Investigar comportamentos com investigação avançada (Pré-visualização)
Embora algumas deteções de anomalias se concentrem principalmente na deteção de cenários de segurança problemáticos, outras podem ajudar a identificar e investigar comportamentos anómalos dos utilizadores que não indicam necessariamente um compromisso. Nesses casos, Microsoft Defender para Aplicativos de Nuvem utiliza um tipo de dados separado, denominado comportamentos.
Este artigo descreve como investigar comportamentos Defender para Aplicativos de Nuvem com Microsoft Defender XDR investigação avançada.
Tem feedback para partilhar? Preencha o nosso formulário de comentários!
Os comportamentos estão anexados às categorias e técnicas de ataque MITRE e fornecem uma compreensão mais profunda sobre um evento do que os fornecidos pelos dados de eventos não processados. Os dados de comportamento residem entre os dados de eventos não processados e os alertas gerados por um evento.
Embora os comportamentos possam estar relacionados com cenários de segurança, não são necessariamente um sinal de atividade maliciosa ou um incidente de segurança. Cada comportamento baseia-se num ou mais eventos não processados e fornece informações contextuais sobre o que ocorreu num momento específico, utilizando informações que Defender para Aplicativos de Nuvem como aprendidas ou identificadas.
Atualmente, os comportamentos suportam deteções de baixa fidelidade, Defender para Aplicativos de Nuvem, que podem não cumprir a norma para alertas, mas ainda são úteis para fornecer contexto durante uma investigação. As deteções atualmente suportadas incluem:
Nome do alerta | Nome da política |
---|---|
Atividade do país com pouca frequência | Atividade do país/região pouco frequente |
Atividade de viagem impossível | Viagem impossível |
Eliminação em massa | Atividade de eliminação de ficheiros invulgar (por utilizador) |
Transferência em massa | Transferência de ficheiros invulgar (por utilizador) |
Partilha em massa | Atividade de partilha de ficheiros invulgar (por utilizador) |
Múltiplas atividades de exclusão de VM | Múltiplas atividades de exclusão de VM |
Múltiplas tentativas de login malsucedidas | Várias tentativas de início de sessão falhadas |
Várias atividades de partilha de relatórios do Power BI | Várias atividades de partilha de relatórios do Power BI |
Várias atividades de criação de VM | Várias atividades de criação de VM |
Atividade administrativa suspeita | Atividade administrativa invulgar (por utilizador) |
Atividade suspeita representada | Atividade representada invulgar (pelo utilizador) |
Atividades suspeitas de download de arquivos do aplicativo OAuth | Atividades suspeitas de download de arquivos do aplicativo OAuth |
Partilha suspeita de relatórios do Power BI | Partilha suspeita de relatórios do Power BI |
Adição incomum de credenciais a um aplicativo OAuth | Adição incomum de credenciais a um aplicativo OAuth |
Para melhorar a qualidade dos alertas gerados por Defender para Aplicativos de Nuvem e reduzir o número de falsos positivos, Defender para Aplicativos de Nuvem está atualmente a transitar conteúdo de segurança de alertas para comportamentos.
Este processo visa remover políticas de alertas que fornecem deteções de baixa qualidade, ao mesmo tempo que cria cenários de segurança que se focam em deteções desativadas. Em paralelo, Defender para Aplicativos de Nuvem envia comportamentos para ajudá-lo nas suas investigações.
O processo de transição de alertas para comportamentos inclui as seguintes fases:
(Concluído) Defender para Aplicativos de Nuvem envia comportamentos em paralelo para alertas.
(Atualmente em Pré-visualização) As políticas que geram comportamentos estão agora desativadas por predefinição e não enviam alertas.
Mude para um modelo de deteção gerido pela cloud, removendo completamente as políticas destinadas ao cliente. Esta fase está planeada para fornecer deteções personalizadas e alertas selecionados gerados por políticas internas para cenários focados na segurança e de alta fidelidade.
A transição para comportamentos também inclui melhoramentos para tipos de comportamento suportados e ajustes para alertas gerados por políticas para uma precisão ideal.
Observação
O agendamento da última fase é indeterminado. Os clientes serão notificados de quaisquer alterações através de notificações no Centro de Mensagens.
Para obter mais informações, veja o nosso blogue TechCommunity.
Aceda a comportamentos na página Microsoft Defender XDR Investigação avançada e utilize comportamentos ao consultar tabelas de comportamento e criar regras de deteção personalizadas que incluem dados de comportamento.
O esquema de comportamentos na página Investigação avançada é semelhante ao esquema de alertas e inclui as seguintes tabelas:
Nome da tabela | Descrição |
---|---|
BehaviorInfo | Registe por comportamento com os respetivos metadados, incluindo o título do comportamento, categorias de ataque MITRE e técnicas. (Não disponível para GCC.) |
BehaviorEntities | Informações sobre as entidades que faziam parte do comportamento. Podem ser múltiplos registos por comportamento. (Não disponível para GCC.) |
Para obter informações completas sobre um comportamento e as respetivas entidades, utilize BehaviorId
como chave primária para a associação. Por exemplo:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Esta secção fornece cenários de exemplo para a utilização de dados de comportamento na página Microsoft Defender XDR Investigação avançada e exemplos de código relevantes.
Dica
Crie regras de deteção personalizadas para qualquer deteção que pretenda continuar a aparecer como um alerta, se um alerta já não for gerado por predefinição.
Cenário: quer ser alertado quando uma transferência em massa é efetuada por um utilizador específico ou por uma lista de utilizadores propensos a serem comprometidos ou a riscos internos.
Para tal, crie uma regra de deteção personalizada com base na seguinte consulta:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Para obter mais informações, veja Criar e gerir regras de deteção personalizadas no Microsoft Defender XDR.
Cenário: quer consultar 100 comportamentos recentes relacionados com a técnica de ataque MITRE Contas Válidas (T1078).
Utilize a seguinte consulta:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Cenário: Investigue todos os comportamentos relacionados com um utilizador específico depois de compreender que o utilizador pode ter sido comprometido.
Utilize a seguinte consulta, em que nome de utilizador é o nome do utilizador que pretende investigar:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Cenário: Investigue todos os comportamentos em que uma das entidades é um endereço IP suspeito.
Utilize a seguinte consulta, em que o IP suspeito* é o IP que pretende investigar.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
- Blogue TechCommunity
- Tutorial: Detetar atividades suspeitas de utilizadores com análise comportamental
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.