Badanie zachowań za pomocą zaawansowanego wyszukiwania zagrożeń (wersja zapoznawcza)
Podczas gdy niektóre wykrycia anomalii koncentrują się głównie na wykrywaniu problematycznych scenariuszy zabezpieczeń, inne mogą pomóc zidentyfikować i zbadać nietypowe zachowanie użytkownika, które niekoniecznie wskazuje na naruszenie zabezpieczeń. W takich przypadkach Microsoft Defender dla Chmury Apps używa oddzielnego typu danych, nazywanego zachowaniami.
W tym artykule opisano sposób badania zachowań usługi Defender dla Chmury Apps za pomocą zaawansowanego wyszukiwania zagrożeń w usłudze Microsoft Defender XDR.
Masz opinię do udostępnienia? Wypełnij formularz opinii!
Co to jest zachowanie?
Zachowania są dołączone do kategorii i technik ataków MITRE oraz zapewniają dokładniejsze zrozumienie zdarzenia, niż są dostarczane przez nieprzetworzone dane zdarzenia. Dane zachowania leżą między nieprzetworzonymi danymi zdarzeń a alertami wygenerowanymi przez zdarzenie.
Chociaż zachowania mogą być związane ze scenariuszami zabezpieczeń, niekoniecznie są oznaką złośliwego działania lub zdarzenia zabezpieczeń. Każde zachowanie jest oparte na co najmniej jednym nieprzetworzonym zdarzeń i zapewnia kontekstowy wgląd w to, co miało miejsce w określonym czasie, przy użyciu informacji, które Defender dla Chmury Aplikacje zgodnie z informacjami lub zidentyfikowane.
Obsługiwane wykrycia
Zachowania obecnie obsługują wykrywanie Defender dla Chmury Apps o niskiej wierności, które mogą nie spełniać standardów alertów, ale są nadal przydatne w kontekście podczas badania. Obecnie obsługiwane wykrycia obejmują:
| Nazwa alertu | Nazwa zasady |
|---|---|
| Aktywność z rzadko występującego kraju | Aktywność z rzadko występującego kraju/regionu |
| Niemożliwa podróż | Niemożliwa podróż |
| Usuwanie masowe | Nietypowe działanie usuwania plików (według użytkownika) |
| Masowe pobieranie | Pobieranie nietypowego pliku (według użytkownika) |
| Udział masowy | Nietypowe działanie udziału plików (według użytkownika) |
| Wiele działań usuwania maszyny wirtualnej | Wiele działań usuwania maszyny wirtualnej |
| Wiele nieudanych prób logowania | Wiele nieudanych prób logowania |
| Wiele działań udostępniania raportów usługi Power BI | Wiele działań udostępniania raportów usługi Power BI |
| Wiele działań związanych z tworzeniem maszyn wirtualnych | Wiele działań związanych z tworzeniem maszyn wirtualnych |
| Podejrzane działania administracyjne | Nietypowe działania administracyjne (według użytkownika) |
| Podejrzane działanie personifikowane | Nietypowe działanie personifikowane (według użytkownika) |
| Podejrzane działania pobierania pliku aplikacji OAuth | Podejrzane działania pobierania pliku aplikacji OAuth |
| Podejrzane udostępnianie raportów usługi Power BI | Podejrzane udostępnianie raportów usługi Power BI |
| Nietypowe dodawanie poświadczeń do aplikacji OAuth | Nietypowe dodawanie poświadczeń do aplikacji OAuth |
Defender dla Chmury Apps przejście z alertów do zachowań
Aby zwiększyć jakość alertów generowanych przez aplikacje Defender dla Chmury i zmniejszyć liczbę wyników fałszywie dodatnich, Defender dla Chmury Apps obecnie przenosi zawartość zabezpieczeń z alertów do zachowań.
Ten proces ma na celu usunięcie zasad z alertów, które zapewniają wykrywanie niskiej jakości, jednocześnie tworząc scenariusze zabezpieczeń, które koncentrują się na nieukładanych wykrywaniach. Równolegle usługa Defender dla Chmury Apps wysyła zachowania ułatwiające badanie.
Proces przejścia z alertów do zachowań obejmuje następujące fazy:
(Ukończono) Defender dla Chmury Apps wysyła zachowania równolegle do alertów.
(Obecnie w wersji zapoznawczej) Zasady, które generują zachowania, są domyślnie wyłączone i nie wysyłają alertów.
Przejście do modelu wykrywania zarządzanego przez chmurę, całkowite usunięcie zasad skierowanych do klientów. Ta faza ma zapewnić zarówno niestandardowe wykrywanie, jak i wybrane alerty generowane przez zasady wewnętrzne dla scenariuszy skoncentrowanych na zabezpieczeniach o wysokiej wierności.
Przejście do zachowań obejmuje również ulepszenia obsługiwanych typów zachowań i korekt dla alertów generowanych przez zasady w celu uzyskania optymalnej dokładności.
Uwaga
Planowanie ostatniej fazy jest niezdefiniowane. Klienci będą powiadamiani o wszelkich zmianach za pośrednictwem powiadomień w Centrum wiadomości.
Aby uzyskać więcej informacji, zobacz nasz blog TechCommunity.
Używanie zachowań w usłudze Microsoft Defender XDR zaawansowane wyszukiwanie zagrożeń
Zachowania dostępu na stronie Zaawansowane wyszukiwanie zagrożeń w usłudze Microsoft Defender XDR i używanie ich przez wykonywanie zapytań dotyczących tabel zachowań i tworzenie niestandardowych reguł wykrywania obejmujących dane zachowania.
Schemat zachowań na stronie Zaawansowane wyszukiwanie zagrożeń jest podobny do schematu alertów i zawiera następujące tabele:
| Nazwa tabeli | opis |
|---|---|
| Informacje o zachowaniu | Rejestruj zachowanie przy użyciu metadanych, w tym tytuł zachowania, kategorie ataków MITRE i techniki. |
| ZachowanieEntities | Informacje o jednostkach, które były częścią zachowania. Może to być wiele rekordów na zachowanie. |
Aby uzyskać pełne informacje na temat zachowania i jego jednostek, użyj BehaviorId jako klucza podstawowego dla sprzężenia. Na przykład:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Przykładowe scenariusze
Ta sekcja zawiera przykładowe scenariusze używania danych zachowania na stronie Zaawansowane wyszukiwanie zagrożeń w usłudze Microsoft Defender XDR oraz odpowiednie przykłady kodu.
Napiwek
Utwórz niestandardowe reguły wykrywania dla dowolnego wykrywania, które chcesz nadal wyświetlać jako alert, jeśli alert nie zostanie już wygenerowany domyślnie.
Pobieranie alertów dotyczących masowego pobierania
Scenariusz: chcesz otrzymywać alerty w przypadku masowego pobierania przez określonego użytkownika lub listę użytkowników podatnych na naruszenie zabezpieczeń lub ryzyko wewnętrzne.
W tym celu utwórz regułę wykrywania niestandardowego na podstawie następującego zapytania:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł wykrywania i zarządzanie nimi w usłudze Microsoft Defender XDR.
Wykonywanie zapytań 100 ostatnich zachowań
Scenariusz: chcesz wykonać zapytanie o 100 ostatnich zachowań związanych z techniką ataku MITRE Valid Accounts (T1078).
Użyj następującego zapytania:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Badanie zachowań określonego użytkownika
Scenariusz: Zbadaj wszystkie zachowania związane z określonym użytkownikiem po zrozumieniu, że użytkownik mógł zostać naruszony.
Użyj następującego zapytania, w którym nazwa użytkownika to nazwa użytkownika, którego chcesz zbadać:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Badanie zachowań dla określonego adresu IP
Scenariusz: Zbadaj wszystkie zachowania, w których jeden z jednostek jest podejrzanym adresem IP.
Użyj następującego zapytania, w którym podejrzany adres IP* jest adresem IP, który chcesz zbadać.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Następne kroki
- TechCommunity Blog
- Samouczek: wykrywanie podejrzanych działań użytkowników za pomocą analizy behawioralnej
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.