İngilizce dilinde oku

Aracılığıyla paylaş


Gelişmiş avcılık ile davranışları araştırma (Önizleme)

Bazı anomali algılamaları öncelikli olarak sorunlu güvenlik senaryolarını algılamaya odaklansa da, diğerleri güvenliğin aşıldığını belirtmeyen anormal kullanıcı davranışlarını belirlemeye ve araştırmaya yardımcı olabilir. Bu gibi durumlarda, Microsoft Defender for Cloud Apps davranışlar olarak adlandırılan ayrı bir veri türü kullanır.

Bu makalede, gelişmiş Microsoft Defender XDR avcılık ile Defender for Cloud Apps davranışların nasıl araştırıldığı açıklanır.

Paylaşacak geri bildiriminiz mi var? Geri bildirim formumuzu doldurun!

Davranış nedir?

Davranışlar MITRE saldırı kategorilerine ve tekniklerine eklenir ve bir olay hakkında ham olay verileri tarafından sağlanandan daha derin bir anlayış sağlar. Davranış verileri ham olay verileriyle bir olay tarafından oluşturulan uyarılar arasında yer alır.

Davranışlar güvenlik senaryolarıyla ilgili olsa da, kötü amaçlı bir etkinliğin veya güvenlik olayının işareti olmayabilir. Her davranış bir veya daha fazla ham olayı temel alır ve öğrenilmiş veya tanımlanmış olarak Defender for Cloud Apps bilgileri kullanarak belirli bir zamanda gerçekleşen olaylarla ilgili bağlamsal içgörüler sağlar.

Desteklenen algılamalar

Davranışlar şu anda uyarı standardına uymayan ancak araştırma sırasında bağlam sağlama konusunda hala yararlı olan düşük aslına uygunluk Defender for Cloud Apps algılamalarını desteklemektedir. Şu anda desteklenen algılamalar şunlardır:

Uyarı adı İlke adı
Seyrek görülen ülkeden etkinlik Seyrek görülen ülke/bölgeden etkinlik
İmkansız seyahat etkinliği İmkansız seyahat
Toplu silme Olağan dışı dosya silme etkinliği (kullanıcıya göre)
Toplu indirme Olağan dışı dosya indirme (kullanıcıya göre)
Toplu paylaşım Olağan dışı dosya paylaşımı etkinliği (kullanıcıya göre)
Birden çok SILME VM etkinliği Birden çok SILME VM etkinliği
Birden çok başarısız oturum açma girişimi Birden çok başarısız oturum açma girişimi
Birden çok Power BI rapor paylaşma etkinliği Birden çok Power BI rapor paylaşma etkinliği
Birden çok VM oluşturma etkinliği Birden çok VM oluşturma etkinliği
Şüpheli yönetim etkinliği Olağan dışı yönetim etkinliği (kullanıcıya göre)
Şüpheli kimliğine bürünülen etkinlik Olağan dışı kimliğine bürünülen etkinlik (kullanıcıya göre)
Şüpheli OAuth uygulama dosyası indirme etkinlikleri Şüpheli OAuth uygulama dosyası indirme etkinlikleri
Şüpheli Power BI rapor paylaşımı Şüpheli Power BI rapor paylaşımı
OAuth uygulamasına olağan dışı kimlik bilgileri ekleme OAuth uygulamasına olağan dışı kimlik bilgileri ekleme

Defender for Cloud Apps'ın uyarılardan davranışlara geçişi

Defender for Cloud Apps tarafından oluşturulan uyarıların kalitesini artırmak ve hatalı pozitif sonuçların sayısını azaltmak için Defender for Cloud Apps şu anda güvenlik içeriğini uyarılardan davranışlarageçirmektedir.

Bu işlem, düşük kaliteli algılamalar sağlayan uyarılardan ilkeleri kaldırmayı amaçlarken, kullanıma açık algılamalara odaklanan güvenlik senaryoları oluşturmaya devam eder. Paralel olarak Defender for Cloud Apps, araştırmalarınızda size yardımcı olacak davranışlar gönderir.

Uyarılardan davranışlara geçiş işlemi aşağıdaki aşamaları içerir:

  1. (Tamamlandı) Defender for Cloud Apps, uyarılara paralel olarak davranışlar gönderir.

  2. (Şu anda Önizleme aşamasında) Davranış oluşturan ilkeler artık varsayılan olarak devre dışıdır ve uyarı göndermez.

  3. Müşteriye yönelik ilkeleri tamamen kaldırarak bulut tarafından yönetilen bir algılama modeline geçin. Bu aşamanın hem özel algılamalar hem de yüksek güvenilirlikli, güvenlik odaklı senaryolar için iç ilkeler tarafından oluşturulan seçili uyarıları sağlaması planlanıyor.

Davranışlara geçiş, desteklenen davranış türlerine yönelik iyileştirmeler ve en iyi doğruluk için ilke tarafından oluşturulan uyarılar için ayarlamalar da içerir.

Not

Son aşamanın zamanlaması belirlenemedi. Müşterilere, İleti Merkezi'ndeki bildirimler aracılığıyla herhangi bir değişiklik bildirilir.

Daha fazla bilgi için TechCommunity blogumuza bakın.

Microsoft Defender XDR gelişmiş avcılıkta davranışları kullanma

Microsoft Defender XDR Gelişmiş tehdit avcılığı sayfasındaki davranışlara erişin ve davranış tablolarını sorgulayarak ve davranış verilerini içeren özel algılama kuralları oluşturarak davranışları kullanın.

Gelişmiş tehdit avcılığı sayfasındaki davranış şeması uyarı şemasına benzer ve aşağıdaki tabloları içerir:

Tablo adı Açıklama
BehaviorInfo Davranış başlığı, MITRE Saldırısı kategorileri ve teknikleri de dahil olmak üzere meta verileriyle davranış başına kaydetme. (GCC için kullanılamaz.)
Davranış Varlıkları Davranışın parçası olan varlıklarla ilgili bilgiler. Davranış başına birden çok kayıt olabilir. (GCC için kullanılamaz.)

Bir davranış ve varlıkları hakkında tam bilgi almak için birleştirmenin birincil anahtarı olarak kullanın BehaviorId . Örneğin:

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

Örnek senaryolar

Bu bölüm, Microsoft Defender XDR Gelişmiş avcılık sayfasındaki davranış verilerini kullanmaya yönelik örnek senaryolar ve ilgili kod örnekleri sağlar.

İpucu

Artık varsayılan olarak bir uyarı oluşturulmadıysa, uyarı olarak görünmeye devam etmek istediğiniz tüm algılamalar için özel algılama kuralları oluşturun.

Toplu indirmeler için uyarı alma

Senaryo: Belirli bir kullanıcı veya tehlikeye veya iç risk riski olan kullanıcıların listesi tarafından toplu indirme yapıldığında uyarı almak istiyorsunuz.

Bunu yapmak için aşağıdaki sorguyu temel alan bir özel algılama kuralı oluşturun:

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

Daha fazla bilgi için bkz. Microsoft Defender XDR'da özel algılama kuralları oluşturma ve yönetme.

Sorgu 100 son davranışları

Senaryo: MITRE saldırı tekniği geçerli hesaplar (T1078) ile ilgili 100 son davranışı sorgulamak istiyorsunuz.

Aşağıdaki sorguyu kullanın:

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

Belirli bir kullanıcının davranışlarını araştırma

Senaryo: Kullanıcının gizliliğinin tehlikeye girmiş olabileceğini anladıktan sonra belirli bir kullanıcıyla ilgili tüm davranışları araştırın.

Aşağıdaki sorguyu kullanın; burada kullanıcı adı , araştırmak istediğiniz kullanıcının adıdır:

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

Belirli bir IP adresi için davranışları araştırma

Senaryo: Varlıklardan birinin şüpheli bir IP adresi olduğu tüm davranışları araştırın.

Aşağıdaki sorguyu kullanın; burada şüpheli IP* araştırmak istediğiniz IP'dir.

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

Sonraki adımlar

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın...