次の方法で共有


高度なハンティングを使用して動作を調査する (プレビュー)

異常検出の中には、主に問題のあるセキュリティ シナリオの検出に重点を置くものもありますが、侵害を必ずしも示さない異常なユーザーの動作を特定して調査するのに役立つものもあります。 このような場合、Microsoft Defender for Cloud Appsは動作と呼ばれる別のデータ型を使用します

この記事では、高度なハンティングを使用してDefender for Cloud Apps動作Microsoft Defender XDR調査する方法について説明します。

共有するフィードバックはありますか? フィードバック フォームにご記入ください。

動作とは

動作は MITRE 攻撃のカテゴリと手法に関連付けられており、生のイベント データによって提供されるよりも、イベントに関するより深い理解を提供します。 動作データは、生のイベント データとイベントによって生成されたアラートの間にあります。

動作はセキュリティ シナリオに関連している可能性があるものの、悪意のあるアクティビティやセキュリティ インシデントの兆候であるとは限りません。 各動作は、1 つ以上の生のイベントに基づいており、学習または識別された情報を使用して、特定の時刻に発生した内容に関 Defender for Cloud Appsするコンテキスト分析情報を提供します。

サポートされている検出

動作では現在、低忠実度のDefender for Cloud Apps検出がサポートされています。これはアラートの標準を満たしていない可能性がありますが、調査中にコンテキストを提供する際に引き続き役立ちます。 現在サポートされている検出には、次のものが含まれます。

アラート名 ポリシー名
頻度の低い国からのアクティビティ 頻度の低い国/地域からのアクティビティ
不可能な旅行活動 不可能な移動
一括削除 異常なファイル削除アクティビティ (ユーザー別)
一括ダウンロード 異常なファイルのダウンロード (ユーザー別)
一括共有 異常なファイル共有アクティビティ (ユーザー別)
複数の VM 削除アクティビティ 複数の VM 削除アクティビティ
複数回のログイン試行の失敗 サインイン試行が複数回失敗しました
複数の Power BI レポート共有アクティビティ 複数の Power BI レポート共有アクティビティ
複数の VM 作成アクティビティ 複数の VM 作成アクティビティ
疑わしい管理アクティビティ 異常な管理アクティビティ (ユーザー別)
不審な偽装アクティビティ 通常とは異なる偽装アクティビティ (ユーザー別)
疑わしい OAuth アプリ ファイルのダウンロード アクティビティ 疑わしい OAuth アプリ ファイルのダウンロード アクティビティ
疑わしい Power BI レポート共有 疑わしい Power BI レポート共有
通常と異なる OAuth アプリへの認証情報の追加 通常と異なる OAuth アプリへの認証情報の追加

アラートから動作へのDefender for Cloud Appsの移行

Defender for Cloud Appsによって生成されるアラートの品質を高め、誤検知の数を減らすために、Defender for Cloud Appsは現在、セキュリティ コンテンツをアラートから動作に移行しています

このプロセスは、低品質の検出を提供するアラートからポリシーを削除しながら、すぐに使用できる検出に焦点を当てたセキュリティ シナリオを作成することを目的としています。 並行して、Defender for Cloud Appsは調査に役立つ動作を送信します。

アラートから動作への移行プロセスには、次のフェーズが含まれます

  1. (完了)Defender for Cloud Appsは、アラートに並列で動作を送信します。

  2. (現在プレビュー段階)動作を生成するポリシーが既定で無効になり、アラートは送信されません。

  3. クラウド管理の検出モデルに移行し、顧客向けのポリシーを完全に削除します。 このフェーズでは、高忠実度でセキュリティに重点を置いたシナリオに対して、カスタム検出と内部ポリシーによって生成された選択されたアラートの両方を提供する予定です。

動作への移行には、サポートされている動作の種類の機能強化や、最適な精度のためのポリシー生成アラートの調整も含まれています。

注:

最後のフェーズのスケジュール設定は未確定です。 お客様には、メッセージ センターの通知を通じて変更が通知されます。

詳細については、 TechCommunity ブログを参照してください。

高度なハンティングで動作Microsoft Defender XDR使用する

[高度なハンティング] ページMicrosoft Defender XDRの動作にアクセスし、動作テーブルのクエリを実行し、動作データを含むカスタム検出ルールを作成して動作を使用します。

[高度なハンティング] ページの動作スキーマは、アラート スキーマと似ていますが、次の表が含まれています。

テーブル名 説明
BehaviorInfo 動作ごとに、動作タイトル、MITRE 攻撃カテゴリ、手法など、そのメタデータを使用して記録します。 (GCC では使用できません。)
BehaviorEntities 動作の一部であったエンティティに関する情報。 動作ごとに複数のレコードを指定できます。 (GCC では使用できません。)

動作とそのエンティティに関する完全な情報を取得するには、結合の主キーとして BehaviorId を使用します。 以下に例を示します。

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

サンプル シナリオ

このセクションでは、Microsoft Defender XDR高度なハンティング ページで動作データを使用するためのサンプル シナリオと、関連するコード サンプルについて説明します。

ヒント

アラートが既定で生成されなくなった場合に、アラートとして引き続き表示する任意の検出に対して カスタム検出ルール を作成します。

一括ダウンロードのアラートを取得する

シナリオ: 一括ダウンロードが特定のユーザーまたは侵害されやすいユーザーの一覧、または内部リスクが発生する可能性がある場合にアラートを受け取る必要があります。

これを行うには、次のクエリに基づいてカスタム検出ルールを作成します。

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

詳細については、「Microsoft Defender XDRでのカスタム検出ルールの作成と管理」を参照してください。

クエリ 100 の最近の動作

シナリオ: MITRE 攻撃手法 の有効なアカウント (T1078) に関連する 100 の最近の動作を照会する必要があります。

次のクエリを使用します。

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

特定のユーザーの動作を調査する

シナリオ: ユーザーが侵害された可能性があることを理解した後、特定のユーザーに関連するすべての動作を調査します。

次のクエリを使用します。 username は調査するユーザーの名前です。

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

特定の IP アドレスの動作を調査する

シナリオ: エンティティの 1 つが疑わしい IP アドレスであるすべての動作を調査します。

次のクエリを使用します。 ここで、疑わしい IP* は調査する IP です。

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

次の手順

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。