Investigación de comportamientos con búsqueda avanzada de amenazas (versión preliminar)
Aunque algunas detecciones de anomalías se centran principalmente en detectar escenarios de seguridad problemáticos, otros pueden ayudar a identificar e investigar el comportamiento anómalo del usuario que no indica necesariamente un riesgo. En tales casos, Microsoft Defender for Cloud Apps usa un tipo de datos independiente, denominado comportamientos.
En este artículo se describe cómo investigar los comportamientos de Defender for Cloud Apps con la búsqueda avanzada de amenazas de Microsoft Defender XDR.
¿Tienes comentarios que compartir? ¡Rellena el formulario de comentarios!
¿Qué es un comportamiento?
Los comportamientos se adjuntan a las categorías y técnicas de ataque de MITRE y proporcionan una comprensión más profunda sobre un evento que los datos de eventos sin procesar proporcionan. Los datos de comportamiento se encuentran entre los datos de eventos sin procesar y las alertas generadas por un evento.
Aunque los comportamientos pueden estar relacionados con escenarios de seguridad, no son necesariamente un signo de actividad malintencionada o un incidente de seguridad. Cada comportamiento se basa en uno o varios eventos sin procesar y proporciona información contextual sobre lo que se produjo en un momento específico, con información que Defender for Cloud Apps ha aprendido o identificado.
Detecciones admitidas
Actualmente, los comportamientos admiten la baja fidelidad, las detecciones de Defender for Cloud Apps, que pueden no cumplir el estándar de las alertas, pero siguen siendo útiles para proporcionar contexto durante una investigación. Las detecciones admitidas actualmente incluyen:
| Nombre de la alerta | Nombre de la directiva |
|---|---|
| Actividad desde un país poco frecuente | Actividad desde un país o región poco frecuente |
| Actividad de viaje imposible | Viaje imposible |
| Eliminación masiva | Actividad inusual de eliminación de archivos (por usuario) |
| Descarga masiva | Descarga inusual de archivos (por usuario) |
| Uso compartido masivo | Actividad inusual de uso compartido de archivos (por usuario) |
| Varias actividades de eliminación de VM | Varias actividades de eliminación de VM |
| Varios intentos incorrectos de inicio de sesión | Varios intentos de inicio de sesión erróneos |
| Varias actividades de uso compartido de informes de Power BI | Varias actividades de uso compartido de informes de Power BI |
| Varias actividades de creación de máquinas virtuales | Varias actividades de creación de máquinas virtuales |
| Actividad administrativa sospechosa | Actividades inusuales administrativas (por usuario) |
| Actividad sospechosa de suplantación de identidad | Actividad inusual de suplantación de identidad (por usuario) |
| Actividades sospechosas de descarga de archivos de aplicaciones OAuth | Actividades sospechosas de descarga de archivos de aplicaciones OAuth |
| Uso compartido de informe de Power BI sospechoso | Uso compartido de informe de Power BI sospechoso |
| Adición inusual de credenciales a una aplicación de OAuth | Adición inusual de credenciales a una aplicación de OAuth |
Transición de Defender for Cloud Apps de alertas a comportamientos
Para mejorar la calidad de las alertas generadas por Defender for Cloud Apps y reducir el número de falsos positivos, Defender for Cloud Apps actualmente realiza la transición del contenido de seguridad de las alertas a los comportamientos.
Este proceso tiene como objetivo quitar directivas de alertas que proporcionan detecciones de baja calidad, a la vez que se crean escenarios de seguridad que se centran en detecciones integradas. En paralelo, Defender for Cloud Apps envía comportamientos para ayudarte en las investigaciones.
El proceso de transición de alertas a comportamientos incluye las siguientes fases:
(Completado) Defender for Cloud Apps envía comportamientos en paralelo a las alertas.
(Actualmente en versión preliminar) Las directivas que generan comportamientos ahora están deshabilitadas de forma predeterminada y no envían alertas.
Pasa a un modelo de detección administrada por la nube, quitando completamente las directivas orientadas al cliente. Esta fase está planeada para proporcionar detecciones personalizadas y alertas seleccionadas generadas por directivas internas para escenarios centrados en la seguridad y alta fidelidad.
La transición a comportamientos también incluye mejoras para los tipos de comportamiento admitidos y ajustes para las alertas generadas por directivas para una precisión óptima.
Nota:
La programación de la última fase es indeterminada. Los clientes recibirán una notificación de los cambios a través de notificaciones en el Centro de mensajes.
Para más información, consulta nuestro blog de TechCommunity.
Uso de comportamientos en la búsqueda avanzada de amenazas de Microsoft Defender XDR
Accede a los comportamientos de la página búsqueda avanzada de amenazas de Microsoft Defender XDR y usa comportamientos consultando tablas de comportamiento y creando reglas de detección personalizadas que incluyen datos de comportamiento.
El esquema de comportamientos de la página Búsqueda avanzada de amenazas es similar al esquema de alertas e incluye las tablas siguientes:
| Nombre de tabla | Descripción |
|---|---|
| BehaviorInfo | Registra por comportamiento con sus metadatos, incluido el título de comportamiento, las categorías de ataque MITRE y las técnicas. |
| BehaviorEntities | Información sobre las entidades que formaron parte del comportamiento. Puede ser varios registros por comportamiento. |
Para obtener información completa sobre un comportamiento y sus entidades, usa BehaviorId como clave principal para la combinación. Por ejemplo:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Escenarios de ejemplo
En esta sección se proporcionan escenarios de ejemplo para usar datos de comportamiento en la página búsqueda avanzada de Microsoft Defender XDR y ejemplos de código pertinentes.
Sugerencia
Crea reglas de detección personalizadas para cualquier detección que quieras que siga apareciendo como una alerta, si ya no se genera una alerta de forma predeterminada.
Obtención de alertas para descargas masivas
Escenario: quieres recibir alertas cuando un usuario específico realiza una descarga masiva o una lista de usuarios propensos a estar en peligro o a riesgos internos.
Para ello, crea una regla de detección personalizada basada en la consulta siguiente:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Para obtener más información, consulta Creación y administración de reglas de detección personalizadas en Microsoft Defender XDR.
Consultar 100 comportamientos recientes
Escenario: deseas consultar 100 comportamientos recientes relacionados con la técnica de ataque MITRE Cuentas válidas (T1078) .
Usa la siguiente consulta:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Investigación de comportamientos de un usuario específico
Escenario: investiga todos los comportamientos relacionados con un usuario específico después de comprender que el usuario puede haber estado en peligro.
Usa la consulta siguiente, donde username es el nombre del usuario que deseas investigar:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Investigación de comportamientos para una dirección IP específica
Escenario: investiga todos los comportamientos en los que una de las entidades es una dirección IP sospechosa.
Usa la consulta siguiente, donde IP sospechosa* es la dirección IP que deseas investigar.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Pasos siguientes
- Blog de TechCommunity
- Tutorial: Detección de actividad sospechosa del usuario con análisis del comportamiento
Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.