Viselkedés vizsgálata speciális kereséssel (előzetes verzió)
Míg egyes anomáliadetektálások elsősorban a problémás biztonsági forgatókönyvek észlelésére összpontosítanak, mások segíthetnek azonosítani és kivizsgálni a rendellenes felhasználói viselkedést, amely nem feltétlenül jelent kompromisszumot. Ilyen esetekben az Felhőhöz készült Microsoft Defender-alkalmazások egy külön adattípust, úgynevezett viselkedést használnak.
Ez a cikk azt ismerteti, hogyan vizsgálhatja Felhőhöz készült Defender alkalmazások viselkedését a Microsoft Defender XDR speciális vadászatával.
Visszajelzést szeretne megosztani? Töltse ki visszajelzési űrlapunkat!
Mi az a viselkedés?
A viselkedések a MITRE támadási kategóriáihoz és technikáihoz vannak csatolva, és mélyebb megértést nyújtanak az eseményekkel kapcsolatban, mint a nyers eseményadatok. A viselkedési adatok a nyers eseményadatok és az esemény által generált riasztások között rejlik.
Bár a viselkedések biztonsági forgatókönyvekhez kapcsolódhatnak, nem feltétlenül rosszindulatú tevékenység vagy biztonsági incidens jele. Minden viselkedés egy vagy több nyers eseményen alapul, és kontextusbeli elemzéseket nyújt az adott időpontban történt eseményekről, a tanult vagy azonosított alkalmazások Felhőhöz készült Defender információkat használva.
Támogatott észlelések
A viselkedések jelenleg támogatják az alacsony megbízhatóságot, Felhőhöz készült Defender alkalmazásészleléseket, amelyek nem felelnek meg a riasztások szabványának, de a vizsgálat során továbbra is hasznosak a környezet biztosításában. A jelenleg támogatott észlelések a következők:
| Riasztás neve | Házirend neve |
|---|---|
| Ritka országból származó tevékenység | Ritka országból/régióból származó tevékenység |
| Lehetetlen utazási tevékenység | Lehetetlen utazás |
| Tömeges törlés | Szokatlan fájltörlési tevékenység (felhasználó szerint) |
| Tömeges letöltés | Szokatlan fájlletöltés (felhasználó szerint) |
| Tömeges megosztás | Szokatlan fájlmegosztási tevékenység (felhasználó szerint) |
| Több virtuálisgép-törlési tevékenység | Több virtuálisgép-törlési tevékenység |
| Több sikertelen bejelentkezési kísérlet | Több sikertelen bejelentkezési kísérlet |
| Több Power BI-jelentésmegosztási tevékenység | Több Power BI-jelentésmegosztási tevékenység |
| Több virtuálisgép-létrehozási tevékenység | Több virtuálisgép-létrehozási tevékenység |
| Gyanús rendszergazdai tevékenység | Szokatlan felügyeleti tevékenység (felhasználó szerint) |
| Gyanús megszemélyesített tevékenység | Szokatlan megszemélyesített tevékenység (felhasználó szerint) |
| Gyanús OAuth-alkalmazásfájl-letöltési tevékenységek | Gyanús OAuth-alkalmazásfájl-letöltési tevékenységek |
| Gyanús Power BI-jelentésmegosztás | Gyanús Power BI-jelentésmegosztás |
| Hitelesítő adatok szokatlan hozzáadása OAuth-alkalmazásokhoz | Hitelesítő adatok szokatlan hozzáadása OAuth-alkalmazásokhoz |
Felhőhöz készült Defender alkalmazások váltása riasztásokról viselkedésre
Az Felhőhöz készült Defender Apps által létrehozott riasztások minőségének javítása és a hamis pozitív értékek számának csökkentése érdekében Felhőhöz készült Defender Alkalmazások jelenleg a biztonsági tartalmakat a riasztásokról a viselkedésekre váltják át.
Ennek a folyamatnak az a célja, hogy eltávolítsa a szabályzatokat az alacsony minőségű észlelést eredményező riasztásokból, miközben továbbra is olyan biztonsági forgatókönyveket hoz létre, amelyek a beépített észlelésekre összpontosítanak. Ezzel párhuzamosan az Felhőhöz készült Defender-alkalmazások viselkedést küldenek, hogy segítsenek a vizsgálatokban.
A riasztásokról a viselkedésekre való áttérés a következő fázisokat foglalja magában:
(Kész) Felhőhöz készült Defender alkalmazások a riasztásokkal párhuzamosan küldenek viselkedést.
(Jelenleg előzetes verzióban) A viselkedést létrehozó házirendek alapértelmezés szerint le vannak tiltva, és nem küldenek riasztásokat.
Lépjen egy felhőalapú észlelési modellre, és távolítsa el teljesen az ügyféloldali szabályzatokat. Ennek a fázisnak a célja az egyéni észlelések és a belső szabályzatok által generált kiválasztott riasztások biztosítása a magas megbízhatóságú, biztonságközpontú forgatókönyvek esetében.
A viselkedésre való áttérés a támogatott viselkedéstípusok fejlesztéseit és a szabályzat által generált riasztások optimális pontosságú módosításait is tartalmazza.
Feljegyzés
Az utolsó fázis ütemezése nincs meghatározva. Az ügyfelek értesítést kapnak a változásokról az Üzenetközpontban található értesítéseken keresztül.
További információ: TechCommunity blog.
Viselkedés használata a Microsoft Defender XDR speciális vadászatában
A Viselkedések elérése a Microsoft Defender XDR Speciális vadászlapján , viselkedéstáblák lekérdezésével és viselkedési adatokat tartalmazó egyéni észlelési szabályok létrehozásával.
A Speciális vadászlap viselkedési sémája hasonló a riasztási sémához, és a következő táblázatokat tartalmazza:
| Table name (Táblázat neve) | Leírás |
|---|---|
| BehaviorInfo | Viselkedésenkénti rekord a metaadatokkal, beleértve a viselkedés címét, a MITRE támadási kategóriáit és a technikákat. |
| BehaviorEntities | A viselkedés részét képező entitásokra vonatkozó információk. Viselkedésenként több rekord is lehet. |
Ha teljes körű információt szeretne kapni egy viselkedésről és az entitásokról, használja BehaviorId az illesztés elsődleges kulcsaként. Példa:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Használati példák
Ez a szakasz mintaforgatókönyveket biztosít a Viselkedési adatok Microsoft Defender XDR Speciális vadászlapon való használatához, valamint a vonatkozó kódmintákat.
Tipp.
Hozzon létre egyéni észlelési szabályokat minden olyan észleléshez, amelyet továbbra is riasztásként szeretne megjeleníteni, ha a riasztás már nem jön létre alapértelmezés szerint.
Riasztások lekérése tömeges letöltésekhez
Forgatókönyv: Riasztást szeretne kapni, ha egy adott felhasználó tömeges letöltést végez, vagy olyan felhasználók listáját, amelyek potenciálisan veszélyeztetettek vagy belső kockázatnak vannak kitéve.
Ehhez hozzon létre egy egyéni észlelési szabályt a következő lekérdezés alapján:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
További információ: Egyéni észlelési szabályok létrehozása és kezelése a Microsoft Defender XDR-ben.
Lekérdezés 100 legutóbbi viselkedése
Forgatókönyv: 100 legutóbbi viselkedést szeretne lekérdezni a MITRE támadási technikával kapcsolatos érvényes fiókokhoz (T1078) kapcsolódóan.
Használja a következő lekérdezést:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Adott felhasználó viselkedésének vizsgálata
Forgatókönyv: Vizsgálja meg az adott felhasználóhoz kapcsolódó összes viselkedést, miután megértette, hogy a felhasználó sérült.
Használja a következő lekérdezést, ahol a felhasználónév a vizsgálandó felhasználó neve:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Adott IP-cím viselkedésének vizsgálata
Forgatókönyv: Vizsgálja meg az összes olyan viselkedést, amelyben az entitások egyike gyanús IP-cím.
Használja a következő lekérdezést, amelyben a gyanús IP* a vizsgálandó IP-cím.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Következő lépések
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.