Investigar comportamentos com busca avançada de ameaças (preview)
Enquanto algumas detecções de anomalias se concentram principalmente na detecção de cenários de segurança problemáticos, outras podem ajudar a identificar e investigar o comportamento anômalo dos usuários que não indica necessariamente um comprometimento. Nesses casos, o Microsoft Defender para Aplicativos de Nuvem usa um tipo de dados separado, chamado de comportamentos.
Este artigo descreve como investigar comportamentos do Defender para Aplicativos de Nuvem com a busca avançada de ameaças do Microsoft Defender XDR.
Tem feedback para compartilhar? Preencha nosso formulário de comentários.
O que é um comportamento?
Comportamentos são anexados a categorias e técnicas de ataque MITRE e fornecem uma compreensão mais profunda sobre um evento do que é fornecida pelos dados brutos do evento. Dados de comportamento estão entre os dados brutos do evento e os alertas gerados por um evento.
Embora os comportamentos possam estar relacionados a cenários de segurança, eles não são necessariamente um sinal de atividade mal-intencionada ou um incidente de segurança. Cada comportamento é baseado em um ou mais eventos brutos e fornece insights contextuais sobre o que ocorreu em um momento específico, usando informações que o Defender para Aplicativos de Nuvem como aprendidas ou identificadas.
Detecções suportadas
Atualmente, comportamentos oferecem suporte a detecções de baixa fidelidade do Defender para Aplicativos de Nuvem, que podem não atender ao padrão para alertas, mas ainda são úteis para fornecer contexto durante uma investigação. As detecções atualmente compatíveis incluem:
| Nome do alerta | Nome de política |
|---|---|
| Atividade de país pouco frequente | Atividades de país/região não frequente |
| Atividade de viagem impossível | Viagem impossível |
| Exclusão em massa | Atividade incomum de exclusão de arquivos (por usuário) |
| Download em massa | Download de arquivos incomum (por usuário) |
| Compartilhamento em massa | Atividade de compartilhamento de arquivos incomum (por usuário) |
| Várias atividades de exclusão de VM | Várias atividades de exclusão de VM |
| Várias tentativas de logon com falha | Várias tentativas de login com falha |
| Várias atividades de compartilhamento de relatórios do Power BI | Várias atividades de compartilhamento de relatórios do Power BI |
| Várias atividades de criação de VM | Várias atividades de criação de VM |
| Atividade administrativa mal-intencionada | Atividade administrativa incomum (por usuário) |
| Atividade de usurpação de identidade suspeita | Atividade de usurpação de identidade incomum (por usuário) |
| Atividades suspeitas de download de arquivos de aplicativos OAuth | Atividades suspeitas de download de arquivos de aplicativos OAuth |
| Compartilhamento suspeito de relatório do Power BI | Compartilhamento suspeito de relatório do Power BI |
| Adição incomum de credenciais a um aplicativo OAuth | Adição incomum de credenciais a um aplicativo OAuth |
Transição do Defender para Aplicativos de Nuvem de alertas para comportamentos
Para melhorar a qualidade dos alertas gerados pelo Defender para Aplicativos de Nuvem e reduzir o número de falsos positivos, o Defender para Aplicativos de Nuvem está atualmente fazendo a transição do conteúdo de segurança de alertas para comportamentos.
Esse processo visa remover políticas de alertas que fornecem detecções de baixa qualidade, enquanto ainda cria cenários de segurança que se concentram em detecções prontas para uso. Em paralelo, o Defender para Aplicativos de Nuvem envia comportamentos para ajudá-lo em suas investigações.
O processo de transição de alertas para comportamentos inclui as seguintes fases:
(Completo) O Defender para Aplicativos de Nuvem envia comportamentos em paralelo aos alertas.
(Atualmente em Preview) Políticas que geram comportamentos agora estão desabilitadas por padrão e não enviam alertas.
Mude para um modelo de detecção gerenciado na nuvem, removendo completamente políticas voltadas para o cliente. Essa fase é planejada para fornecer detecções personalizadas e alertas selecionados gerados por políticas internas para cenários focados na segurança de alta fidelidade.
A transição para comportamentos também inclui aprimoramentos para tipos de comportamento com suporte e ajustes para alertas gerados por políticas para obter a precisão ideal.
Observação
O agendamento da última fase é indeterminado. Os clientes serão notificados sobre quaisquer alterações por meio de notificações no Centro de Mensagens.
Para obter mais informações, confira nosso blog do TechCommunity.
Usando comportamentos na busca avançada do Microsoft Defender XDR
Acesse comportamentos na página de busca do Microsoft Defender XDR Advanced e use comportamentos consultando tabelas de comportamento e criando regras de detecção personalizadas que incluem dados de comportamento.
O esquema de comportamentos na página Busca avançada é semelhante ao esquema de alertas e inclui as seguintes tabelas:
| Nome da tabela | Descrição |
|---|---|
| ComportamentoInfo | Registre por comportamento com seus metadados, incluindo título de comportamento, categorias de ataque MITRE e técnicas. |
| EntidadesComportamento | Inmaneirações sobre as entidades que fizeram parte do comportamento. Podem ser vários registros por comportamento. |
Para obter inmaneirações completas sobre um comportamento e suas entidades, use BehaviorId como a chave primária para a associação. Por exemplo:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Exemplo de cenários
Esta seção fornece cenários de exemplo para utilizar dados de comportamento na página de busca do Microsoft Defender XDR Advanced e exemplos de código relevantes.
Dica
Crie regras de detecção personalizadas para qualquer detecção que você deseja continuar aparecendo como um alerta, se um alerta não for mais gerado por padrão.
Receba alertas para downloads em massa
Cenário: você deseja ser alertado quando um download em massa é feito por um usuário específico ou uma lista de usuários que estão propensos a serem comprometidos ou a riscos internos.
Para fazer isso, crie uma regra de detecção personalizada com base na seguinte consulta:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Para obter mais inmaneirações, consulte Criar e gerenciar regras de detecção personalizadas no Microsoft Defender XDR.
Consultar 100 comportamentos recentes
Cenário: Você deseja consultar 100 comportamentos recentes relacionados à técnica de ataque MITRE Contas válidas (T1078).
Use a consulta a seguir:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Investigar comportamentos de um usuário específico
Cenário: investigue todos os comportamentos relacionados a um usuário específico depois de entender que o usuário pode ter sido comprometido.
Use a consulta a seguir, onde nome de usuário é o nome do usuário que você deseja investigar:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Investigar comportamentos para um endereço IP específico
Cenário: Investigue todos os comportamentos em que uma das entidades é um endereço IP suspeito.
Use a consulta a seguir, onde IP* suspeito é o IP que você deseja investigar.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Próximas etapas
Se você encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.