雖然有些異常偵測主要著重於偵測有問題的安全情境,但其他則有助於識別與調查不一定代表入侵的異常使用者行為。 在這種情況下,Microsoft Defender for Cloud Apps 與 適用於雲端的 Microsoft Defender 會使用不同的資料型態,稱為行為(behaviors)。
本文說明如何透過 Microsoft Defender 全面偵測回應進階搜尋來調查 Defender for Cloud Apps 以及 適用於雲端的 Defender 的行為。
有回饋想分享嗎? 填寫我們的 回饋表單!
什麼是行為?
行為會附加於 MITRE 攻擊類別與技術,並提供比原始事件資料更深入的事件理解。 行為資料介於原始事件資料與事件產生的警示之間。
雖然這些行為可能與資安情境有關,但不一定代表惡意活動或安全事件。 每個行為都基於一個或多個原始事件,並利用 Defender for Cloud Apps 所學到或識別的資訊,提供特定時間發生的情境洞見。
重要事項
自 2025 年 3 月起,Defender for Cloud Apps客戶可設定 Role-Based 存取控制 (RBAC) 「行為」範圍。 這項新功能讓管理員能更精確地定義和管理存取權限。 管理員可以確保使用者根據其角色與職責,擁有適當的應用程式資料存取權限。 欲了解更多資訊,請參閱 如何設定管理員存取權。
支援偵測
Behaviors 目前支援低保真度、Defender for Cloud Apps 及 適用於雲端的 Defender 偵測,雖然不符合警示標準,但仍能在調查過程中提供背景資訊。 目前已支援的偵測包括:
| 警報名稱 | 原則名稱 | 行動類型 (狩獵) |
|---|---|---|
| 來自不常使用國家/地區的活動。 | 來自稀有國家/地區的活動 | 活動來自不常見的國家 |
| 不可能的旅行活動 | 不可能的移動 | 不可能的旅行活動 |
| 大量刪除 | 使用者 (異常檔案刪除活動) | 大量刪除 |
| 大量下載 | 使用者 (異常檔案下載) | 大量下載 |
| 大眾份額 | 使用者 (異常檔案分享活動) | MassShare |
| 多次刪除 VM 活動 | 多次刪除 VM 活動 | MultipleDeleteVmActivities |
| 多次失敗的登入嘗試 | 多次登入失敗 | 多次失敗登入嘗試 |
| 多項 Power BI 報告共享活動 | 多項 Power BI 報告共享活動 | MultiplePowerBi報告分享活動 |
| 多個 VM 建立活動 | 多個 VM 建立活動 | 多重Vm創造活動 |
| 可疑的行政活動 | 使用者 (異常管理活動) | 可疑行政活動 |
| 可疑冒充行為 | 使用者 (的異常冒充行為) | 可疑的冒充活動 |
| 可疑的 OAuth 應用程式檔案下載活動 | 可疑的 OAuth 應用程式檔案下載活動 | SuspiciousOauthAppFile下載活動 |
| 可疑的 Power BI 報告分享 | 可疑的 Power BI 報告分享 | 可疑的PowerBi報告分享 |
| 異常地新增認證至 OAuth 應用程式 | 異常地新增認證至 OAuth 應用程式 | UnusualAdditionOfCredentialsToAnOauthApp |
注意事項
「多個虛擬機建立活動」 與 「多個刪除虛擬機活動」 預計於 2026 年 5 月被棄用。 棄用後,這些行為將停止產生,且無法在 Microsoft Defender 全面偵測回應中進行搜尋、自訂偵測或關聯。 在棄用日期之前產生的紀錄將依標準資料保留政策被保留。
Defender for Cloud Apps 從警示轉向行為系統
為了提升 Defender for Cloud Apps 產生的警示品質並降低誤報數量,Defender for Cloud Apps 目前正將安全內容從警示轉移為行為。
此過程旨在移除提供低品質偵測的警示政策,同時仍建立專注於開箱即用偵測的安全情境。 同時,Defender for Cloud Apps 也會發送行為資料,協助你進行調查。
從警示到行為的轉換過程包含以下階段:
(Complete) Defender for Cloud Apps 會與警報平行傳送行為。
(產生行為的完整) 政策現在預設已停用,且不會發送警報。
轉用雲端管理的偵測模式,完全移除面向客戶的政策。 此階段計畫提供自訂偵測及由內部政策產生的精選警示,適用於高保真度、以安全為核心的情境。
轉向行為系統還包括對支援行為類型的強化,以及政策產生警報的調整,以達到最佳準確度。
注意事項
最後一階段的排程尚未確定。 客戶將透過訊息中心的通知收到任何變更通知。
欲了解更多資訊,請參閱我們的 TechCommunity 部落格。
在Microsoft Defender 全面偵測回應高級狩獵中使用行為
在 Microsoft Defender 全面偵測回應進階狩獵頁面中存取行為,並透過查詢行為表及建立包含行為資料的自訂偵測規則來使用行為。
進階狩獵頁面中的行為結構與警報結構相似,包含以下表格:
| 表格名稱 | 描述 |
|---|---|
| 行為資訊 | 記錄每個行為及其元資料,包括行為標題、MITRE 攻擊類別及技術。 |
| 行為實體 | 關於參與該行為的實體資訊。 每個行為可以有多個紀錄。 |
要完整了解行為及其實體,請將 作為 BehaviorId 連接的主鍵。 例如:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
範例案例
本節提供在 Microsoft Defender 全面偵測回應進階狩獵頁面中使用行為資料的範例情境,以及相關的程式碼範例。
提示
為任何你想繼續以警示形式出現的偵測建立 自訂偵測規則 ,若警報不再預設產生。
獲取大量下載的警示
情境:當特定使用者或一群容易被入侵或面臨內部風險的用戶進行大規模下載時,你希望能收到通知。
為此,請根據以下查詢建立自訂偵測規則:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
欲了解更多資訊,請參閱 Microsoft Defender 全面偵測回應中的建立與管理自訂偵測規則。
查詢 100 近期行為
情境:您想查詢 100 個近期行為,與 MITRE 攻擊技術 T1078 (有效帳戶相關) 。
請使用以下查詢:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
調查特定使用者的行為
情境:在了解該使用者可能遭到入侵後,調查與該特定使用者相關的所有行為。
請使用以下查詢,其中 用戶名稱 為你想調查的使用者名稱:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
調查特定 IP 位址的行為
情境:調查所有行為中,任何存在某個實體是可疑 IP 位址的情況。
請使用以下查詢,其中 spicious IP* 是你要調查的 IP。
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
後續步驟
如果你遇到任何問題,我們隨時準備協助。 若要獲得產品問題的協助或支援,請 開啟客服單。