Undersøke virkemåter med avansert jakt (forhåndsvisning)
Mens noen avviksregistreringer hovedsakelig fokuserer på å oppdage problematiske sikkerhetsscenarioer, kan andre bidra til å identifisere og undersøke uregelmessig brukeratferd som ikke nødvendigvis indikerer et kompromiss. I slike tilfeller bruker Microsoft Defender for Cloud Apps en separat datatype, kalt virkemåter.
Denne artikkelen beskriver hvordan du undersøker Defender for Cloud Apps virkemåter med Microsoft Defender XDR avansert jakt.
Har du tilbakemeldinger å dele? Fyll ut tilbakemeldingsskjemaet vårt!
Hva er en virkemåte?
Virkemåter er knyttet til MITRE-angrepskategorier og -teknikker, og gir en dypere forståelse av en hendelse enn det som leveres av råhendelsesdataene. Virkemåtedata ligger mellom rå hendelsesdata og varslene som genereres av en hendelse.
Virkemåter kan være relatert til sikkerhetsscenarioer, men de er ikke nødvendigvis et tegn på ondsinnet aktivitet eller en sikkerhetshendelse. Hver virkemåte er basert på én eller flere rå hendelser, og gir kontekstuell innsikt i hva som skjedde på et bestemt tidspunkt, ved hjelp av informasjon som Defender for Cloud Apps som lært eller identifisert.
Støttede gjenkjenninger
Virkemåter støtter for øyeblikket lav gjengivelse, Defender for Cloud Apps oppdagelser, som kanskje ikke oppfyller standarden for varsler, men som fortsatt er nyttige for å gi kontekst under en undersøkelse. For øyeblikket er gjenkjenninger som støttes:
| Varselnavn | Policynavn | ActionType (jakt) |
|---|---|---|
| Aktivitet fra sjeldent land | Aktivitet fra sjeldent land/område | ActivityFromInfrequentCountry |
| Umulig reiseaktivitet | Umulig reise | ImpossibleTravelActivity |
| Massesletting | Uvanlig filslettingsaktivitet (etter bruker) | MassDelete |
| Massenedlasting | Uvanlig filnedlasting (etter bruker) | MassDownload |
| Massedeling | Uvanlig fildelingsaktivitet (etter bruker) | MassShare |
| Flere slettede VM-aktiviteter | Flere slettede VM-aktiviteter | MultipleDeleteVmActivities |
| Flere mislykkede påloggingsforsøk | Flere mislykkede påloggingsforsøk | MultipleFailedLoginAttempts |
| Flere rapportdelingsaktiviteter for Power BI | Flere rapportdelingsaktiviteter for Power BI | MultiplePowerBiReportSharingActivities |
| Flere vm-opprettelsesaktiviteter | Flere vm-opprettelsesaktiviteter | MultipleVmCreationActivities |
| Mistenkelig administrativ aktivitet | Uvanlig administrativ aktivitet (etter bruker) | SuspiciousAdministrativeActivity |
| Mistenkelig representert aktivitet | Uvanlig representert aktivitet (etter bruker) | SuspiciousImpersonatedActivity |
| Mistenkelige nedlastingsaktiviteter for OAuth-appfiler | Mistenkelige nedlastingsaktiviteter for OAuth-appfiler | MistenkeligeOauthAppFileDownloadActivities |
| Mistenkelig deling av Power BI-rapporter | Mistenkelig deling av Power BI-rapporter | MistenkeligPowerBiReportSharing |
| Uvanlig tillegg av legitimasjon til en OAuth-app | Uvanlig tillegg av legitimasjon til en OAuth-app | UnusualAdditionOfCredentialsToAnOauthApp |
Defender for Cloud Apps overgang fra varsler til virkemåter
Hvis du vil forbedre kvaliteten på varsler som genereres av Defender for Cloud Apps, og redusere antallet falske positiver, overfører Defender for Cloud Apps sikkerhetsinnhold fra varsler til virkemåter.
Denne prosessen tar sikte på å fjerne policyer fra varsler som gir oppdagelser av lav kvalitet, samtidig som du oppretter sikkerhetsscenarioer som fokuserer på ut-av-boksen-gjenkjenninger. Parallelt sender Defender for Cloud Apps atferd for å hjelpe deg i undersøkelsene dine.
Overgangsprosessen fra varsler til virkemåter inkluderer følgende faser:
(Fullført) Defender for Cloud Apps sender virkemåter parallelt til varsler.
(For øyeblikket i forhåndsvisning) Policyer som genererer virkemåter, er nå deaktivert som standard, og sender ikke varsler.
Flytt til en skyadministrert gjenkjenningsmodell, og fjern policyer som er vendt mot kunder fullstendig. Denne fasen er planlagt for å gi både egendefinerte gjenkjenninger og valgte varsler generert av interne policyer for høy gjengivelse, sikkerhetsfokuserte scenarier.
Overgangen til virkemåter inkluderer også forbedringer for støttede virkemåtetyper og justeringer for policygenererte varsler for optimal nøyaktighet.
Obs!
Planleggingen av den siste fasen er ubestemt. Kunder blir varslet om eventuelle endringer gjennom varsler i meldingssenteret.
Hvis du vil ha mer informasjon, kan du se TechCommunity-bloggen vår.
Bruke virkemåter i Microsoft Defender XDR avansert jakt
Access-virkemåter på Microsoft Defender XDR avansert jaktside, og bruk virkemåter ved å spørre etter virkemåtetabeller og opprette egendefinerte gjenkjenningsregler som inneholder virkemåtedata.
Virkemåteskjemaet på siden Avansert jakt ligner på varslingsskjemaet, og inkluderer følgende tabeller:
| Tabellnavn | Beskrivelse |
|---|---|
| BehaviorInfo | Registrer per virkemåte med metadataene, inkludert virkemåtetittel, MITRE-angrepskategorier og teknikker. (Ikke tilgjengelig for GCC.) |
| BehaviorEntities | Informasjon om enhetene som var en del av virkemåten. Kan være flere poster per virkemåte. (Ikke tilgjengelig for GCC.) |
Hvis du vil ha fullstendig informasjon om en virkemåte og enhetene, kan du bruke BehaviorId den som primærnøkkel for sammenføyningen. Eksempel:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Eksempelscenarioer
Denne delen inneholder eksempelscenarioer for bruk av virkemåtedata på Microsoft Defender XDR avansert jaktside og relevante kodeeksempler.
Tips
Opprett egendefinerte gjenkjenningsregler for gjenkjenning som du vil fortsette å vises som et varsel, hvis et varsel ikke lenger genereres som standard.
Få varsler for massenedlastinger
Scenario: Du vil bli varslet når en massenedlasting utføres av en bestemt bruker eller en liste over brukere som er utsatt for å bli utsatt for risiko.
Dette gjør du ved å opprette en egendefinert gjenkjenningsregel basert på følgende spørring:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Hvis du vil ha mer informasjon, kan du se Opprette og behandle egendefinerte registreringsregler i Microsoft Defender XDR.
Spørring 100 nylige virkemåter
Scenario: Du vil spørre etter 100 nylige virkemåter relatert til MITRE-angrepsteknikken Gyldige kontoer (T1078).
Bruk følgende spørring:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Undersøke virkemåter for en bestemt bruker
Scenario: Undersøk alle virkemåter som er relatert til en bestemt bruker, etter at du forstår at brukeren kan ha blitt kompromittert.
Bruk følgende spørring, der brukernavn er navnet på brukeren du vil undersøke:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Undersøke virkemåter for en bestemt IP-adresse
Scenario: Undersøk alle virkemåter der en av enhetene er en mistenkelig IP-adresse.
Bruk følgende spørring, der mistenkelig IP* er IP-adressen du vil undersøke.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Neste trinn
Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.