Gelişmiş avcılık ile davranışları araştırma (Önizleme)
Makale
Bazı anomali algılamaları öncelikli olarak sorunlu güvenlik senaryolarını algılamaya odaklansa da, diğerleri güvenliğin aşıldığını belirtmeyen anormal kullanıcı davranışlarını belirlemeye ve araştırmaya yardımcı olabilir. Bu gibi durumlarda, Microsoft Defender for Cloud Apps davranışlar olarak adlandırılan ayrı bir veri türü kullanır.
Bu makalede, gelişmiş Microsoft Defender XDR avcılık ile Defender for Cloud Apps davranışların nasıl araştırıldığı açıklanır.
Davranışlar MITRE saldırı kategorilerine ve tekniklerine eklenir ve bir olay hakkında ham olay verileri tarafından sağlanandan daha derin bir anlayış sağlar. Davranış verileri ham olay verileriyle bir olay tarafından oluşturulan uyarılar arasında yer alır.
Davranışlar güvenlik senaryolarıyla ilgili olsa da, kötü amaçlı bir etkinliğin veya güvenlik olayının işareti olmayabilir. Her davranış bir veya daha fazla ham olayı temel alır ve öğrenilmiş veya tanımlanmış olarak Defender for Cloud Apps bilgileri kullanarak belirli bir zamanda gerçekleşen olaylarla ilgili bağlamsal içgörüler sağlar.
Desteklenen algılamalar
Davranışlar şu anda uyarı standardına uymayan ancak araştırma sırasında bağlam sağlama konusunda hala yararlı olan düşük aslına uygunluk Defender for Cloud Apps algılamalarını desteklemektedir. Şu anda desteklenen algılamalar şunlardır:
Uyarı adı
İlke adı
Seyrek görülen ülkeden etkinlik
Seyrek görülen ülke/bölgeden etkinlik
İmkansız seyahat etkinliği
İmkansız seyahat
Toplu silme
Olağan dışı dosya silme etkinliği (kullanıcıya göre)
Toplu indirme
Olağan dışı dosya indirme (kullanıcıya göre)
Toplu paylaşım
Olağan dışı dosya paylaşımı etkinliği (kullanıcıya göre)
Birden çok SILME VM etkinliği
Birden çok SILME VM etkinliği
Birden çok başarısız oturum açma girişimi
Birden çok başarısız oturum açma girişimi
Birden çok Power BI rapor paylaşma etkinliği
Birden çok Power BI rapor paylaşma etkinliği
Birden çok VM oluşturma etkinliği
Birden çok VM oluşturma etkinliği
Şüpheli yönetim etkinliği
Olağan dışı yönetim etkinliği (kullanıcıya göre)
Şüpheli kimliğine bürünülen etkinlik
Olağan dışı kimliğine bürünülen etkinlik (kullanıcıya göre)
Şüpheli OAuth uygulama dosyası indirme etkinlikleri
Şüpheli OAuth uygulama dosyası indirme etkinlikleri
Şüpheli Power BI rapor paylaşımı
Şüpheli Power BI rapor paylaşımı
OAuth uygulamasına olağan dışı kimlik bilgileri ekleme
OAuth uygulamasına olağan dışı kimlik bilgileri ekleme
Defender for Cloud Apps'ın uyarılardan davranışlara geçişi
Defender for Cloud Apps tarafından oluşturulan uyarıların kalitesini artırmak ve hatalı pozitif sonuçların sayısını azaltmak için Defender for Cloud Apps şu anda güvenlik içeriğini uyarılardan davranışlarageçirmektedir.
Bu işlem, düşük kaliteli algılamalar sağlayan uyarılardan ilkeleri kaldırmayı amaçlarken, kullanıma açık algılamalara odaklanan güvenlik senaryoları oluşturmaya devam eder. Paralel olarak Defender for Cloud Apps, araştırmalarınızda size yardımcı olacak davranışlar gönderir.
Uyarılardan davranışlara geçiş işlemi aşağıdaki aşamaları içerir:
(Tamamlandı) Defender for Cloud Apps, uyarılara paralel olarak davranışlar gönderir.
(Şu anda Önizleme aşamasında) Davranış oluşturan ilkeler artık varsayılan olarak devre dışıdır ve uyarı göndermez.
Müşteriye yönelik ilkeleri tamamen kaldırarak bulut tarafından yönetilen bir algılama modeline geçin. Bu aşamanın hem özel algılamalar hem de yüksek güvenilirlikli, güvenlik odaklı senaryolar için iç ilkeler tarafından oluşturulan seçili uyarıları sağlaması planlanıyor.
Davranışlara geçiş, desteklenen davranış türlerine yönelik iyileştirmeler ve en iyi doğruluk için ilke tarafından oluşturulan uyarılar için ayarlamalar da içerir.
Not
Son aşamanın zamanlaması belirlenemedi. Müşterilere, İleti Merkezi'ndeki bildirimler aracılığıyla herhangi bir değişiklik bildirilir.
Microsoft Defender XDR gelişmiş avcılıkta davranışları kullanma
Microsoft Defender XDR Gelişmiş tehdit avcılığı sayfasındaki davranışlara erişin ve davranış tablolarını sorgulayarak ve davranış verilerini içeren özel algılama kuralları oluşturarak davranışları kullanın.
Gelişmiş tehdit avcılığı sayfasındaki davranış şeması uyarı şemasına benzer ve aşağıdaki tabloları içerir:
Davranışın parçası olan varlıklarla ilgili bilgiler. Davranış başına birden çok kayıt olabilir. (GCC için kullanılamaz.)
Bir davranış ve varlıkları hakkında tam bilgi almak için birleştirmenin birincil anahtarı olarak kullanın BehaviorId . Örneğin:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Örnek senaryolar
Bu bölüm, Microsoft Defender XDR Gelişmiş avcılık sayfasındaki davranış verilerini kullanmaya yönelik örnek senaryolar ve ilgili kod örnekleri sağlar.
İpucu
Artık varsayılan olarak bir uyarı oluşturulmadıysa, uyarı olarak görünmeye devam etmek istediğiniz tüm algılamalar için özel algılama kuralları oluşturun.
Toplu indirmeler için uyarı alma
Senaryo: Belirli bir kullanıcı veya tehlikeye veya iç risk riski olan kullanıcıların listesi tarafından toplu indirme yapıldığında uyarı almak istiyorsunuz.
Bunu yapmak için aşağıdaki sorguyu temel alan bir özel algılama kuralı oluşturun:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın...