Gedrag onderzoeken met geavanceerde opsporing (preview)
Hoewel sommige anomaliedetecties zich voornamelijk richten op het detecteren van problematische beveiligingsscenario's, kunnen andere helpen bij het identificeren en onderzoeken van afwijkend gebruikersgedrag dat niet noodzakelijkerwijs wijst op een inbreuk. In dergelijke gevallen gebruikt Microsoft Defender for Cloud Apps een afzonderlijk gegevenstype, gedrag genoemd.
In dit artikel wordt beschreven hoe u Defender for Cloud Apps gedrag kunt onderzoeken met Microsoft Defender XDR geavanceerde opsporing.
Hebt u feedback om te delen? Vul ons feedbackformulier in!
Wat is een gedrag?
Gedrag is gekoppeld aan MITRE-aanvalscategorieën en -technieken en bieden een dieper inzicht in een gebeurtenis dan wordt geboden door de onbewerkte gebeurtenisgegevens. Gedragsgegevens liggen tussen onbewerkte gebeurtenisgegevens en de waarschuwingen die door een gebeurtenis worden gegenereerd.
Hoewel gedrag kan zijn gerelateerd aan beveiligingsscenario's, zijn ze niet noodzakelijkerwijs een teken van schadelijke activiteit of een beveiligingsincident. Elk gedrag is gebaseerd op een of meer onbewerkte gebeurtenissen en biedt contextuele inzichten in wat er op een bepaald moment is gebeurd, met behulp van informatie die Defender for Cloud Apps zoals geleerd of geïdentificeerd.
Ondersteunde detecties
Gedrag ondersteunt momenteel detecties met een lage kwaliteit, Defender for Cloud Apps, die mogelijk niet voldoen aan de standaard voor waarschuwingen, maar nog steeds nuttig zijn bij het bieden van context tijdens een onderzoek. Momenteel ondersteunde detecties zijn onder andere:
| Waarschuwingsnaam | Beleidsnaam |
|---|---|
| Activiteit uit onregelmatig land | Activiteit uit niet-frequent land/regio |
| Onmogelijke reisactiviteit | Onmogelijk reizen |
| Massaal verwijderen | Ongebruikelijke bestandsverwijderingsactiviteit (per gebruiker) |
| Massaal downloaden | Ongebruikelijke bestandsdownload (door gebruiker) |
| Massashare | Ongebruikelijke activiteit van bestandsshares (per gebruiker) |
| Meerdere VM-activiteiten verwijderen | Meerdere VM-activiteiten verwijderen |
| Meerdere mislukte aanmeldingspogingen | Meerdere mislukte aanmeldingspogingen |
| Meerdere activiteiten voor het delen van Power BI-rapporten | Meerdere activiteiten voor het delen van Power BI-rapporten |
| Meerdere VM-activiteiten maken | Meerdere VM-activiteiten maken |
| Verdachte beheeractiviteiten | Ongebruikelijke beheeractiviteit (per gebruiker) |
| Verdachte geïmiteerde activiteit | Ongebruikelijke geïmiteerde activiteit (door gebruiker) |
| Verdachte activiteiten voor het downloaden van OAuth-app-bestanden | Verdachte activiteiten voor het downloaden van OAuth-app-bestanden |
| Verdacht delen van Power BI-rapporten | Verdacht delen van Power BI-rapporten |
| Ongebruikelijke toevoeging van referenties aan een OAuth-app | Ongebruikelijke toevoeging van referenties aan een OAuth-app |
Defender for Cloud Apps overgang van waarschuwingen naar gedrag
Om de kwaliteit van waarschuwingen die worden gegenereerd door Defender for Cloud Apps te verbeteren en het aantal fout-positieven te verlagen, zet Defender for Cloud Apps momenteel beveiligingsinhoud over van waarschuwingen naar gedrag.
Dit proces is erop gericht om beleidsregels te verwijderen uit waarschuwingen die detecties van lage kwaliteit bieden, terwijl er nog steeds beveiligingsscenario's worden gemaakt die gericht zijn op out-of-the-box detecties. Tegelijkertijd verzendt Defender for Cloud Apps gedrag om u te helpen bij uw onderzoeken.
Het overgangsproces van waarschuwingen naar gedrag omvat de volgende fasen:
(Voltooid) Defender for Cloud Apps verzendt gedrag parallel met waarschuwingen.
(Momenteel in preview) Beleidsregels die gedrag genereren, zijn nu standaard uitgeschakeld en verzenden geen waarschuwingen.
Overstappen op een door de cloud beheerd detectiemodel, waardoor klantgerichte beleidsregels volledig worden verwijderd. Deze fase is gepland om zowel aangepaste detecties als geselecteerde waarschuwingen te bieden die worden gegenereerd door intern beleid voor scenario's met hoge kwaliteit en op beveiliging gerichte scenario's.
De overgang naar gedrag omvat ook verbeteringen voor ondersteunde gedragstypen en aanpassingen voor door beleid gegenereerde waarschuwingen voor optimale nauwkeurigheid.
Opmerking
De planning van de laatste fase is niet bepaald. Klanten worden op de hoogte gesteld van wijzigingen via meldingen in het berichtencentrum.
Zie onze TechCommunity-blog voor meer informatie.
Gedrag gebruiken in Microsoft Defender XDR geavanceerde opsporing
Toegang tot gedrag in de Microsoft Defender XDR geavanceerde opsporingspagina en gebruik gedrag door gedragstabellen op te vragen en aangepaste detectieregels te maken die gedragsgegevens bevatten.
Het gedragsschema op de pagina Geavanceerde opsporing is vergelijkbaar met het waarschuwingsschema en bevat de volgende tabellen:
| Tabelnaam | Beschrijving |
|---|---|
| BehaviorInfo | Noteer per gedrag met de bijbehorende metagegevens, inclusief de titel van het gedrag, MITRE-aanvalscategorieën en technieken. (Niet beschikbaar voor GCC.) |
| Gedragsentiteiten | Informatie over de entiteiten die deel uitmaakten van het gedrag. Dit kunnen meerdere records per gedrag zijn. (Niet beschikbaar voor GCC.) |
Als u volledige informatie wilt over een gedrag en de bijbehorende entiteiten, gebruikt BehaviorId u als primaire sleutel voor de join. Bijvoorbeeld:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Voorbeeldscenario's
In deze sectie vindt u voorbeeldscenario's voor het gebruik van gedragsgegevens op de pagina Geavanceerde opsporing van Microsoft Defender XDR en relevante codevoorbeelden.
Tip
Maak aangepaste detectieregels voor detecties die u als waarschuwing wilt blijven weergeven als een waarschuwing niet meer standaard wordt gegenereerd.
Waarschuwingen ontvangen voor massadownloads
Scenario: u wilt een waarschuwing ontvangen wanneer een massadownload wordt uitgevoerd door een specifieke gebruiker of een lijst met gebruikers die vatbaar zijn voor inbreuk of interne risico's.
Maak hiervoor een aangepaste detectieregel op basis van de volgende query:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Zie Aangepaste detectieregels maken en beheren in Microsoft Defender XDR voor meer informatie.
Query 100 recent gedrag
Scenario: U wilt een query uitvoeren op 100 recente gedragingen met betrekking tot de MITRE-aanvalstechniek Geldige accounts (T1078).
Gebruik de volgende query:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Gedrag voor een specifieke gebruiker onderzoeken
Scenario: Onderzoek alle gedragingen met betrekking tot een specifieke gebruiker nadat de gebruiker mogelijk is gecompromitteerd.
Gebruik de volgende query, waarbij gebruikersnaam de naam is van de gebruiker die u wilt onderzoeken:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Gedrag voor een specifiek IP-adres onderzoeken
Scenario: Onderzoek alle gedragingen waarbij een van de entiteiten een verdacht IP-adres is.
Gebruik de volgende query, waarbij verdacht IP* het IP-adres is dat u wilt onderzoeken.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Volgende stappen
Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.