使用高级搜寻调查行为(预览)

虽然某些异常情况检测主要侧重于检测存在问题的安全场景,但其他的异常情况检测则有助于识别和调查不一定表示泄露的异常用户行为。 在这种情况下,Microsoft Defender for Cloud Apps 使用单独的数据类型,称为行为

本文介绍如何使用 Microsoft Defender XDR 高级搜寻调查 Defender for Cloud Apps 行为。

有反馈要共享? 填写我们的反馈表

什么是行为?

行为会附加到 MITRE 攻击类别和技术,与原始事件数据相比,可以帮助更深入地了解事件。 行为数据位于原始事件数据和事件生成的警报之间。

虽然行为可能与安全场景相关,但它们不一定是恶意活动或安全事件的标志。 每个行为都基于一个或多个原始事件,并使用 Defender for Cloud Apps 所了解或识别的信息,提供特定时间发生的事件的上下文见解。

支持的检测

行为目前支持低保真度 Defender for Cloud Apps 检测,这些检测可能不符合警报标准,但在调查期间仍然可帮助提供上下文。 当前支持的检测包括:

警报名称 策略名称
来自不常见国家/地区的活动 来自不常用国家/地区的活动
不可能的旅行活动 不可能旅行
批量删除 异常文件检测活动(按用户)
批量下载 异常文件下载(按用户)
批量共享 异常文件共享活动(按用户)
多个删除虚拟机活动 多个删除虚拟机活动
多次失败的登录尝试 多次尝试登录失败
多个 Power BI 报表共享活动 多个 Power BI 报表共享活动
多个虚拟机创建活动 多个虚拟机创建活动
可疑的管理活动 异常管理活动(按用户)
可疑的模拟活动 异常模拟活动(按用户)
可疑的 OAuth 应用文件下载活动 可疑的 OAuth 应用文件下载活动
可疑的 Power BI 报表共享 可疑的 Power BI 报表共享
向 OAuth 应用异常添加凭据 向 OAuth 应用异常添加凭据

Defender for Cloud Apps 从警报到行为的转换

为了提高 Defender for Cloud Apps 生成的警报质量,并降低误报的数量,Defender for Cloud Apps 当前正在将安全内容从警报转换为行为

此过程旨在从提供低质量检测的警报中移除策略,同时仍创建专注于现成检测的安全场景。 同时,Defender for Cloud Apps 会发送行为来帮助调查。

从警报到行为的转换过程包括以下阶段

  1. (完成)Defender for Cloud Apps 将行为并行发送到警报。

  2. (当前提供预览版)生成行为的策略现在默认处于禁用状态,并且不会发送警报。

  3. 迁移到云管理的检测模型,完全移除面向客户的策略。 此阶段计划为高保真、以安全为中心的应用场景提供由内部策略生成的自定义检测和选定警报。

转换到行为还包括对受支持行为类型的增强以及对策略生成的警报的调整,以实现最佳准确性。

注意

最后一阶段的计划不确定。 客户将通过消息中心中的通知了解任何更改。

有关详细信息,请参阅技术社区博客

在 Microsoft Defender XDR 高级搜寻中使用行为

Microsoft Defender XDR“高级搜寻”页中访问行为,并通过查询行为表和创建包含行为数据的自定义检测规则来使用行为。

“高级搜寻”页中的行为架构类似于警报架构,包括以下表格:

表名称 说明
BehaviorInfo 包含元数据的行为记录,包括行为标题、MITRE 攻击类别和技术。
BehaviorEntities 有关属于行为的实体的信息。 每个行为可以有多个记录。

若要获取有关行为及其实体的完整信息,请使用 BehaviorId 作为联接的主键。 例如:

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

示例方案

本部分提供了在 Microsoft Defender XDR“高级搜寻”页中使用行为数据以及相关代码示例的示例场景。

提示

如果默认情况下不再生成某警报,请为要继续显示为警报的任何检测创建自定义检测规则

获取警报进行批量下载

场景:当特定用户或者某些容易遭到入侵或存在内部风险的用户完成批量下载时,需要发出警报。

为此,请基于以下查询创建自定义检测规则:

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

有关详细信息,请参阅在 Microsoft Defender XDR 中创建并管理自定义检测规则

查询 100 个最近的行为

场景:你想要查询 100 个与 MITRE 攻击技术有效帐户 (T1078)相关的最近行为。

使用以下查询:

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

调查特定用户的行为

场景:了解特定用户可能已遭入侵后,调查与该用户相关的所有行为。

使用以下查询,其中用户名是待调查用户的名称:

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

调查特定 IP 地址的行为

场景:调查有实体是可疑 IP 地址的所有行为。

使用以下查询,其中可疑 IP* 是要调查的 IP。

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

后续步骤

如果遇到任何问题,我们可随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证