共用方式為


使用進階搜捕 (預覽版調查行為)

雖然某些異常偵測主要著重於偵測有問題的安全性案例,但其他異常偵測則可協助識別及調查不一定表示入侵的異常用戶行為。 在這種情況下,Microsoft Defender for Cloud Apps 會使用稱為行為的個別數據類型。

本文說明如何使用 Microsoft Defender 全面偵測回應 進階搜捕來調查 Defender for Cloud Apps 行為。

有意見反應要分享嗎? 填寫我們 的意見反應表單

什麼是行為?

行為會附加至 MITRE 攻擊類別和技術,並提供比原始事件數據所提供更深入的事件瞭解。 行為數據位於原始事件數據與事件所產生的警示之間。

雖然行為可能與安全性案例相關,但不一定是惡意活動或安全性事件的徵兆。 每個行為都是以一或多個原始事件為基礎,並使用 Defender for Cloud Apps 學習或識別的資訊,提供特定時間發生之事件的內容相關見解。

支援的偵測

行為目前支援低精確度 Defender for Cloud Apps 偵測,這些偵測可能不符合警示的標準,但在調查期間提供內容仍然很有用。 目前支援的偵測包括:

警示名稱 原則名稱
來自不常使用國家/地區的活動。 來自不常使用國家/地區的活動
不可能的旅遊活動 不可能的移動
大量刪除 使用者) (的異常檔案刪除活動
大量下載 使用者) 的異常檔案下載 (
大量共用 使用者) (的異常檔案共享活動
多次刪除 VM 活動 多次刪除 VM 活動
多次失敗的登入嘗試 多次失敗的登入嘗試
多個 Power BI 報表共用活動 多個 Power BI 報表共用活動
多個 VM 建立活動 多個 VM 建立活動
可疑的系統管理活動 使用者) (不尋常的系統管理活動
可疑的模擬活動 使用者 (的異常模擬活動)
可疑的 OAuth 應用程式檔案下載活動 可疑的 OAuth 應用程式檔案下載活動
可疑的Power BI報表共用 可疑的Power BI報表共用
異常地新增認證至 OAuth 應用程式 異常地新增認證至 OAuth 應用程式

Defender for Cloud Apps 從警示轉換為行為

為了增強 Defender for Cloud Apps 所產生的警示品質,並降低誤判的數目,Defender for Cloud Apps 目前正在將安全性內容從警示轉換為行為

此程式旨在從提供低品質偵測的警示中移除原則,同時仍然建立著重於現成偵測的安全性案例。 同時,Defender for Cloud Apps 傳送行為以協助您進行調查。

從警示到行為的轉換程式包含下列階段

  1. (完成) Defender for Cloud Apps 將行為平行傳送至警示。

  2. (目前處於預覽狀態) 產生行為的原則現在預設為停用,且不會傳送警示。

  3. 移至雲端管理的偵測模型,完全移除面向客戶的原則。 此階段計劃提供自定義偵測,以及內部原則針對高精確度、以安全性為焦點的案例所產生的選取警示。

轉換為行為也包含支持的行為類型增強功能,以及針對原則產生的警示進行調整,以獲得最佳精確度。

注意事項

最後一個階段的排程未決定。 客戶會透過訊息中心的通知收到任何變更的通知。

如需詳細資訊,請參閱 TechCommunity 部落格

在 Microsoft Defender 全面偵測回應 進階搜捕中使用行為

存取 Microsoft Defender 全面偵測回應 進階搜捕頁面中的行為,並藉由查詢行為數據表並建立包含行為數據的自定義偵測規則來使用行為。

進階 搜捕 頁面中的行為架構類似於 警示架構,並包含下列數據表:

表格名稱 描述
BehaviorInfo 記錄每個行為及其元數據,包括行為標題、MITRE 攻擊類別和技術。 (不適用於 GCC.)
BehaviorEntities 屬於行為一部分之實體的相關信息。 可以是每個行為的多筆記錄。 (不適用於 GCC.)

若要取得行為及其實體的完整資訊,請使用 BehaviorId 作為聯結的主鍵。 例如:

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

範例案例

本節提供在 [Microsoft Defender 全面偵測回應 進階搜捕] 頁面中使用行為數據的範例案例,以及相關的程式代碼範例。

提示

如果預設不再產生警示,請為您想要繼續顯示為警示的任何偵測建立 自定義 偵測規則。

取得大量下載的警示

案例:當特定使用者或容易遭到入侵的使用者清單或內部風險進行大量下載時,您想要收到警示。

若要這樣做,請根據下列查詢建立自定義偵測規則:

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中建立和管理自定義偵測規則

查詢 100 個最近的行為

案例:您想要查詢 100 個與 MITRE 攻擊技術相關的最近行為 ,有效帳戶 (T1078)

使用下列查詢:

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

調查特定用戶的行為

案例:在了解使用者可能遭到入侵之後,調查與特定使用者相關的所有行為。

使用下列查詢,其中 username 是您想要調查的使用者名稱:

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

調查特定IP地址的行為

案例:調查其中一個實體是可疑IP位址的所有行為。

使用下列查詢,其中 可疑的IP* 是您想要調查的IP。

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

後續步驟

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證