Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Badanie zachowań za pomocą zaawansowanego wyszukiwania zagrożeń (wersja zapoznawcza)

Niektóre wykrycia anomalii koncentrują się głównie na wykrywaniu problematycznych scenariuszy zabezpieczeń, ale inne mogą pomóc w identyfikowaniu i badaniu nietypowych zachowań użytkowników, które niekoniecznie wskazują na naruszenie zabezpieczeń. W takich przypadkach Microsoft Defender for Cloud Apps używa oddzielnego typu danych, nazywanego zachowaniami.

W tym artykule opisano sposób badania zachowań Defender for Cloud Apps przy użyciu Microsoft Defender XDR zaawansowanego wyszukiwania zagrożeń.

Masz opinię do udostępnienia? Wypełnij nasz formularz opinii!

Co to jest zachowanie?

Zachowania są dołączane do kategorii i technik ataków MITRE oraz zapewniają dokładniejsze zrozumienie zdarzenia, niż są udostępniane przez nieprzetworzone dane zdarzeń. Dane zachowania znajdują się między nieprzetworzonymi danymi zdarzeń a alertami generowanymi przez zdarzenie.

Chociaż zachowania mogą być związane ze scenariuszami zabezpieczeń, niekoniecznie są oznaką złośliwego działania lub zdarzenia zabezpieczeń. Każde zachowanie jest oparte na co najmniej jednym nieprzetworzonym zdarzeniu i zapewnia kontekstowe informacje na temat tego, co wydarzyło się w określonym czasie, korzystając z informacji, które Defender for Cloud Apps w sposób wyuczony lub zidentyfikowany.

Obsługiwane wykrycia

Zachowania obsługują obecnie wykrywanie niskiej wierności, Defender for Cloud Apps, które mogą nie spełniać standardu alertów, ale nadal są przydatne w dostarczaniu kontekstu podczas badania. Obecnie obsługiwane wykrycia obejmują:

Nazwa alertu Nazwa zasad
Aktywność z rzadkiego kraju Działanie z rzadkiego kraju/regionu
Niemożliwa aktywność podróży Niemożliwa podróż
Usuwanie zbiorcze Nietypowe działanie usuwania pliku (według użytkownika)
Pobieranie zbiorcze Nietypowe pobieranie pliku (przez użytkownika)
Udział masowy Nietypowe działanie udziału plików (według użytkownika)
Wiele działań usuwania maszyny wirtualnej Wiele działań usuwania maszyny wirtualnej
Wiele nieudanych prób logowania Wiele nieudanych prób logowania
Wiele działań udostępniania raportów usługi Power BI Wiele działań udostępniania raportów usługi Power BI
Wiele działań związanych z tworzeniem maszyny wirtualnej Wiele działań związanych z tworzeniem maszyny wirtualnej
Podejrzane działanie administracyjne Nietypowe działanie administracyjne (według użytkownika)
Podejrzane działanie personifikowane Nietypowe działanie personifikowane (według użytkownika)
Podejrzane działania pobierania pliku aplikacji OAuth Podejrzane działania pobierania pliku aplikacji OAuth
Podejrzane udostępnianie raportów usługi Power BI Podejrzane udostępnianie raportów usługi Power BI
Nietypowe dodawanie poświadczeń do aplikacji OAuth Nietypowe dodawanie poświadczeń do aplikacji OAuth

przejście Defender for Cloud Apps z alertów do zachowań

Aby poprawić jakość alertów generowanych przez Defender for Cloud Apps i zmniejszyć liczbę wyników fałszywie dodatnich, Defender for Cloud Apps obecnie przenosi zawartość zabezpieczeń z alertów na zachowania.

Ten proces ma na celu usunięcie zasad z alertów, które zapewniają wykrywanie niskiej jakości, a jednocześnie tworzenie scenariuszy zabezpieczeń, które koncentrują się na wykrywaniu nieodśwłaszczanym. Równolegle Defender for Cloud Apps wysyła zachowania ułatwiające przeprowadzenie badań.

Proces przejścia z alertów do zachowań obejmuje następujące fazy:

  1. (Ukończono) Defender for Cloud Apps wysyła zachowania równolegle do alertów.

  2. (Obecnie w wersji zapoznawczej) Zasady generujące zachowania są teraz domyślnie wyłączone i nie wysyłają alertów.

  3. Przejdź do modelu wykrywania zarządzanego przez chmurę, całkowicie usuwając zasady skierowane do klientów. Ta faza ma na celu zapewnienie zarówno wykrywania niestandardowego, jak i wybranych alertów generowanych przez zasady wewnętrzne dla scenariuszy o wysokiej wierności i ukierunkowanych na zabezpieczenia.

Przejście do zachowań obejmuje również ulepszenia obsługiwanych typów zachowań i korekty alertów generowanych przez zasady w celu uzyskania optymalnej dokładności.

Uwaga

Harmonogram ostatniej fazy jest nieokreślony. Klienci będą powiadamiani o wszelkich zmianach za pośrednictwem powiadomień w Centrum komunikatów.

Aby uzyskać więcej informacji, zobacz nasz blog TechCommunity.

Używanie zachowań w Microsoft Defender XDR zaawansowanego wyszukiwania zagrożeń

Uzyskiwanie dostępu do zachowań na stronie wyszukiwania zaawansowanego Microsoft Defender XDR i używanie zachowań przez wykonywanie zapytań dotyczących tabel zachowań i tworzenie niestandardowych reguł wykrywania zawierających dane zachowania.

Schemat zachowań na stronie Zaawansowane wyszukiwanie zagrożeń jest podobny do schematu alertów i zawiera następujące tabele:

Nazwa tabeli Opis
BehaviorInfo Rejestruj zachowanie za pomocą metadanych, w tym tytuł zachowania, kategorie ataków MITRE i techniki. (Niedostępne dla GCC.)
BehaviorEntities Informacje o jednostkach, które były częścią zachowania. Może to być wiele rekordów na zachowanie. (Niedostępne dla GCC.)

Aby uzyskać pełne informacje na temat zachowania i jego jednostek, użyj jako BehaviorId klucza podstawowego sprzężenia. Przykład:

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

Przykładowe scenariusze

Ta sekcja zawiera przykładowe scenariusze użycia danych dotyczących zachowania na stronie Microsoft Defender XDR Zaawansowane wyszukiwanie zagrożeń i odpowiednie przykłady kodu.

Porada

Utwórz niestandardowe reguły wykrywania dla każdego wykrywania, które ma być nadal wyświetlane jako alert, jeśli alert nie jest już domyślnie generowany.

Uzyskiwanie alertów dotyczących pobierania zbiorczego

Scenariusz: chcesz otrzymywać alerty, gdy pobieranie zbiorcze jest wykonywane przez określonego użytkownika lub listę użytkowników, którzy są podatni na naruszenie zabezpieczeń lub ryzyko wewnętrzne.

W tym celu utwórz niestandardową regułę wykrywania na podstawie następującego zapytania:

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł wykrywania i zarządzanie nimi w Microsoft Defender XDR.

Wykonywanie zapytań o 100 ostatnich zachowań

Scenariusz: Chcesz wykonać zapytanie dotyczące 100 ostatnich zachowań związanych z techniką ataku MITRE Prawidłowe konta (T1078).

Użyj następującego zapytania:

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

Badanie zachowań określonego użytkownika

Scenariusz: Zbadaj wszystkie zachowania związane z określonym użytkownikiem po zrozumieniu, że użytkownik mógł zostać naruszony.

Użyj następującego zapytania, w którym nazwa użytkownika to nazwa użytkownika, którego chcesz zbadać:

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

Badanie zachowań dla określonego adresu IP

Scenariusz: Zbadaj wszystkie zachowania, w których jedna z jednostek jest podejrzanym adresem IP.

Użyj następującego zapytania, w którym podejrzany adres IP* to adres IP, który chcesz zbadać.

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.