Leggere in inglese

Condividi tramite


Analizzare i comportamenti con la ricerca avanzata (anteprima)

Mentre alcuni rilevamenti di anomalie si concentrano principalmente sul rilevamento di scenari di sicurezza problematici, altri possono aiutare a identificare e analizzare il comportamento anomalo degli utenti che non indica necessariamente una compromissione. In questi casi, Microsoft Defender for Cloud Apps usa un tipo di dati separato, denominato comportamenti.

Questo articolo descrive come analizzare i comportamenti Defender for Cloud Apps con Microsoft Defender XDR ricerca avanzata.

Hai commenti e suggerimenti da condividere? Compilare il modulo di feedback.

Che cos'è un comportamento?

I comportamenti sono associati a categorie e tecniche di attacco MITRE e forniscono una comprensione più approfondita di un evento rispetto ai dati degli eventi non elaborati. I dati sul comportamento si trovano tra i dati degli eventi non elaborati e gli avvisi generati da un evento.

Anche se i comportamenti possono essere correlati a scenari di sicurezza, non sono necessariamente un segno di attività dannose o di un evento imprevisto della sicurezza. Ogni comportamento è basato su uno o più eventi non elaborati e fornisce informazioni contestuali su ciò che si è verificato in un momento specifico, usando informazioni che Defender for Cloud Apps come apprese o identificate.

Rilevamenti supportati

I comportamenti attualmente supportano rilevamenti a bassa fedeltà, Defender for Cloud Apps, che potrebbero non soddisfare lo standard per gli avvisi, ma sono comunque utili per fornire contesto durante un'indagine. I rilevamenti attualmente supportati includono:

Nome avviso Nome criterio
Attività da Paesi poco frequenti Attività da paesi/aree geografiche poco frequenti
Attività di viaggio impossibile Viaggio impossibile
Eliminazione di massa Attività insolita di eliminazione di file (per utente)
Download di massa Download di file insolito (per utente)
Condivisione di massa Attività insolita di condivisione file (per utente)
Molteplici attività di eliminazione di macchine virtuali Molteplici attività di eliminazione di macchine virtuali
Molteplici tentativi di accesso non riusciti Più tentativi di accesso non riusciti
Più attività di condivisione di report di Power BI Più attività di condivisione di report di Power BI
Molteplici attività di creazione di macchine virtuali Molteplici attività di creazione di macchine virtuali
Attività amministrative sospette Attività amministrativa insolita (per utente)
Attività rappresentazione sospetta Attività rappresentata insolita (per utente)
Attività sospette di download di file dell'app OAuth Attività sospette di download di file dell'app OAuth
Condivisione di report di Power BI sospetta Condivisione di report di Power BI sospetta
Aggiunta insolita di credenziali a un'app OAuth Aggiunta insolita di credenziali a un'app OAuth

transizione di Defender for Cloud Apps dagli avvisi ai comportamenti

Per migliorare la qualità degli avvisi generati da Defender for Cloud Apps e ridurre il numero di falsi positivi, Defender for Cloud Apps sta attualmente eseguendo la transizione del contenuto di sicurezza dagli avvisi ai comportamenti.

Questo processo mira a rimuovere i criteri dagli avvisi che forniscono rilevamenti di bassa qualità, creando allo stesso tempo scenari di sicurezza incentrati sui rilevamenti predefiniti. In parallelo, Defender for Cloud Apps invia comportamenti per facilitare le indagini.

Il processo di transizione dagli avvisi ai comportamenti include le fasi seguenti:

  1. (Completato) Defender for Cloud Apps invia comportamenti in parallelo agli avvisi.

  2. (Attualmente in anteprima) I criteri che generano comportamenti sono ora disabilitati per impostazione predefinita e non inviano avvisi.

  3. Passare a un modello di rilevamento gestito dal cloud, rimuovendo completamente i criteri rivolti ai clienti. Questa fase è pianificata per fornire sia rilevamenti personalizzati che avvisi selezionati generati dai criteri interni per scenari ad alta fedeltà e incentrati sulla sicurezza.

La transizione ai comportamenti include anche miglioramenti per i tipi di comportamento supportati e correzioni per gli avvisi generati dai criteri per un'accuratezza ottimale.

Nota

La pianificazione dell'ultima fase è indeterminata. I clienti riceveranno una notifica di eventuali modifiche tramite notifiche nel Centro messaggi.

Per altre informazioni, vedere il blog TechCommunity.

Uso di comportamenti in Microsoft Defender XDR ricerca avanzata

Accedere ai comportamenti nella pagina ricerca avanzata Microsoft Defender XDR e usare i comportamenti eseguendo query sulle tabelle di comportamento e creando regole di rilevamento personalizzate che includono dati sul comportamento.

Lo schema dei comportamenti nella pagina Ricerca avanzata è simile allo schema degli avvisi e include le tabelle seguenti:

Nome della tabella Descrizione
BehaviorInfo Registrare per comportamento con i relativi metadati, inclusi il titolo del comportamento, le categorie di attacco MITRE e le tecniche. (Non disponibile per GCC).
BehaviorEntities Informazioni sulle entità che facevano parte del comportamento. Può essere più record per comportamento. (Non disponibile per GCC).

Per ottenere informazioni complete su un comportamento e sulle relative entità, usare BehaviorId come chiave primaria per il join. Ad esempio:

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

Scenari di esempio

Questa sezione fornisce scenari di esempio per l'uso dei dati sul comportamento nella pagina di ricerca avanzata Microsoft Defender XDR ed esempi di codice pertinenti.

Suggerimento

Creare regole di rilevamento personalizzate per qualsiasi rilevamento che si desidera continuare a visualizzare come avviso, se per impostazione predefinita non viene più generato un avviso.

Ottenere avvisi per i download di massa

Scenario: si vuole ricevere un avviso quando un download di massa viene eseguito da un utente specifico o da un elenco di utenti soggetti a compromissione o a rischi interni.

A tale scopo, creare una regola di rilevamento personalizzata basata sulla query seguente:

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

Per altre informazioni, vedere Creare e gestire regole di rilevamento personalizzate in Microsoft Defender XDR.

Eseguire query su 100 comportamenti recenti

Scenario: si vogliono eseguire query su 100 comportamenti recenti correlati alla tecnica di attacco MITRE Account validi (T1078).

Usare la query seguente:

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

Analizzare i comportamenti per un utente specifico

Scenario: analizzare tutti i comportamenti correlati a un utente specifico dopo aver compreso che l'utente potrebbe essere stato compromesso.

Usare la query seguente, dove username è il nome dell'utente da analizzare:

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

Analizzare i comportamenti per un indirizzo IP specifico

Scenario: analizzare tutti i comportamenti in cui una delle entità è un indirizzo IP sospetto.

Usare la query seguente, dove IP sospetto* è l'INDIRIZZO IP da analizzare.

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

Passaggi successivi

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.