使用高级搜寻 (预览版) 调查行为
虽然某些异常情况检测主要侧重于检测有问题的安全方案,但其他异常情况可帮助识别和调查不一定表示泄露的异常用户行为。 在这种情况下,Microsoft Defender for Cloud Apps使用称为“行为”的单独数据类型。
本文介绍如何使用Microsoft Defender XDR高级搜寻来调查Defender for Cloud Apps行为。
有反馈要分享吗? 填写反馈 表单!
行为附加到 MITRE 攻击类别和技术,比原始事件数据提供的更深入地了解事件。 行为数据位于原始事件数据和事件生成的警报之间。
虽然行为可能与安全方案相关,但它们不一定是恶意活动或安全事件的标志。 每个行为都基于一个或多个原始事件,并使用已了解或识别Defender for Cloud Apps的信息,提供特定时间所发生事件的上下文见解。
行为当前支持低保真Defender for Cloud Apps检测,这些检测可能不符合警报标准,但仍可用于在调查期间提供上下文。 目前支持的检测包括:
警报名称 | 策略名称 |
---|---|
来自不常见国家/地区的活动 | 来自不常见国家/地区的活动 |
不可能的旅行活动 | 不可能旅行 |
批量删除 | 用户) (异常文件删除活动 |
批量下载 | 用户) (异常文件下载 |
批量共享 | 用户) (异常文件共享活动 |
多个删除虚拟机活动 | 多个删除虚拟机活动 |
多个失败登录尝试 | 多次失败的登录尝试 |
多个 Power BI 报表共享活动 | 多个 Power BI 报表共享活动 |
多个虚拟机创建活动 | 多个虚拟机创建活动 |
可疑的管理活动 | 用户) (异常管理活动 |
可疑的模拟活动 | 用户) (异常模拟活动 |
可疑的 OAuth 应用文件下载活动 | 可疑的 OAuth 应用文件下载活动 |
可疑 Power BI 报表共享 | 可疑 Power BI 报表共享 |
向 OAuth 应用异常添加凭据 | 向 OAuth 应用异常添加凭据 |
为了提高Defender for Cloud Apps生成的警报质量并降低误报的数量,Defender for Cloud Apps当前正在将安全内容从警报转换为行为。
此过程旨在从提供低质量检测的警报中删除策略,同时仍创建专注于现用检测的安全方案。 同时,Defender for Cloud Apps发送行为来帮助你进行调查。
从警报到行为的转换过程包括以下阶段:
(完成) Defender for Cloud Apps 将行为并行发送到警报。
(目前处于预览状态) 生成行为的策略现在默认处于禁用状态,并且不会发送警报。
迁移到云托管的检测模型,完全删除面向客户的策略。 此阶段计划提供自定义检测和内部策略生成的选定警报,用于高保真、以安全为中心的方案。
向行为的转换还包括支持的行为类型的增强功能,以及策略生成的警报的调整,以实现最佳准确性。
备注
最后阶段的计划尚未确定。 客户将通过消息中心内的通知收到任何更改的通知。
有关详细信息,请参阅 TechCommunity 博客。
访问Microsoft Defender XDR高级搜寻页面中的行为,并通过查询行为表和创建包含行为数据的自定义检测规则来使用行为。
高级搜寻页中的行为架构类似于警报架构,包括下表:
表名 | 说明 |
---|---|
BehaviorInfo | 记录每个行为的元数据,包括行为标题、MITRE 攻击类别和技术。 (不适用于 GCC.) |
BehaviorEntities | 有关属于该行为的实体的信息。 每个行为可以是多个记录。 (不适用于 GCC.) |
若要获取有关行为及其实体的完整信息,请使用 BehaviorId
作为联接的主键。 例如:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
本部分提供在Microsoft Defender XDR高级搜寻页中使用行为数据的示例方案,以及相关代码示例。
提示
如果默认情况下不再生成警报,则为要继续显示为警报的任何检测创建自定义 检测规则 。
场景:当特定用户或容易遭到入侵或内部风险的用户列表完成批量下载时,你希望收到警报。
为此,请基于以下查询创建自定义检测规则:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
有关详细信息,请参阅在 Microsoft Defender XDR 中创建和管理自定义检测规则。
场景:你想要查询与 MITRE 攻击技术 有效帐户相关的 100 个最新行为, (T1078) 。
使用以下查询:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
方案:在了解该用户可能已泄露后,调查与特定用户相关的所有行为。
使用以下查询,其中 用户名 是要调查的用户的名称:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
场景:调查其中一个实体是可疑 IP 地址的所有行为。
使用以下查询,其中 可疑 IP* 是要调查的 IP。
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。