Toiminnan tutkiminen kehittyneen metsästyksen avulla (esikatselu)
Vaikka jotkin poikkeamien tunnistamiset keskittyvät ensisijaisesti ongelmallisten tietoturvaskenaarioiden havaitsemiseen, toiset voivat auttaa tunnistamaan ja tutkimaan poikkeavaa käyttäjän käyttäytymistä, joka ei välttämättä tarkoita kompromissia. Tällaisissa tapauksissa Microsoft Defender for Cloud Apps käyttää erillistä tietotyyppiä, jota kutsutaan toiminnaksi.
Tässä artikkelissa kerrotaan, miten voit tutkia Defender for Cloud Apps toimintaa Microsoft Defender XDR kehittyneen metsästyksen kanssa.
Haluatko antaa palautetta jaettavaksi? Täytä palautelomake!
Mitä toiminta on?
Toiminta liittyy MITRE-hyökkäysluokkiin ja -tekniikoihin, ja ne antavat tapahtumasta syvällisemmän käsityksen kuin raakatapahtumatiedot tarjoavat. Toimintatiedot ovat raakatapahtumatietojen ja tapahtuman luomien ilmoitusten välissä.
Vaikka toiminta saattaa liittyä tietoturvaskenaarioon, ne eivät välttämättä ole merkki haitallisesta toiminnasta tai tietoturvatapauksesta. Jokainen toiminta perustuu yhteen tai useampaan raakatapahtumaan, ja se tarjoaa tilannekohtaisia merkityksellisiä tietoja tietyn ajankohdan tapahtumista käyttämällä tietoja, jotka Defender for Cloud Apps opituiksi tai tunnistetuiksi.
Tuetut tunnistuksia
Toiminnot tukevat tällä hetkellä heikkota tarviketasoa Defender for Cloud Apps tunnistuksia, jotka eivät ehkä täytä ilmoitusten standardia, mutta joista on silti hyötyä kontekstin tarjoamisessa tutkimuksen aikana. Tällä hetkellä tuettuja tunnistuksia ovat muun muassa seuraavat:
| Ilmoituksen nimi | Käytännön nimi |
|---|---|
| Aktiviteetti harvinaisesta maasta | Aktiviteetti harvinaisesta maasta tai alueelta |
| Mahdoton matkatoiminta | Mahdoton matka |
| Joukkopoisto | Epätavallinen tiedostojen poistotoiminto (käyttäjän mukaan) |
| Joukkolataus | Epätavallinen tiedoston lataus (käyttäjän mukaan) |
| Joukko-osuus | Epätavallinen jaetun tiedostoresurssin toiminta (käyttäjän mukaan) |
| Useat poiston näennäiskonetoiminnot | Useat poiston näennäiskonetoiminnot |
| Useita epäonnistuneita kirjautumisyrityksiä | Useita epäonnistuneita kirjautumisyrityksiä |
| Useita Power BI -raporttien jakamistoimintoja | Useita Power BI -raporttien jakamistoimintoja |
| Useiden näennäiskontaktiviteetin luontitoiminnot | Useiden näennäiskontaktiviteetin luontitoiminnot |
| Epäilyttävä hallinnollinen toiminta | Epätavallinen hallinnollinen toiminta (käyttäjän mukaan) |
| Epäilyttävä tekeytyminen toiminnaksi | Epätavallinen tekeytynyt toiminta (käyttäjän mukaan) |
| Epäilyttävät OAuth-sovellustiedostojen lataustoiminnot | Epäilyttävät OAuth-sovellustiedostojen lataustoiminnot |
| Epäilyttävä Power BI -raporttien jakaminen | Epäilyttävä Power BI -raporttien jakaminen |
| Epätavallinen tunnistetietojen lisääminen OAuth-sovellukseen | Epätavallinen tunnistetietojen lisääminen OAuth-sovellukseen |
Defender for Cloud Apps' siirtyminen hälytyksistä toimintoihin
Defender for Cloud Apps luomien ilmoitusten laadun parantamiseksi ja false-positiivisten määrän pienentämiseksi Defender for Cloud Apps siirtää suojaussisältöä ilmoituksistakäyttäytymiseen.
Tämän prosessin tarkoituksena on poistaa käytäntöjä hälytyksistä, jotka antavat heikkolaatuisia tunnistusta, ja samalla luoda suojausskenaarioita, jotka keskittyvät valmiisiin tunnistyksiin. Rinnakkain Defender for Cloud Apps lähettää toimintaa, joka auttaa sinua tutkimuksissasi.
Siirtyminen ilmoituksista toimintoihin sisältää seuraavat vaiheet:
(Valmis) Defender for Cloud Apps lähettää toiminnot rinnakkain ilmoitusten kanssa.
(Tällä hetkellä esikatseluvaiheessa) Toiminnot luovat käytännöt ovat nyt oletusarvoisesti poissa käytöstä, eivätkä ne lähetä ilmoituksia.
Siirry pilvihallittuun tunnistusmalliin ja poista asiakaskohtaiset käytännöt kokonaan. Tämän vaiheen tarkoituksena on tarjota sekä mukautettuja tunnistuksia että valittuja hälytyksiä, jotka on luotu sisäisillä käytännöillä korkealaatuisia ja tietoturvaan keskittyviä skenaarioita varten.
Toimintoihin siirtyminen sisältää myös parannuksia tuettuihin toimintatyyppeihin ja käytännön luomien ilmoitusten mukautuksia optimaalisen tarkkuuden saavuttamiseksi.
Huomautus
Viimeisen vaiheen ajoitusta ei ole määritetty. Asiakkaille ilmoitetaan muutoksista viestikeskuksessa olevien ilmoitusten kautta.
Lisätietoja on TechCommunity-blogissamme.
Käyttäytymisen käyttäminen Microsoft Defender XDR kehittyneessä metsästyksessä
Käytä Microsoft Defender XDR lisämetsästyssivulla ja käytä toimintamalleja kyselemällä toimintataulukoita ja luomalla mukautettuja tunnistussääntöjä, jotka sisältävät toimintatietoja.
Lisäasetusten metsästyssivun toimintarakenne on samankaltainen kuin ilmoitusrakenne, ja se sisältää seuraavat taulukot:
| Taulukon nimi | Kuvaus |
|---|---|
| BehaviorInfo | Tietueen toimintakohtainen metatietoineen, mukaan lukien käyttäytymisen otsikko, MITRE-hyökkäysluokat ja tekniikat. (Ei käytettävissä GCC:lle.) |
| Toimintaentiteetit | Tietoja entiteeteistä, jotka olivat osa toimintaa. Voi olla useita tietueita toimintaa kohden. (Ei käytettävissä GCC:lle.) |
Saat täydelliset tiedot toiminnasta ja sen entiteeteistä käyttämällä BehaviorId liitoksen perusavaimena. Esimerkki:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Esimerkkiskenaariot
Tässä osiossa on esimerkkitilanteita toimintatietojen käyttämisestä Microsoft Defender XDR lisämetsästyssivulla sekä olennaisia koodinäytteitä.
Vihje
Luo mukautetut tunnistussäännöt tunnistukseen, jonka haluat näkyvän edelleen ilmoituksena, jos ilmoitusta ei enää luoda oletusarvoisesti.
Joukkolatauksia varten ilmoitusten saaminen
Skenaario: Haluat saada hälytyksen, kun tietty käyttäjä tai käyttäjäluettelo, joka on altis vaarantumaan tai sisäiselle riskille, tekee joukkolatauksen.
Voit tehdä tämän luomalla mukautetun tunnistussäännön seuraavan kyselyn perusteella:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Lisätietoja on artikkelissa Mukautettujen tunnistussääntöjen luominen ja hallinta Microsoft Defender XDR.
Kyselyn 100 viimeisintä toimintaa
Skenaario: Haluat kysellä 100 viimeaikaista toimintaa, jotka liittyvät MITRE-hyökkäystekniikkaan Valid Accounts (T1078).
Käytä seuraavaa kyselyä:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Tietyn käyttäjän toiminnan tutkiminen
Skenaario: Tutki kaikkia tiettyyn käyttäjään liittyviä toimintoja sen jälkeen, kun olet ymmärtänyt, että käyttäjä on saattanut olla vaarantunut.
Käytä seuraavaa kyselyä, jossa käyttäjänimi on tutkittavan käyttäjän nimi:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Tietyn IP-osoitteen toiminnan tutkiminen
Skenaario: Tutki kaikki toiminnot, joissa yksi entiteeteistä on epäilyttävä IP-osoite.
Käytä seuraavaa kyselyä, jossa epäilyttävä IP*on IP-osoite, jonka haluat tutkia.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Seuraavat vaiheet
- TechCommunity-blogi
- Opetusohjelma: Epäilyttävän käyttäjän toiminnan havaitseminen käyttäytymisanalytiikan avulla
Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö..