使用進階搜捕調查行為 (預覽)
雖然某些異常偵測主要著重於偵測有問題的安全性案例,但有些則有助於識別和調查不一定表示危害的異常用戶行為。 在這種情況下,適用於雲端的 Microsoft Defender Apps 會使用不同的數據類型,稱為行為。
本文說明如何使用 Microsoft Defender 全面偵測回應 進階搜捕來調查 適用於雲端的 Defender Apps 行為。
有意見反應可以分享嗎? 填寫我們的 意見反應表單!
什麼是行為?
行為會附加至 MITRE 攻擊類別和技術,並提供比原始事件數據所提供的事件更深入的瞭解。 行為數據位於原始事件數據和事件所產生的警示之間。
雖然行為可能與安全性案例相關,但它們不一定是惡意活動或安全性事件的標誌。 每個行為都是以一或多個原始事件為基礎,並使用已學習或識別 適用於雲端的 Defender 應用程式的資訊,提供特定時間所發生狀況的內容深入解析。
支援的偵測
行為目前支援低逼真度,適用於雲端的 Defender 應用程式偵測,可能不符合警示的標準,但在調查期間提供內容仍然很有用。 目前支援的偵測包括:
| 警示名稱 | 原則名稱 |
|---|---|
| 非經常性國家/地區的活動 | 來自不常國家/地區的活動 |
| 不可能的旅行活動 | 不可能的移動 |
| 大量刪除 | 不要尋常的檔案移除活動(使用者) |
| 大量下載 | 不尋常的檔案下載(由使用者) |
| 大眾共用 | 不尋常的檔案共享活動(使用者) |
| 多次 VM 刪除活動 | 多次 VM 刪除活動 |
| 多次失敗的登入嘗試 | 多次失敗的登入嘗試 |
| 多個 Power BI 報表共用活動 | 多個 Power BI 報表共用活動 |
| 多個 VM 建立活動 | 多個 VM 建立活動 |
| 可疑的系統管理活動 | 不尋常的系統管理活動(由使用者) |
| 可疑的模擬活動 | 不尋常的模擬活動(由使用者) |
| 可疑的 OAuth 應用程式檔下載活動 | 可疑的 OAuth 應用程式檔下載活動 |
| 可疑的Power BI報表共用 | 可疑的Power BI報表共用 |
| 將認證新增至 OAuth 應用程式時異常 | OAuth 應用程式的異常認證新增 |
適用於雲端的 Defender Apps 從警示轉換為行為
為了提高 適用於雲端的 Defender Apps 所產生的警示品質,並降低誤判數目,適用於雲端的 Defender Apps 目前會將安全性內容從警示轉換為行為。
此程式旨在從提供低品質偵測的警示中移除原則,同時仍會建立著重於現用偵測的安全性案例。 同時,適用於雲端的 Defender Apps 會傳送行為來協助您進行調查。
從警示轉換為行為的轉換程式包含下列階段:
(完成)適用於雲端的 Defender 應用程式會平行傳送行為給警示。
(目前為預覽版)現在預設會停用產生行為的原則,而且不會傳送警示。
移至雲端管理的偵測模型,完全移除客戶面向的原則。 此階段計劃為內部原則針對高逼真度、以安全性為焦點的案例,提供自定義偵測和選取的警示。
轉換至行為也包含支持的行為類型增強功能,以及原則產生警示的調整,以獲得最佳精確度。
注意
最後一個階段的排程尚未確定。 客戶將會透過訊息中心的通知收到任何變更的通知。
如需詳細資訊,請參閱 TechCommunity 部落格。
在 Microsoft Defender 全面偵測回應 進階搜捕中使用行為
在 [Microsoft Defender 全面偵測回應 進階搜捕] 頁面中存取行為,並藉由查詢行為數據表及建立包含行為數據的自定義偵測規則,來使用行為。
[ 進階搜捕 ] 頁面中的行為架構類似於 警示架構,並包含下列數據表:
| 資料表名稱 | 描述 |
|---|---|
| BehaviorInfo | 使用其元數據記錄每個行為,包括行為標題、MITRE 攻擊類別和技術。 |
| BehaviorEntities | 屬於行為一部分之實體的資訊。 每個行為可以有多個記錄。 |
若要取得行為及其實體的完整資訊,請使用 BehaviorId 作為聯結的主鍵。 例如:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
範例案例
本節提供在 Microsoft Defender 全面偵測回應 進階搜捕頁面中使用行為數據的範例案例,以及相關的程式代碼範例。
提示
如果預設不再產生警示,請為您想要繼續顯示為警示的任何偵測建立 自定義偵測規則 。
取得大量下載的警示
案例:當特定使用者或容易遭到入侵或內部風險的使用者清單完成大量下載時,您想要收到警示。
若要這樣做,請根據下列查詢建立自定義偵測規則:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中建立和管理自定義偵測規則。
查詢 100 最近的行為
案例:您想要查詢與 MITRE 攻擊技術 有效帳戶 (T1078) 相關的 100 個最近行為。
使用以下查詢:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
調查特定用戶的行為
案例:了解使用者可能已遭入侵之後,調查與特定使用者相關的所有行為。
使用下列查詢,其中 username 是您想要調查的使用者名稱:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
調查特定IP地址的行為
案例:調查其中一個實體是可疑IP位址的所有行為。
使用下列查詢,其中 可疑IP* 是您想要調查的IP。
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
下一步
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。