Aracılığıyla paylaş


Gelişmiş avlanma ile davranışları araştırma (Önizleme)

Bazı anomali algılamaları öncelikli olarak sorunlu güvenlik senaryolarını algılamaya odaklansa da, diğerleri güvenliğin aşıldığını belirtmeyen anormal kullanıcı davranışlarını belirlemeye ve araştırmaya yardımcı olabilir. Bu gibi durumlarda, Bulut için Microsoft Defender Uygulamalar davranışlar olarak adlandırılan ayrı bir veri türü kullanır.

Bu makalede, Microsoft Defender XDR gelişmiş avcılığı ile Bulut için Defender Uygulamaları davranışlarının nasıl araştırıldığı açıklanır.

Paylaşacak geri bildiriminiz mi var? Geri bildirim formumuzu doldurun!

Davranış nedir?

Davranışlar MITRE saldırı kategorilerine ve tekniklerine eklenir ve bir olay hakkında ham olay verileri tarafından sağlanandan daha derin bir anlayış sağlar. Davranış verileri ham olay verileriyle bir olay tarafından oluşturulan uyarılar arasında yer alır.

Davranışlar güvenlik senaryolarıyla ilgili olsa da, kötü amaçlı etkinliğin veya güvenlik olayının bir işareti olmayabilir. Her davranış bir veya daha fazla ham olayı temel alır ve Uygulamalar'ı öğrenilen veya tanımlanan şekilde Bulut için Defender bilgileri kullanarak belirli bir zamanda gerçekleşen olaylarla ilgili bağlamsal içgörüler sağlar.

Desteklenen algılamalar

Davranışlar şu anda uyarılar için standarda uymayan ancak araştırma sırasında bağlam sağlamada yararlı olan düşük aslına uygunluk Bulut için Defender Uygulamalar algılamalarını desteklemektedir. Şu anda desteklenen algılamalar şunlardır:

Uyarı adı İlke adı
Seyrek kullanılan ülkeden etkinlik Seyrek ülke/bölgeden etkinlik
İmkansız seyahat etkinliği Mümkün olmayan seyahat
Toplu silme Olağan dışı dosya silme etkinliği (kullanıcıya göre)
Toplu indirme Olağan dışı dosya indirme (kullanıcıya göre)
Toplu paylaşım Olağan dışı dosya paylaşımı etkinliği (kullanıcıya göre)
Birden çok SILME VM etkinliği Birden çok SILME VM etkinliği
Birden çok başarısız oturum açma girişimi Birden çok başarısız oturum açma girişimi
Birden çok Power BI rapor paylaşma etkinliği Birden çok Power BI rapor paylaşma etkinliği
Birden çok VM oluşturma etkinliği Birden çok VM oluşturma etkinliği
Şüpheli yönetim etkinliği Olağan dışı yönetim etkinliği (kullanıcıya göre)
Şüpheli kimliğine bürünülen etkinlik Olağan dışı kimliğine bürünülen etkinlik (kullanıcıya göre)
Şüpheli OAuth uygulama dosyası indirme etkinlikleri Şüpheli OAuth uygulama dosyası indirme etkinlikleri
Şüpheli Power BI rapor paylaşımı Şüpheli Power BI rapor paylaşımı
OAuth uygulamasına olağan dışı kimlik bilgileri ekleme OAuth uygulamasına olağan dışı kimlik bilgileri ekleme

Uygulamaların uyarılardan davranışlara geçişine Bulut için Defender

Bulut için Defender Uygulamaları tarafından oluşturulan uyarıların kalitesini artırmak ve hatalı pozitif sonuçları azaltmak için Bulut için Defender Uygulamalar şu anda güvenlik içeriğini uyarılardan davranışlara geçirmektedir.

Bu işlem, düşük kaliteli algılamalar sağlayan uyarılardan ilkeleri kaldırmayı amaçlarken, kullanıma açık algılamalara odaklanan güvenlik senaryoları oluşturmaya devam eder. Paralel olarak, Bulut için Defender Uygulamaları araştırmalarınızda size yardımcı olacak davranışlar gönderir.

Uyarılardan davranışlara geçiş işlemi aşağıdaki aşamaları içerir:

  1. (Tamamlandı) Bulut için Defender Uygulamaları, uyarıları paralel olarak davranışlar gönderir.

  2. (Şu anda Önizlemede) Davranış oluşturan ilkeler artık varsayılan olarak devre dışıdır ve uyarı göndermez.

  3. Müşteriye yönelik ilkeleri tamamen kaldırarak bulut tarafından yönetilen bir algılama modeline geçin. Bu aşamanın hem özel algılamalar hem de yüksek güvenilirlikli, güvenlik odaklı senaryolar için iç ilkeler tarafından oluşturulan seçili uyarıları sağlaması planlanıyor.

Davranışlara geçiş, desteklenen davranış türlerine yönelik iyileştirmeler ve en iyi doğruluk için ilke tarafından oluşturulan uyarılar için ayarlamalar da içerir.

Not

Son aşamanın zamanlaması belirlenemedi. İleti Merkezi'ndeki bildirimler aracılığıyla müşterilere herhangi bir değişiklik bildirilir.

Daha fazla bilgi için TechCommunity blogumuza bakın.

Microsoft Defender XDR gelişmiş avcılığında davranışları kullanma

Microsoft Defender XDR Gelişmiş tehdit avcılığı sayfasındaki davranışlara erişin ve davranış tablolarını sorgulayarak ve davranış verilerini içeren özel algılama kuralları oluşturarak davranışları kullanın.

Gelişmiş tehdit avcılığı sayfasındaki davranış şeması uyarı şemasına benzer ve aşağıdaki tabloları içerir:

Tablo adı Açıklama
BehaviorInfo Davranış başlığı, MITRE Saldırısı kategorileri ve teknikleri de dahil olmak üzere meta verileriyle davranış başına kayıt.
Davranış Varlıkları Davranışın parçası olan varlıklarla ilgili bilgiler. Davranış başına birden çok kayıt olabilir.

Bir davranış ve varlıkları hakkında tam bilgi almak için birleştirmenin birincil anahtarı olarak kullanın BehaviorId . Örneğin:

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

Örnek senaryolar

Bu bölümde, Microsoft Defender XDR Gelişmiş tehdit avcılığı sayfasında davranış verilerini kullanmaya yönelik örnek senaryolar ve ilgili kod örnekleri sağlanır.

İpucu

Artık varsayılan olarak bir uyarı oluşturulmadıysa, uyarı olarak görünmeye devam etmek istediğiniz tüm algılamalar için özel algılama kuralları oluşturun.

Toplu indirmeler için uyarı alma

Senaryo: Belirli bir kullanıcı veya gizliliği tehlikeye atılmaya meyilli kullanıcılar listesi tarafından toplu indirme yapıldığında uyarı almak istiyorsunuz.

Bunu yapmak için aşağıdaki sorguyu temel alan bir özel algılama kuralı oluşturun:

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

Daha fazla bilgi için bkz . Microsoft Defender XDR'de özel algılama kuralları oluşturma ve yönetme.

Sorgu 100 son davranışlar

Senaryo: MITRE saldırı tekniği Geçerli Hesaplar (T1078) ile ilgili son 100 davranışı sorgulamak istiyorsunuz.

Aşağıdaki sorguyu kullanın:

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

Belirli bir kullanıcının davranışlarını araştırma

Senaryo: Kullanıcının gizliliğinin tehlikeye girmiş olabileceğini anladıktan sonra belirli bir kullanıcıyla ilgili tüm davranışları araştırın.

Aşağıdaki sorguyu kullanın; burada kullanıcı adı , araştırmak istediğiniz kullanıcının adıdır:

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

Belirli bir IP adresi için davranışları araştırma

Senaryo: Varlıklardan birinin şüpheli bir IP adresi olduğu tüm davranışları araştırın.

Aşağıdaki sorguyu kullanın; burada şüpheli IP* araştırmak istediğiniz IP'dir.

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

Sonraki adımlar

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın...