Изучение поведения с помощью расширенной охоты (предварительная версия)
В то время как некоторые обнаружения аномалий сосредоточены в основном на обнаружении проблемных сценариев безопасности, другие могут помочь в выявлении и исследовании аномального поведения пользователей, которое не обязательно указывает на компрометацию. В таких случаях Microsoft Defender for Cloud Apps использует отдельный тип данных, называемый поведением.
В этой статье описывается, как исследовать поведение Defender for Cloud Apps с помощью Microsoft Defender XDR расширенной охоты.
Вы хотите поделиться своими отзывами? Заполните форму обратной связи!
Поведение присоединяется к категориям и методам атак MITRE и обеспечивает более глубокое понимание события, чем это предоставляется необработанными данными о событии. Данные о поведении находятся между необработанными данными о событиях и оповещениями, созданными событием.
Хотя поведение может быть связано со сценариями безопасности, оно не обязательно является признаком вредоносной активности или инцидента безопасности. Каждое поведение основано на одном или нескольких необработанных событиях и предоставляет контекстную аналитику о том, что произошло в определенное время, используя сведения, которые Defender for Cloud Apps как изученные или идентифицированные.
Поведение в настоящее время поддерживает низкую точность, Defender for Cloud Apps обнаружения, которые могут не соответствовать стандарту для оповещений, но по-прежнему полезны для предоставления контекста во время исследования. В настоящее время поддерживаются следующие обнаружения:
Имя оповещения | Имя политики |
---|---|
Действия из редкой страны | Действия из редкой страны или региона |
Неосуществимая активность в путешествии | Неосуществимое перемещение |
Массовое удаление | Необычное действие удаления файлов (по пользователю) |
Массовое скачивание | Скачивание необычного файла (по пользователю) |
Массовая доля | Необычное действие общего доступа к файлам (по пользователю) |
Многократные действия по удалению виртуальных машин. | Многократные действия по удалению виртуальных машин. |
Многократные неудачные попытки входа. | Несколько неудачных попыток входа |
Несколько действий совместного доступа к отчетам Power BI | Несколько действий совместного доступа к отчетам Power BI |
Многократные действия по созданию виртуальных машин. | Многократные действия по созданию виртуальных машин. |
Подозрительные административные действия | Необычные административные действия (по пользователям) |
Подозрительные олицетворенные действия | Необычные олицетворенные действия (по пользователю) |
Подозрительные действия по загрузке файлов приложений OAuth. | Подозрительные действия по загрузке файлов приложений OAuth. |
Подозрительный общий доступ к отчетам Power BI | Подозрительный общий доступ к отчетам Power BI |
Необычное добавление учетных данных в приложение OAuth. | Необычное добавление учетных данных в приложение OAuth. |
Чтобы повысить качество оповещений, создаваемых Defender for Cloud Apps, и уменьшить количество ложных срабатываний, Defender for Cloud Apps в настоящее время переводит содержимое системы безопасности с оповещений на поведение.
Этот процесс направлен на удаление политик из оповещений, которые предоставляют низкокачественный метод обнаружения, при этом по-прежнему создаются сценарии безопасности, ориентированные на встроенные обнаружения. Параллельно Defender for Cloud Apps отправляет сведения о поведении, чтобы помочь вам в исследованиях.
Процесс перехода от оповещений к поведению включает следующие этапы:
(Завершено) Defender for Cloud Apps отправляет поведение параллельно оповещениям.
(В настоящее время находится в предварительной версии) Политики, которые создают поведение, теперь отключены по умолчанию и не отправляют оповещения.
Перейдите к модели обнаружения, управляемой облаком, полностью удалив политики, ориентированные на клиентов. На этом этапе планируется обеспечить как пользовательские обнаружения, так и выбранные оповещения, созданные внутренними политиками, для сценариев с высоким уровнем точности, ориентированной на безопасность.
Переход к поведению также включает улучшения поддерживаемых типов поведения и корректировки предупреждений, созданных политикой, для оптимальной точности.
Примечание
Расписание последнего этапа не определено. Клиенты будут уведомлены о любых изменениях с помощью уведомлений в Центре сообщений.
Дополнительные сведения см. в блоге TechCommunity.
Доступ к поведению на странице Microsoft Defender XDR Расширенная охота и использование поведения путем запроса таблиц поведения и создания настраиваемых правил обнаружения, включающих данные о поведении.
Схема поведения на странице Расширенный поиск похожа на схему оповещений и включает следующие таблицы:
Имя таблицы | Описание |
---|---|
BehaviorInfo | Запись для каждого поведения с его метаданными, включая название поведения, категории атак MITRE и методы. (Недоступно для GCC.) |
BehaviorEntities | Сведения о сущностях, которые были частью поведения. Может быть несколько записей для каждого поведения. (Недоступно для GCC.) |
Чтобы получить полную информацию о поведении и его сущностях, используйте BehaviorId
в качестве первичного ключа для соединения. Например:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
В этом разделе приведены примеры сценариев использования данных о поведении на странице Microsoft Defender XDR Расширенный поиск и соответствующие примеры кода.
Совет
Создайте настраиваемые правила обнаружения для любого обнаружения, которое будет отображаться как оповещение, если оповещение больше не создается по умолчанию.
Сценарий. Вы хотите получать оповещения о массовом скачивании конкретным пользователем или списком пользователей, которые могут быть скомпрометированы или подвержены внутреннему риску.
Для этого создайте пользовательское правило обнаружения на основе следующего запроса:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Дополнительные сведения см. в статье Создание настраиваемых правил обнаружения и управление ими в Microsoft Defender XDR.
Сценарий. Вы хотите запросить 100 последних действий, связанных с методом атаки MITRE Valid Accounts (T1078) .
Используйте следующий запрос:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Сценарий. Изучите все действия, связанные с конкретным пользователем, после того, как он понял, что пользователь может быть скомпрометирован.
Используйте следующий запрос, где имя пользователя — это имя пользователя, который вы хотите исследовать:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Сценарий. Исследуйте все варианты поведения, в которых одна из сущностей является подозрительным IP-адресом.
Используйте следующий запрос, где подозрительный IP-адрес* — это IP-адрес, который вы хотите исследовать.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
- Блог TechCommunity
- Руководство. Обнаружение подозрительных действий пользователей с помощью аналитики поведения
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.