Undersöka beteenden med avancerad jakt (förhandsversion)
Medan vissa avvikelseidentifieringar främst fokuserar på att identifiera problematiska säkerhetsscenarier, kan andra hjälpa till att identifiera och undersöka avvikande användarbeteenden som inte nödvändigtvis tyder på en kompromiss. I sådana fall använder Microsoft Defender for Cloud Apps en separat datatyp som kallas beteenden.
Den här artikeln beskriver hur du undersöker Defender for Cloud Apps beteenden med Microsoft Defender XDR avancerad jakt.
Har du feedback att dela? Fyll i vårt feedbackformulär!
Vad är ett beteende?
Beteenden är kopplade till MITRE-attackkategorier och -tekniker och ger en djupare förståelse för en händelse än vad som tillhandahålls av rådata. Beteendedata ligger mellan rådata för händelser och aviseringar som genereras av en händelse.
Även om beteenden kan vara relaterade till säkerhetsscenarier är de inte nödvändigtvis ett tecken på skadlig aktivitet eller en säkerhetsincident. Varje beteende baseras på en eller flera råhändelser och ger sammanhangsbaserade insikter om vad som hände vid en viss tidpunkt, med hjälp av information som Defender for Cloud Apps som inlärd eller identifierad.
Identifieringar som stöds
Beteenden stöder för närvarande låg återgivning, Defender for Cloud Apps identifieringar, som kanske inte uppfyller standarden för aviseringar, men som fortfarande är användbara för att tillhandahålla kontext under en undersökning. För närvarande stöds identifieringar:
| Aviseringsnamn | Principnamn |
|---|---|
| Aktivitet från sällan förekommande land | Aktivitet från sällan förekommande land/region |
| Omöjlig reseaktivitet | Omöjlig resa |
| Massborttagning | Ovanlig filborttagningsaktivitet (per användare) |
| Massnedladdning | Ovanlig filnedladdning (per användare) |
| Massresurs | Ovanlig filresursaktivitet (per användare) |
| Flera borttagningsaktiviteter för virtuella datorer | Flera borttagningsaktiviteter för virtuella datorer |
| Flera misslyckade inloggningsförsök | Flera misslyckade inloggningsförsök |
| Flera Power BI-rapportdelningsaktiviteter | Flera Power BI-rapportdelningsaktiviteter |
| Flera aktiviteter för att skapa virtuella datorer | Flera aktiviteter för att skapa virtuella datorer |
| Misstänkt administrativ aktivitet | Ovanlig administrativ aktivitet (per användare) |
| Misstänkt personifierad aktivitet | Ovanlig personifierad aktivitet (per användare) |
| Misstänkta aktiviteter för nedladdning av OAuth-appfiler | Misstänkta aktiviteter för nedladdning av OAuth-appfiler |
| Misstänkt delning av Power BI-rapporter | Misstänkt delning av Power BI-rapporter |
| Ovanligt tillägg av autentiseringsuppgifter till en OAuth-app | Ovanligt tillägg av autentiseringsuppgifter till en OAuth-app |
Defender for Cloud Apps övergång från aviseringar till beteenden
För att förbättra kvaliteten på aviseringar som genereras av Defender for Cloud Apps och minska antalet falska positiva identifieringar Defender for Cloud Apps för närvarande övergår säkerhetsinnehåll från aviseringar till beteenden.
Den här processen syftar till att ta bort principer från aviseringar som ger identifieringar av låg kvalitet, samtidigt som säkerhetsscenarier som fokuserar på färdiga identifieringar skapas. Parallellt skickar Defender for Cloud Apps beteenden som hjälper dig i dina undersökningar.
Övergångsprocessen från aviseringar till beteenden omfattar följande faser:
(Klart) Defender for Cloud Apps skickar beteenden parallellt med aviseringar.
(För närvarande i förhandsversion) Principer som genererar beteenden är nu inaktiverade som standard och skickar inte aviseringar.
Gå över till en molnhanterad identifieringsmodell och ta bort kundinriktade principer helt. Den här fasen planeras att tillhandahålla både anpassade identifieringar och valda aviseringar som genereras av interna principer för säkerhetsfokuserade scenarier med hög återgivning.
Övergången till beteenden innehåller även förbättringar för beteendetyper som stöds och justeringar för principgenererade aviseringar för optimal noggrannhet.
Obs!
Schemaläggningen av den sista fasen är obestämd. Kunder meddelas om ändringar via meddelanden i Meddelandecenter.
Mer information finns i vår TechCommunity-blogg.
Använda beteenden i Microsoft Defender XDR avancerad jakt
Få åtkomst till beteenden på sidan Microsoft Defender XDR Avancerad jakt och använd beteenden genom att köra frågor mot beteendetabeller och skapa anpassade identifieringsregler som innehåller beteendedata.
Beteendeschemat på sidan Avancerad jakt liknar schemat för aviseringar och innehåller följande tabeller:
| Tabellnamn | Beskrivning |
|---|---|
| BehaviorInfo | Registrera per beteende med dess metadata, inklusive beteendetitel, MITRE-attackkategorier och tekniker. (Inte tillgängligt för GCC.) |
| BehaviorEntities | Information om de entiteter som ingick i beteendet. Kan vara flera poster per beteende. (Inte tillgängligt för GCC.) |
Om du vill få fullständig information om ett beteende och dess entiteter använder BehaviorId du som primärnyckel för kopplingen. Till exempel:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Exempelscenarier
Det här avsnittet innehåller exempelscenarier för användning av beteendedata på sidan Microsoft Defender XDR Avancerad jakt och relevanta kodexempel.
Tips
Skapa anpassade identifieringsregler för alla identifieringar som du vill fortsätta att visas som en avisering, om en avisering inte längre genereras som standard.
Hämta aviseringar för massnedladdningar
Scenario: Du vill få aviseringar när en massnedladdning görs av en specifik användare eller en lista över användare som är benägna att utsättas för risk eller interna risker.
Det gör du genom att skapa en anpassad identifieringsregel baserat på följande fråga:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Mer information finns i Skapa och hantera anpassade identifieringsregler i Microsoft Defender XDR.
Fråga 100 senaste beteenden
Scenario: Du vill fråga 100 senaste beteenden relaterade till MITRE-attacktekniken Giltiga konton (T1078).
Använd följande fråga:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Undersöka beteenden för en viss användare
Scenario: Undersök alla beteenden som är relaterade till en viss användare när du har förstått att användaren kan ha komprometterats.
Använd följande fråga, där användarnamnet är namnet på den användare som du vill undersöka:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Undersöka beteenden för en specifik IP-adress
Scenario: Undersök alla beteenden där en av entiteterna är en misstänkt IP-adress.
Använd följande fråga, där misstänkt IP* är den IP-adress som du vill undersöka.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Nästa steg
Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.