고급 헌팅을 사용하여 동작 조사(미리 보기)
일부 변칙 검색은 주로 문제가 있는 보안 시나리오를 검색하는 데 초점을 맞추지만, 다른 변칙 검색은 반드시 손상을 나타내지는 않는 비정상적인 사용자 동작을 식별하고 조사하는 데 도움이 될 수 있습니다. 이러한 경우 Microsoft Defender for Cloud Apps 동작이라는 별도의 데이터 형식을 사용합니다.
이 문서에서는 Microsoft Defender XDR 고급 헌팅을 사용하여 Defender for Cloud Apps 동작을 조사하는 방법을 설명합니다.
공유할 피드백이 있나요? 피드백 양식을 작성하세요!
동작은 MITRE 공격 범주 및 기술에 연결되며 원시 이벤트 데이터에서 제공하는 것보다 이벤트에 대한 심층적인 이해를 제공합니다. 동작 데이터는 원시 이벤트 데이터와 이벤트에서 생성된 경고 사이에 있습니다.
동작은 보안 시나리오와 관련이 있을 수 있지만 반드시 악의적인 활동 또는 보안 인시던트의 징후는 아닙니다. 각 동작은 하나 이상의 원시 이벤트를 기반으로 하며 학습되거나 식별된 Defender for Cloud Apps 정보를 사용하여 특정 시간에 발생한 상황에 맞는 인사이트를 제공합니다.
동작은 현재 경고에 대한 표준을 충족하지 않을 수 있지만 조사 중에 컨텍스트를 제공하는 데 여전히 유용한 낮은 충실도 Defender for Cloud Apps 검색을 지원합니다. 현재 지원되는 검색은 다음과 같습니다.
경고 이름 | 정책 이름 |
---|---|
의외의 국가에서의 활동 | 드문 국가/지역의 활동 |
불가능한 여행 활동 | 불가능한 이동 |
대량 삭제 | 비정상적인 파일 삭제 작업(사용자별) |
대량 다운로드 | 비정상적인 파일 다운로드(사용자별) |
대량 공유 | 비정상적인 파일 공유 작업(사용자별) |
여러 VM 삭제 활동 | 여러 VM 삭제 활동 |
여러 번 실패한 로그인 시도 | 여러 번의 로그인 시도가 실패했습니다. |
여러 Power BI 보고서 공유 활동 | 여러 Power BI 보고서 공유 활동 |
여러 VM 만들기 활동 | 여러 VM 만들기 활동 |
의심스러운 관리 활동 | 비정상적인 관리 작업(사용자별) |
의심스러운 가장 활동 | 비정상적인 가장 활동(사용자별) |
의심스러운 OAuth 앱 파일 다운로드 활동 | 의심스러운 OAuth 앱 파일 다운로드 활동 |
의심스러운 Power BI 보고서 공유 | 의심스러운 Power BI 보고서 공유 |
OAuth 앱에 비정상적으로 자격 증명 추가 | OAuth 앱에 비정상적으로 자격 증명 추가 |
Defender for Cloud Apps 의해 생성된 경고의 품질을 개선하고 가양성 수를 낮추기 위해 Defender for Cloud Apps 현재 보안 콘텐츠를 경고에서 동작으로 전환하고 있습니다.
이 프로세스는 낮은 품질 검색을 제공하는 경고에서 정책을 제거하는 동시에 기본 제공 검색에 초점을 맞춘 보안 시나리오를 만드는 것을 목표로 합니다. 동시에 Defender for Cloud Apps 조사에 도움이 되는 동작을 보냅니다.
경고에서 동작으로의 전환 프로세스에는 다음 단계가 포함됩니다.
(완료) Defender for Cloud Apps 경고와 병렬로 동작을 보냅니다.
(현재 미리 보기 상태) 이제 동작을 생성하는 정책은 기본적으로 사용하지 않도록 설정되며 경고를 보내지 않습니다.
클라우드 관리형 검색 모델로 이동하여 고객 관련 정책을 완전히 제거합니다. 이 단계는 높은 충실도의 보안 중심 시나리오를 위해 내부 정책에서 생성된 사용자 지정 검색 및 선택한 경고를 모두 제공하도록 계획되어 있습니다.
동작으로의 전환에는 지원되는 동작 유형에 대한 향상된 기능과 최적의 정확도를 위해 정책 생성 경고에 대한 조정도 포함됩니다.
참고
마지막 단계의 예약은 결정되지 않습니다. 고객에게 메시지 센터의 알림을 통해 변경 내용에 대한 알림을 받게 됩니다.
자세한 내용은 TechCommunity 블로그를 참조하세요.
Microsoft Defender XDR 고급 헌팅 페이지에서 동작에 액세스하고 동작 테이블을 쿼리하고 동작 데이터를 포함하는 사용자 지정 검색 규칙을 만들어 동작을 사용합니다.
고급 헌팅 페이지의 동작 스키마는 경고 스키마와 유사하며 다음 테이블을 포함합니다.
테이블 이름 | 설명 |
---|---|
BehaviorInfo | 동작 제목, MITRE 공격 범주 및 기술을 포함하여 해당 메타데이터를 사용하여 동작별로 기록합니다. (GCC에 사용할 수 없습니다.) |
BehaviorEntities | 동작의 일부인 엔터티에 대한 정보입니다. 동작당 여러 레코드가 될 수 있습니다. (GCC에 사용할 수 없습니다.) |
동작 및 해당 엔터티에 대한 전체 정보를 얻으려면 를 조인의 기본 키로 사용합니다 BehaviorId
. 예시:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
이 섹션에서는 Microsoft Defender XDR 고급 헌팅 페이지에서 동작 데이터를 사용하는 샘플 시나리오와 관련 코드 샘플을 제공합니다.
팁
경고가 기본적으로 더 이상 생성되지 않는 경우 경고로 계속 표시하려는 검색에 대한 사용자 지정 검색 규칙을 만듭니다.
시나리오: 특정 사용자 또는 손상되거나 내부 위험에 노출되기 쉬운 사용자 목록이 대량 다운로드를 수행할 때 경고를 받습니다.
이렇게 하려면 다음 쿼리에 따라 사용자 지정 검색 규칙을 만듭니다.
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
자세한 내용은 Microsoft Defender XDR 사용자 지정 검색 규칙 만들기 및 관리를 참조하세요.
시나리오: MITRE 공격 기술 유효한 계정(T1078)과 관련된 100개의 최근 동작을 쿼리하려고 합니다.
다음 쿼리를 사용합니다.
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
시나리오: 사용자가 손상되었을 수 있음을 이해한 후 특정 사용자와 관련된 모든 동작을 조사합니다.
다음 쿼리를 사용합니다. 여기서 username 은 조사하려는 사용자의 이름입니다.
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
시나리오: 엔터티 중 하나가 의심스러운 IP 주소인 모든 동작을 조사합니다.
다음 쿼리를 사용합니다. 여기서 의심스러운 IP*는 조사하려는 IP입니다.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.