Undersøg funktionsmåder med avanceret jagt (prøveversion)
Nogle registreringer af uregelmæssigheder fokuserer primært på registrering af problematiske sikkerhedsscenarier, mens andre kan hjælpe med at identificere og undersøge uregelmæssigheder i brugeradfærd, der ikke nødvendigvis indikerer et kompromis. I sådanne tilfælde bruger Microsoft Defender for Cloud Apps en separat datatype kaldet funktionsmåder.
I denne artikel beskrives det, hvordan du undersøger Defender for Cloud Apps funktionsmåder med Microsoft Defender XDR avanceret jagt.
Har du feedback, du kan dele? Udfyld vores feedbackformular!
Hvad er en funktionsmåde?
Funktionsmåder er knyttet til MITRE-angrebskategorier og -teknikker og giver en dybere forståelse af en hændelse, end der leveres af rå hændelsesdataene. Adfærdsdata ligger mellem rå hændelsesdata og de beskeder, der genereres af en hændelse.
Selvom funktionsmåder kan være relateret til sikkerhedsscenarier, er de ikke nødvendigvis et tegn på skadelig aktivitet eller en sikkerhedshændelse. Hver funktionsmåde er baseret på en eller flere rå hændelser og giver kontekstafhængig indsigt i, hvad der skete på et bestemt tidspunkt, ved hjælp af oplysninger, der Defender for Cloud Apps som lært eller identificeret.
Understøttede registreringer
Funktionsmåder understøtter i øjeblikket lav pålidelighed, Defender for Cloud Apps registreringer, der muligvis ikke opfylder standarden for beskeder, men som stadig er nyttige i forbindelse med en undersøgelse. Aktuelt understøttede registreringer omfatter:
| Beskednavn | Politiknavn | ActionType (jagt) |
|---|---|---|
| Aktivitet fra sjældne lande | Aktivitet fra sjældent land/område | ActivityFromInfrequentCountry |
| Umulig rejseaktivitet | Umulig rejse | ImpossibleTravelActivity |
| Massesletning | Usædvanlig aktivitet for filsletning (efter bruger) | Masseslete |
| Massedownload | Usædvanlig fildownload (efter bruger) | MassDownload |
| Massedeling | Usædvanlig fildelingsaktivitet (efter bruger) | Massedeling |
| Flere slette VM-aktiviteter | Flere slette VM-aktiviteter | MultipleDeleteVmActivities |
| Flere mislykkede logonforsøg | Flere mislykkede logonforsøg | MultipleFailedLoginAttempts |
| Flere aktiviteter til deling af Power BI-rapporter | Flere aktiviteter til deling af Power BI-rapporter | MultiplePowerBiReportSharingActivities |
| Flere aktiviteter til oprettelse af vm | Flere aktiviteter til oprettelse af vm | MultipleVmCreationActivities |
| Mistænkelig administrativ aktivitet | Usædvanlig administrativ aktivitet (efter bruger) | MistænkeligAdministrativeAktivitet |
| Mistænkelig repræsenteret aktivitet | Usædvanlig repræsenteret aktivitet (efter bruger) | SuspiciousImpersonatedActivity |
| Mistænkelige aktiviteter for download af OAuth-appfiler | Mistænkelige aktiviteter for download af OAuth-appfiler | SuspiciousOauthAppFileDownloadActivities |
| Mistænkelig deling af Power BI-rapport | Mistænkelig deling af Power BI-rapport | MistænkeligPowerBiReportSharing |
| Usædvanlig tilføjelse af legitimationsoplysninger til en OAuth-app | Usædvanlig tilføjelse af legitimationsoplysninger til en OAuth-app | UnusualAdditionOfCredentialsToAnOauthApp |
Defender for Cloud Apps overgang fra beskeder til funktionsmåder
For at forbedre kvaliteten af beskeder, der genereres af Defender for Cloud Apps, og reducere antallet af falske positiver, overgår Defender for Cloud Apps i øjeblikket sikkerhedsindhold fra beskeder til funktionsmåder.
Denne proces har til formål at fjerne politikker fra beskeder, der giver registreringer af lav kvalitet, samtidig med at du stadig opretter sikkerhedsscenarier, der fokuserer på registreringer, der er indbyggede. Parallelt sender Defender for Cloud Apps adfærd for at hjælpe dig i dine undersøgelser.
Overgangsprocessen fra beskeder til funktionsmåder omfatter følgende faser:
(Fuldført) Defender for Cloud Apps sender funktionsmåder parallelt med beskeder.
(I øjeblikket i prøveversion) Politikker, der genererer funktionsmåder, er nu deaktiveret som standard og sender ikke beskeder.
Flyt til en cloudadministrert registreringsmodel, og fjern helt kundeorienterede politikker. Denne fase er planlagt til at levere både brugerdefinerede registreringer og udvalgte beskeder, der genereres af interne politikker for scenarier med høj pålidelighed og fokus på sikkerhed.
Overgangen til funktionsmåder omfatter også forbedringer af understøttede funktionsmådetyper og justeringer af politikoprettede beskeder for at opnå optimal nøjagtighed.
Bemærk!
Planlægningen af den sidste fase er ikke defineret. Kunderne får besked om eventuelle ændringer via meddelelser i Meddelelsescenter.
Du kan få flere oplysninger på vores techcommunity-blog.
Brug af adfærd i Microsoft Defender XDR avanceret jagt
Få adgang til funktionsmåder på Microsoft Defender XDR siden Avanceret jagt, og brug funktionsmåder ved at forespørge om adfærdstabeller og oprette brugerdefinerede regler for registrering, der indeholder adfærdsdata.
Skemaet over funktionsmåder på siden Avanceret jagt ligner beskedskemaet og indeholder følgende tabeller:
| Tabelnavn | Beskrivelse |
|---|---|
| Oplysninger om funktionsmåde | Registrer pr. funktionsmåde med dens metadata, herunder titel på funktionsmåde, MITRE-angrebskategorier og teknikker. (Ikke tilgængelig for GCC. |
| BehaviorEntities | Oplysninger om de objekter, der var en del af funktionsmåden. Kan være flere poster pr. funktionsmåde. (Ikke tilgængelig for GCC. |
Hvis du vil have komplette oplysninger om en funktionsmåde og dens objekter, skal du bruge BehaviorId som den primære nøgle for joinforbindelsen. Det kan f.eks. være:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Eksempelscenarier
Dette afsnit indeholder eksempelscenarier til brug af adfærdsdata på Microsoft Defender XDR siden Avanceret jagt og relevante kodeeksempler.
Tip
Opret regler for brugerdefineret registrering for alle registreringer, som du vil fortsætte med at vise som en besked, hvis der ikke længere genereres en besked som standard.
Få beskeder om masseoverførsler
Scenarie: Du vil gerne have besked, når en massedownload udføres af en bestemt bruger eller en liste over brugere, der er tilbøjelige til at blive kompromitteret, eller som er forbundet med en intern risiko.
Det gør du ved at oprette en brugerdefineret regel for registrering baseret på følgende forespørgsel:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Du kan få flere oplysninger under Opret og administrer regler for brugerdefineret registrering i Microsoft Defender XDR.
Forespørgsel 100 seneste funktionsmåder
Scenarie: Du vil forespørge om 100 seneste funktionsmåder, der er relateret til MITRE-angrebsteknikken Valid Accounts (T1078).
Brug følgende forespørgsel:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Undersøg funktionsmåder for en bestemt bruger
Scenarie: Undersøg alle funktionsmåder, der er relateret til en bestemt bruger, efter at have forståelse for, at brugeren kan være blevet kompromitteret.
Brug følgende forespørgsel, hvor brugernavn er navnet på den bruger, du vil undersøge:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Undersøg funktionsmåder for en bestemt IP-adresse
Scenarie: Undersøg alle funktionsmåder, hvor et af enhederne er en mistænkelig IP-adresse.
Brug følgende forespørgsel, hvor mistænkelig IP* er den IP-adresse, du vil undersøge.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Næste trin
Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.