Gedrag onderzoeken met geavanceerde opsporing (preview)
Hoewel sommige anomaliedetecties zich voornamelijk richten op het detecteren van problematische beveiligingsscenario's, kunnen anderen helpen bij het identificeren en onderzoeken van afwijkend gebruikersgedrag dat niet noodzakelijkerwijs een inbreuk aangeeft. In dergelijke gevallen maakt Microsoft Defender voor Cloud Apps gebruik van een afzonderlijk gegevenstype, ook wel gedrag genoemd.
In dit artikel wordt beschreven hoe u het gedrag van Defender voor Cloud apps kunt onderzoeken met geavanceerde opsporing van Microsoft Defender XDR.
Hebt u feedback om te delen? Vul ons feedbackformulier in.
Wat is een gedrag?
Gedrag is gekoppeld aan MITRE-aanvalscategorieën en -technieken en biedt een dieper inzicht in een gebeurtenis dan wordt geleverd door de onbewerkte gebeurtenisgegevens. Gedragsgegevens liggen tussen onbewerkte gebeurtenisgegevens en de waarschuwingen die door een gebeurtenis worden gegenereerd.
Hoewel gedrag mogelijk te maken heeft met beveiligingsscenario's, zijn ze niet noodzakelijkerwijs een teken van schadelijke activiteiten of een beveiligingsincident. Elk gedrag is gebaseerd op een of meer onbewerkte gebeurtenissen en biedt contextuele inzichten in wat er op een bepaald moment is opgetreden, met behulp van informatie die Defender voor Cloud Apps zoals geleerd of geïdentificeerd.
Ondersteunde detecties
Gedrag ondersteunt momenteel lage kwaliteit, Defender voor Cloud Apps-detecties, die mogelijk niet voldoen aan de standaard voor waarschuwingen, maar zijn nog steeds nuttig bij het bieden van context tijdens een onderzoek. Momenteel ondersteunde detecties zijn onder andere:
| Naam van waarschuwing | Beleidsnaam |
|---|---|
| Activiteit van onregelmatig land | Activiteit van onregelmatig land/regio |
| Onmogelijke reisactiviteit | Onmogelijk traject |
| Massa verwijderen | Ongebruikelijke activiteit voor het verwijderen van bestanden (per gebruiker) |
| Massa downloaden | Ongebruikelijk bestand downloaden (per gebruiker) |
| Massashare | Ongebruikelijke activiteit van bestandsshares (per gebruiker) |
| Meerdere VM-activiteiten verwijderen | Meerdere VM-activiteiten verwijderen |
| Meerdere mislukte aanmeldingspogingen | Meerdere mislukte aanmeldingspogingen |
| Meerdere Activiteiten voor het delen van Power BI-rapporten | Meerdere Activiteiten voor het delen van Power BI-rapporten |
| Activiteiten voor het maken van meerdere VM's | Activiteiten voor het maken van meerdere VM's |
| Verdachte beheeractiviteit | Ongebruikelijke beheeractiviteit (per gebruiker) |
| Verdachte geïmiteerde activiteit | Ongebruikelijke geïmiteerde activiteit (per gebruiker) |
| Verdachte downloadactiviteiten voor OAuth-apps | Verdachte downloadactiviteiten voor OAuth-apps |
| Verdacht delen van Power BI-rapporten | Verdacht delen van Power BI-rapporten |
| Ongebruikelijke toevoeging van referenties aan een OAuth-app | Ongebruikelijke toevoeging van referenties aan een OAuth-app |
de overgang van apps Defender voor Cloud van waarschuwingen naar gedrag
Om de kwaliteit van waarschuwingen die worden gegenereerd door Defender voor Cloud Apps te verbeteren en het aantal fout-positieven te verlagen, zet Defender voor Cloud Apps momenteel beveiligingsinhoud over van waarschuwingen naar gedrag.
Dit proces is bedoeld om beleidsregels te verwijderen uit waarschuwingen die detecties van lage kwaliteit bieden, terwijl er nog steeds beveiligingsscenario's worden gemaakt die zich richten op kant-en-klare detecties. Parallel verzendt Defender voor Cloud Apps gedrag om u te helpen bij uw onderzoeken.
Het overgangsproces van waarschuwingen naar gedrag omvat de volgende fasen:
(Voltooid) Defender voor Cloud Apps verzendt gedrag parallel aan waarschuwingen.
(Momenteel in preview) Beleidsregels die gedrag genereren, worden nu standaard uitgeschakeld en verzenden geen waarschuwingen.
Ga naar een door de cloud beheerd detectiemodel, zodat het klantgerichte beleid volledig wordt verwijderd. Deze fase is gepland om zowel aangepaste detecties als geselecteerde waarschuwingen te bieden die worden gegenereerd door intern beleid voor hoogwaardige, beveiligingsgerichte scenario's.
De overgang naar gedrag omvat ook verbeteringen voor ondersteunde gedragstypen en aanpassingen voor door beleid gegenereerde waarschuwingen voor optimale nauwkeurigheid.
Notitie
De planning van de laatste fase is niet bepaald. Klanten worden op de hoogte gesteld van wijzigingen via meldingen in het berichtencentrum.
Zie onze TechCommunity-blog voor meer informatie.
Gedrag gebruiken in geavanceerde opsporing van Microsoft Defender XDR
Toegangsgedrag op de pagina Geavanceerde opsporing van Microsoft Defender XDR en gebruik gedrag door gedragstabellen op te vragen en aangepaste detectieregels te maken die gedragsgegevens bevatten.
Het gedragsschema op de pagina Geavanceerde opsporing is vergelijkbaar met het waarschuwingsschema en bevat de volgende tabellen:
| Tabelnaam | Beschrijving |
|---|---|
| BehaviorInfo | Noteer per gedrag met de metagegevens, waaronder gedragstitel, MITRE-aanvalscategorieën en technieken. |
| Gedragsentiteiten | Informatie over de entiteiten die deel uitmaakten van het gedrag. Dit kunnen meerdere records per gedrag zijn. |
Als u volledige informatie over een gedrag en de bijbehorende entiteiten wilt ophalen, gebruikt BehaviorId u deze als primaire sleutel voor de join. Voorbeeld:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Voorbeeldscenario's
Deze sectie bevat voorbeeldscenario's voor het gebruik van gedragsgegevens op de pagina Geavanceerde opsporing van Microsoft Defender XDR en relevante codevoorbeelden.
Tip
Maak aangepaste detectieregels voor detectie die u als waarschuwing wilt blijven weergeven, als er standaard geen waarschuwing meer wordt gegenereerd.
Waarschuwingen ontvangen voor massadownloads
Scenario: U wilt worden gewaarschuwd wanneer een massadownload wordt uitgevoerd door een specifieke gebruiker of een lijst met gebruikers die gevoelig zijn voor inbreuk of op intern risico.
Hiervoor maakt u een aangepaste detectieregel op basis van de volgende query:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Zie Aangepaste detectieregels maken en beheren in Microsoft Defender XDR voor meer informatie.
Query 100 recent gedrag
Scenario: U wilt 100 recente gedragingen opvragen die betrekking hebben op de MITRE-aanvalstechniek Geldige accounts (T1078).
Gebruik de volgende query:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Gedrag onderzoeken voor een specifieke gebruiker
Scenario: Onderzoek alle gedragingen met betrekking tot een specifieke gebruiker nadat de gebruiker mogelijk is aangetast.
Gebruik de volgende query, waarbij de gebruikersnaam de naam is van de gebruiker die u wilt onderzoeken:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Gedrag onderzoeken voor een specifiek IP-adres
Scenario: Onderzoek alle gedragingen waarbij een van de entiteiten een verdacht IP-adres is.
Gebruik de volgende query, waarbij verdacht IP* het IP-adres is dat u wilt onderzoeken.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Volgende stappen
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.