Sdílet prostřednictvím


Zkoumání chování pomocí rozšířeného proaktivního vyhledávání (Preview)

Zatímco některé detekce anomálií se primárně zaměřují na detekci problematických scénářů zabezpečení, jiné vám můžou pomoct s identifikací a zkoumáním neobvyklého chování uživatelů, které nemusí nutně značit ohrožení zabezpečení. V takových případech Microsoft Defender for Cloud Apps používá samostatný datový typ označovaný jako chování.

Tento článek popisuje, jak prozkoumat chování Defender for Cloud Apps pomocí Microsoft Defender XDR rozšířeného proaktivního vyhledávání.

Máte zpětnou vazbu ke sdílení? Vyplňte náš formulář pro zpětnou vazbu!

Co je chování?

Chování je připojeno ke kategoriím a technikám útoků MITRE a poskytuje hlubší porozumění události, než poskytuje nezpracovaná data událostí. Data o chování se nachází mezi nezpracovanými daty událostí a výstrahami vygenerovanými událostí.

I když chování může souviset se scénáři zabezpečení, nemusí být nutně příznakem škodlivé aktivity nebo incidentu zabezpečení. Každé chování je založené na jedné nebo několika nezpracovaných událostech a poskytuje kontextové přehledy o tom, co se stalo v určitém čase, a to s využitím informací, které Defender for Cloud Apps tak, jak se naučili nebo identifikovali.

Podporované detekce

Chování v současné době podporuje detekci Defender for Cloud Apps nízké přesnosti, která nemusí splňovat standard pro výstrahy, ale jsou stále užitečná při poskytování kontextu během vyšetřování. Mezi aktuálně podporované detekce patří:

Název upozornění Název zásady
Aktivita z občasné země Aktivita z občasné země nebo oblasti
Nesplnitelná cestovní aktivita Nemožné cestování
Hromadné odstranění Neobvyklá aktivita odstraňování souborů (podle uživatele)
Hromadné stažení Neobvyklé stahování souborů (podle uživatele)
Hromadný podíl Neobvyklá aktivita sdílené složky (podle uživatele)
Více aktivit odstranění virtuálních počítačů Více aktivit odstranění virtuálních počítačů
Několik neúspěšných pokusů o přihlášení Několik neúspěšných pokusů o přihlášení
Více aktivit sdílení sestav Power BI Více aktivit sdílení sestav Power BI
Více aktivit vytváření virtuálních počítačů Více aktivit vytváření virtuálních počítačů
Podezřelá aktivita správy Neobvyklá aktivita správy (podle uživatele)
Podezřelá zosobněná aktivita Neobvyklá zosobněná aktivita (podle uživatele)
Podezřelé aktivity stahování souborů aplikace OAuth Podezřelé aktivity stahování souborů aplikace OAuth
Podezřelé sdílení sestav Power BI Podezřelé sdílení sestav Power BI
Neobvyklé přidání přihlašovacích údajů do aplikace OAuth Neobvyklé přidání přihlašovacích údajů do aplikace OAuth

přechod Defender for Cloud Apps z upozornění na chování

Kvůli zvýšení kvality výstrah generovaných Defender for Cloud Apps a snížení počtu falešně pozitivních výsledků v současné době Defender for Cloud Apps přecházející obsah zabezpečení z výstrah na chování.

Cílem tohoto procesu je odebrat zásady z výstrah, které poskytují detekci nízké kvality, a zároveň vytvářet scénáře zabezpečení, které se zaměřují na předefinované detekce. Paralelně Defender for Cloud Apps odesílá chování, které vám pomůže při vyšetřování.

Proces přechodu z upozornění na chování zahrnuje následující fáze:

  1. (Dokončeno) Defender for Cloud Apps odesílá chování paralelně s výstrahami.

  2. (Aktuálně ve verzi Preview) Zásady, které generují chování, jsou teď ve výchozím nastavení zakázané a neodesílají upozornění.

  3. Přejděte na model detekce spravovaného v cloudu a úplně odeberte zásady pro zákazníky. V této fázi se plánuje poskytovat jak vlastní detekce, tak vybraná upozornění vygenerovaná interními zásadami pro vysoce věrné scénáře zaměřené na zabezpečení.

Přechod na chování zahrnuje také vylepšení podporovaných typů chování a úpravy upozornění generovaných zásadami pro zajištění optimální přesnosti.

Poznámka

Plánování poslední fáze je neurčené. Zákazníci budou na všechny změny upozorněni prostřednictvím oznámení v Centru zpráv.

Další informace najdete na našem blogu TechCommunity.

Použití chování při rozšířeném vyhledávání Microsoft Defender XDR

Přístup k chováním na stránce Microsoft Defender XDR rozšířeného proaktivního vyhledávání a používání chování dotazováním tabulek chování a vytvářením vlastních pravidel detekce, která obsahují data o chování.

Schéma chování na stránce Rozšířené proaktivní vyhledávání je podobné schématu upozornění a obsahuje následující tabulky:

Název tabulky Popis
Informace o chování Zaznamenejte jednotlivé chování pomocí jeho metadat, včetně názvu chování, kategorií útoků MITRE a technik. (Není k dispozici pro GCC.)
BehaviorEntity Informace o entitách, které byly součástí chování. Na chování může být více záznamů. (Není k dispozici pro GCC.)

Pokud chcete získat úplné informace o chování a jeho entitách, použijte BehaviorId jako primární klíč pro spojení. Příklady:

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

Ukázkové scénáře

Tato část obsahuje ukázkové scénáře pro použití dat o chování na stránce Microsoft Defender XDR rozšířeného proaktivního vyhledávání a relevantní ukázky kódu.

Tip

Vytvořte vlastní pravidla detekce pro každou detekci, která se má dál zobrazovat jako výstraha, pokud už se výstraha ve výchozím nastavení negeneruje.

Získání upozornění na hromadné stahování

Scénář: Chcete být upozorněni na hromadné stahování konkrétním uživatelem nebo seznamem uživatelů, kteří jsou náchylní k ohrožení zabezpečení nebo k internímu riziku.

Uděláte to tak, že vytvoříte vlastní pravidlo detekce založené na následujícím dotazu:

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

Další informace najdete v tématu Vytvoření a správa vlastních pravidel zjišťování v Microsoft Defender XDR.

Dotaz 100 nedávných chování

Scénář: Chcete se dotazovat na 100 nedávných chování souvisejících s technikou útoku MITRE Platné účty (T1078).

Použijte následující dotaz:

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

Zkoumání chování konkrétního uživatele

Scénář: Prozkoumejte všechna chování související s konkrétním uživatelem po zjištění, že uživatel mohl být ohrožen.

Použijte následující dotaz, kde uživatelské jméno je jméno uživatele, kterého chcete prozkoumat:

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

Zkoumání chování pro konkrétní IP adresu

Scénář: Prozkoumejte všechna chování, kdy jedna z entit představuje podezřelou IP adresu.

Použijte následující dotaz, kde podezřelá IP adresa* je IP adresa, kterou chcete prozkoumat.

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

Další kroky

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.