Undersöka beteenden med avancerad jakt (förhandsversion)
Medan vissa avvikelseidentifieringar främst fokuserar på att identifiera problematiska säkerhetsscenarier, kan andra hjälpa till att identifiera och undersöka avvikande användarbeteende som inte nödvändigtvis indikerar en kompromiss. I sådana fall använder Microsoft Defender för molnet Apps en separat datatyp som kallas beteenden.
Den här artikeln beskriver hur du undersöker Defender för molnet Apps-beteenden med avancerad jakt i Microsoft Defender XDR.
Har du feedback att dela? Fyll i vårt feedbackformulär!
Vad är ett beteende?
Beteenden är kopplade till MITRE-attackkategorier och -tekniker och ger en djupare förståelse för en händelse än vad som tillhandahålls av rådata. Beteendedata ligger mellan rådata och aviseringar som genereras av en händelse.
Även om beteenden kan vara relaterade till säkerhetsscenarier är de inte nödvändigtvis ett tecken på skadlig aktivitet eller en säkerhetsincident. Varje beteende baseras på en eller flera råa händelser och ger sammanhangsbaserade insikter om vad som hände vid en viss tidpunkt, med hjälp av information som Defender för molnet Appar som inlärda eller identifierade.
Identifieringar som stöds
Beteenden stöder för närvarande låg återgivning, Defender för molnet Appar-identifieringar, som kanske inte uppfyller standarden för aviseringar, men som fortfarande är användbara för att tillhandahålla kontext under en undersökning. För närvarande stöds identifieringar:
| Aviseringsnamn | Principnamn |
|---|---|
| Aktivitet från sällan förekommande land | Aktivitet från sällan förekommande land/region |
| Omöjlig reseaktivitet | Omöjlig resa |
| Massborttagning | Ovanlig filborttagningsaktivitet (per användare) |
| Massnedladdning | Ovanlig filnedladdning (per användare) |
| Massresurs | Ovanlig filresursaktivitet (per användare) |
| Flera borttagningsaktiviteter för virtuella datorer | Flera borttagningsaktiviteter för virtuella datorer |
| Flera misslyckade inloggningsförsök | Flera misslyckade inloggningsförsök |
| Flera Power BI-rapportdelningsaktiviteter | Flera Power BI-rapportdelningsaktiviteter |
| Flera aktiviteter för att skapa virtuella datorer | Flera aktiviteter för att skapa virtuella datorer |
| Misstänkt administrativ aktivitet | Ovanlig administrativ aktivitet (per användare) |
| Misstänkt personifierad aktivitet | Ovanlig personifierad aktivitet (per användare) |
| Misstänkta aktiviteter för nedladdning av OAuth-appfiler | Misstänkta aktiviteter för nedladdning av OAuth-appfiler |
| Misstänkt delning av Power BI-rapporter | Misstänkt delning av Power BI-rapporter |
| Ovanligt tillägg av autentiseringsuppgifter till en OAuth-app | Ovanligt tillägg av autentiseringsuppgifter till en OAuth-app |
Defender för molnet Apps övergång från aviseringar till beteenden
För att förbättra kvaliteten på aviseringar som genereras av Defender för molnet-appar och minska antalet falska positiva identifieringar, Defender för molnet Appar för närvarande övergår säkerhetsinnehåll från aviseringar till beteenden.
Den här processen syftar till att ta bort principer från aviseringar som ger identifieringar av låg kvalitet, samtidigt som säkerhetsscenarier som fokuserar på färdiga identifieringar skapas. Parallellt skickar Defender för molnet-appar beteenden som hjälper dig i dina undersökningar.
Övergångsprocessen från aviseringar till beteenden omfattar följande faser:
(Klart) Defender för molnet Apps skickar beteenden parallellt med aviseringar.
(För närvarande i förhandsversion) Principer som genererar beteenden är nu inaktiverade som standard och skickar inte aviseringar.
Gå över till en molnhanterad identifieringsmodell och ta bort kundinriktade principer helt. Den här fasen är planerad att tillhandahålla både anpassade identifieringar och valda aviseringar som genereras av interna principer för hög återgivning, säkerhetsfokuserade scenarier.
Övergången till beteenden innehåller även förbättringar för beteendetyper som stöds och justeringar för principgenererade aviseringar för optimal noggrannhet.
Kommentar
Schemaläggningen av den sista fasen är obestämd. Kunder meddelas om eventuella ändringar via meddelanden i Meddelandecenter.
Mer information finns i vår TechCommunity-blogg.
Använda beteenden i avancerad microsoft Defender XDR-jakt
Få åtkomst till beteenden på sidan Avancerad jakt i Microsoft Defender XDR och använd beteenden genom att köra frågor mot beteendetabeller och skapa anpassade identifieringsregler som innehåller beteendedata.
Beteendeschemat på sidan Avancerad jakt liknar schemat för aviseringar och innehåller följande tabeller:
| Tabellnamn | beskrivning |
|---|---|
| BehaviorInfo | Registrera per beteende med dess metadata, inklusive beteendetitel, MITRE-attackkategorier och tekniker. |
| BehaviorEntities | Information om de entiteter som ingick i beteendet. Kan vara flera poster per beteende. |
Om du vill få fullständig information om ett beteende och dess entiteter använder BehaviorId du som primärnyckel för kopplingen. Till exempel:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Exempelscenarier
Det här avsnittet innehåller exempelscenarier för användning av beteendedata på sidan Avancerad jakt i Microsoft Defender XDR och relevanta kodexempel.
Dricks
Skapa anpassade identifieringsregler för alla identifieringar som du vill fortsätta att visas som en avisering, om en avisering inte längre genereras som standard.
Hämta aviseringar för massnedladdningar
Scenario: Du vill få en avisering när en massnedladdning görs av en specifik användare eller en lista över användare som är utsatta för intrång eller interna risker.
Det gör du genom att skapa en anpassad identifieringsregel baserat på följande fråga:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Mer information finns i Skapa och hantera anpassade identifieringsregler i Microsoft Defender XDR.
Fråga 100 senaste beteenden
Scenario: Du vill fråga 100 senaste beteenden relaterade till MITRE-attacktekniken Giltiga konton (T1078).
Använd följande fråga:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Undersöka beteenden för en specifik användare
Scenario: Undersöka alla beteenden som är relaterade till en specifik användare när du har förstått att användaren kan ha komprometterats.
Använd följande fråga, där användarnamnet är namnet på den användare som du vill undersöka:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Undersöka beteenden för en specifik IP-adress
Scenario: Undersöka alla beteenden där en av entiteterna är en misstänkt IP-adress.
Använd följande fråga, där misstänkt IP* är den IP-adress som du vill undersöka.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Nästa steg
Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.