Прочитать на английском

Поделиться через


Изучение поведения с помощью расширенной охоты (предварительная версия)

В то время как некоторые обнаружения аномалий сосредоточены в основном на обнаружении проблемных сценариев безопасности, другие могут помочь в выявлении и исследовании аномального поведения пользователей, которое не обязательно указывает на компрометацию. В таких случаях Microsoft Defender for Cloud Apps использует отдельный тип данных, называемый поведением.

В этой статье описывается, как исследовать поведение Defender for Cloud Apps с помощью Microsoft Defender XDR расширенной охоты.

Вы хотите поделиться своими отзывами? Заполните форму обратной связи!

Что такое поведение?

Поведение присоединяется к категориям и методам атак MITRE и обеспечивает более глубокое понимание события, чем это предоставляется необработанными данными о событии. Данные о поведении находятся между необработанными данными о событиях и оповещениями, созданными событием.

Хотя поведение может быть связано со сценариями безопасности, оно не обязательно является признаком вредоносной активности или инцидента безопасности. Каждое поведение основано на одном или нескольких необработанных событиях и предоставляет контекстную аналитику о том, что произошло в определенное время, используя сведения, которые Defender for Cloud Apps как изученные или идентифицированные.

Поддерживаемые обнаружения

Поведение в настоящее время поддерживает низкую точность, Defender for Cloud Apps обнаружения, которые могут не соответствовать стандарту для оповещений, но по-прежнему полезны для предоставления контекста во время исследования. В настоящее время поддерживаются следующие обнаружения:

Имя оповещения Имя политики
Действия из редкой страны Действия из редкой страны или региона
Неосуществимая активность в путешествии Неосуществимое перемещение
Массовое удаление Необычное действие удаления файлов (по пользователю)
Массовое скачивание Скачивание необычного файла (по пользователю)
Массовая доля Необычное действие общего доступа к файлам (по пользователю)
Многократные действия по удалению виртуальных машин. Многократные действия по удалению виртуальных машин.
Многократные неудачные попытки входа. Несколько неудачных попыток входа
Несколько действий совместного доступа к отчетам Power BI Несколько действий совместного доступа к отчетам Power BI
Многократные действия по созданию виртуальных машин. Многократные действия по созданию виртуальных машин.
Подозрительные административные действия Необычные административные действия (по пользователям)
Подозрительные олицетворенные действия Необычные олицетворенные действия (по пользователю)
Подозрительные действия по загрузке файлов приложений OAuth. Подозрительные действия по загрузке файлов приложений OAuth.
Подозрительный общий доступ к отчетам Power BI Подозрительный общий доступ к отчетам Power BI
Необычное добавление учетных данных в приложение OAuth. Необычное добавление учетных данных в приложение OAuth.

переход Defender for Cloud Apps от оповещений к поведению

Чтобы повысить качество оповещений, создаваемых Defender for Cloud Apps, и уменьшить количество ложных срабатываний, Defender for Cloud Apps в настоящее время переводит содержимое системы безопасности с оповещений на поведение.

Этот процесс направлен на удаление политик из оповещений, которые предоставляют низкокачественный метод обнаружения, при этом по-прежнему создаются сценарии безопасности, ориентированные на встроенные обнаружения. Параллельно Defender for Cloud Apps отправляет сведения о поведении, чтобы помочь вам в исследованиях.

Процесс перехода от оповещений к поведению включает следующие этапы:

  1. (Завершено) Defender for Cloud Apps отправляет поведение параллельно оповещениям.

  2. (В настоящее время находится в предварительной версии) Политики, которые создают поведение, теперь отключены по умолчанию и не отправляют оповещения.

  3. Перейдите к модели обнаружения, управляемой облаком, полностью удалив политики, ориентированные на клиентов. На этом этапе планируется обеспечить как пользовательские обнаружения, так и выбранные оповещения, созданные внутренними политиками, для сценариев с высоким уровнем точности, ориентированной на безопасность.

Переход к поведению также включает улучшения поддерживаемых типов поведения и корректировки предупреждений, созданных политикой, для оптимальной точности.

Примечание

Расписание последнего этапа не определено. Клиенты будут уведомлены о любых изменениях с помощью уведомлений в Центре сообщений.

Дополнительные сведения см. в блоге TechCommunity.

Использование поведения в Microsoft Defender XDR расширенной охоты

Доступ к поведению на странице Microsoft Defender XDR Расширенная охота и использование поведения путем запроса таблиц поведения и создания настраиваемых правил обнаружения, включающих данные о поведении.

Схема поведения на странице Расширенный поиск похожа на схему оповещений и включает следующие таблицы:

Имя таблицы Описание
BehaviorInfo Запись для каждого поведения с его метаданными, включая название поведения, категории атак MITRE и методы. (Недоступно для GCC.)
BehaviorEntities Сведения о сущностях, которые были частью поведения. Может быть несколько записей для каждого поведения. (Недоступно для GCC.)

Чтобы получить полную информацию о поведении и его сущностях, используйте BehaviorId в качестве первичного ключа для соединения. Например:

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

Примеры сценариев

В этом разделе приведены примеры сценариев использования данных о поведении на странице Microsoft Defender XDR Расширенный поиск и соответствующие примеры кода.

Совет

Создайте настраиваемые правила обнаружения для любого обнаружения, которое будет отображаться как оповещение, если оповещение больше не создается по умолчанию.

Получение оповещений о массовых скачиваниях

Сценарий. Вы хотите получать оповещения о массовом скачивании конкретным пользователем или списком пользователей, которые могут быть скомпрометированы или подвержены внутреннему риску.

Для этого создайте пользовательское правило обнаружения на основе следующего запроса:

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

Дополнительные сведения см. в статье Создание настраиваемых правил обнаружения и управление ими в Microsoft Defender XDR.

Последнее поведение запроса 100

Сценарий. Вы хотите запросить 100 последних действий, связанных с методом атаки MITRE Valid Accounts (T1078) .

Используйте следующий запрос:

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

Изучение поведения определенного пользователя

Сценарий. Изучите все действия, связанные с конкретным пользователем, после того, как он понял, что пользователь может быть скомпрометирован.

Используйте следующий запрос, где имя пользователя — это имя пользователя, который вы хотите исследовать:

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

Изучение поведения для определенного IP-адреса

Сценарий. Исследуйте все варианты поведения, в которых одна из сущностей является подозрительным IP-адресом.

Используйте следующий запрос, где подозрительный IP-адрес* — это IP-адрес, который вы хотите исследовать.

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.