query 100
Scenario: si vogliono eseguire query su 100 comportamenti recenti correlati alla tecnica di attacco MITRE Account validi (T1078).
Usa la query seguente:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Analizzare i comportamenti per un utente specifico
Scenario: analizzare tutti i comportamenti correlati a un utente specifico dopo aver compreso che l'utente potrebbe essere stato compromesso.
Usare la query seguente, dove username è il nome dell'utente da analizzare:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Analizzare i comportamenti per un indirizzo IP specifico
Scenario: analizzare tutti i comportamenti in cui una delle entità è un indirizzo IP sospetto.
Usare la query seguente, in cui IP sospetto* è l'indirizzo IP da analizzare.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Passaggi successivi
Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.