Analizzare i comportamenti con la ricerca avanzata (anteprima)
Mentre alcuni rilevamenti di anomalie si concentrano principalmente sul rilevamento di scenari di sicurezza problematici, altri possono aiutare a identificare e analizzare il comportamento anomalo degli utenti che non indica necessariamente una compromissione. In questi casi, Microsoft Defender for Cloud Apps usa un tipo di dati separato, denominato comportamenti.
Questo articolo descrive come analizzare i comportamenti Defender for Cloud Apps con Microsoft Defender XDR ricerca avanzata.
Hai commenti e suggerimenti da condividere? Compilare il modulo di feedback.
Che cos'è un comportamento?
I comportamenti sono associati a categorie e tecniche di attacco MITRE e forniscono una comprensione più approfondita di un evento rispetto ai dati degli eventi non elaborati. I dati sul comportamento si trovano tra i dati degli eventi non elaborati e gli avvisi generati da un evento.
Anche se i comportamenti possono essere correlati a scenari di sicurezza, non sono necessariamente un segno di attività dannose o di un evento imprevisto della sicurezza. Ogni comportamento è basato su uno o più eventi non elaborati e fornisce informazioni contestuali su ciò che si è verificato in un momento specifico, usando informazioni che Defender for Cloud Apps come apprese o identificate.
Rilevamenti supportati
I comportamenti attualmente supportano rilevamenti a bassa fedeltà, Defender for Cloud Apps, che potrebbero non soddisfare lo standard per gli avvisi, ma sono comunque utili per fornire contesto durante un'indagine. I rilevamenti attualmente supportati includono:
| Nome avviso | Nome criterio |
|---|---|
| Attività da Paesi poco frequenti | Attività da paesi/aree geografiche poco frequenti |
| Attività di viaggio impossibile | Viaggio impossibile |
| Eliminazione di massa | Attività insolita di eliminazione di file (per utente) |
| Download di massa | Download di file insolito (per utente) |
| Condivisione di massa | Attività insolita di condivisione file (per utente) |
| Molteplici attività di eliminazione di macchine virtuali | Molteplici attività di eliminazione di macchine virtuali |
| Molteplici tentativi di accesso non riusciti | Più tentativi di accesso non riusciti |
| Più attività di condivisione di report di Power BI | Più attività di condivisione di report di Power BI |
| Molteplici attività di creazione di macchine virtuali | Molteplici attività di creazione di macchine virtuali |
| Attività amministrative sospette | Attività amministrativa insolita (per utente) |
| Attività rappresentazione sospetta | Attività rappresentata insolita (per utente) |
| Attività sospette di download di file dell'app OAuth | Attività sospette di download di file dell'app OAuth |
| Condivisione di report di Power BI sospetta | Condivisione di report di Power BI sospetta |
| Aggiunta insolita di credenziali a un'app OAuth | Aggiunta insolita di credenziali a un'app OAuth |
transizione di Defender for Cloud Apps dagli avvisi ai comportamenti
Per migliorare la qualità degli avvisi generati da Defender for Cloud Apps e ridurre il numero di falsi positivi, Defender for Cloud Apps sta attualmente eseguendo la transizione del contenuto di sicurezza dagli avvisi ai comportamenti.
Questo processo mira a rimuovere i criteri dagli avvisi che forniscono rilevamenti di bassa qualità, creando allo stesso tempo scenari di sicurezza incentrati sui rilevamenti predefiniti. In parallelo, Defender for Cloud Apps invia comportamenti per facilitare le indagini.
Il processo di transizione dagli avvisi ai comportamenti include le fasi seguenti:
(Completato) Defender for Cloud Apps invia comportamenti in parallelo agli avvisi.
(Attualmente in anteprima) I criteri che generano comportamenti sono ora disabilitati per impostazione predefinita e non inviano avvisi.
Passare a un modello di rilevamento gestito dal cloud, rimuovendo completamente i criteri rivolti ai clienti. Questa fase è pianificata per fornire sia rilevamenti personalizzati che avvisi selezionati generati dai criteri interni per scenari ad alta fedeltà e incentrati sulla sicurezza.
La transizione ai comportamenti include anche miglioramenti per i tipi di comportamento supportati e correzioni per gli avvisi generati dai criteri per un'accuratezza ottimale.
Nota
La pianificazione dell'ultima fase è indeterminata. I clienti riceveranno una notifica di eventuali modifiche tramite notifiche nel Centro messaggi.
Per altre informazioni, vedere il blog TechCommunity.
Uso di comportamenti in Microsoft Defender XDR ricerca avanzata
Accedere ai comportamenti nella pagina ricerca avanzata Microsoft Defender XDR e usare i comportamenti eseguendo query sulle tabelle di comportamento e creando regole di rilevamento personalizzate che includono dati sul comportamento.
Lo schema dei comportamenti nella pagina Ricerca avanzata è simile allo schema degli avvisi e include le tabelle seguenti:
| Nome della tabella | Descrizione |
|---|---|
| BehaviorInfo | Registrare per comportamento con i relativi metadati, inclusi il titolo del comportamento, le categorie di attacco MITRE e le tecniche. (Non disponibile per GCC). |
| BehaviorEntities | Informazioni sulle entità che facevano parte del comportamento. Può essere più record per comportamento. (Non disponibile per GCC). |
Per ottenere informazioni complete su un comportamento e sulle relative entità, usare BehaviorId come chiave primaria per il join. Ad esempio:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Scenari di esempio
Questa sezione fornisce scenari di esempio per l'uso dei dati sul comportamento nella pagina di ricerca avanzata Microsoft Defender XDR ed esempi di codice pertinenti.
Consiglio
Creare regole di rilevamento personalizzate per qualsiasi rilevamento che si desidera continuare a visualizzare come avviso, se per impostazione predefinita non viene più generato un avviso.
Ottenere avvisi per i download di massa
Scenario: si vuole ricevere un avviso quando un download di massa viene eseguito da un utente specifico o da un elenco di utenti soggetti a compromissione o a rischi interni.
A tale scopo, creare una regola di rilevamento personalizzata basata sulla query seguente:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Per altre informazioni, vedere Creare e gestire regole di rilevamento personalizzate in Microsoft Defender XDR.
Eseguire query su 100 comportamenti recenti
Scenario: si vogliono eseguire query su 100 comportamenti recenti correlati alla tecnica di attacco MITRE Account validi (T1078).
Usare la query seguente:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Analizzare i comportamenti per un utente specifico
Scenario: analizzare tutti i comportamenti correlati a un utente specifico dopo aver compreso che l'utente potrebbe essere stato compromesso.
Usare la query seguente, dove username è il nome dell'utente da analizzare:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Analizzare i comportamenti per un indirizzo IP specifico
Scenario: analizzare tutti i comportamenti in cui una delle entità è un indirizzo IP sospetto.
Usare la query seguente, dove IP sospetto* è l'INDIRIZZO IP da analizzare.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Passaggi successivi
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.