Gelişmiş avlanma ile davranışları araştırma (Önizleme)
Bazı anomali algılamaları öncelikli olarak sorunlu güvenlik senaryolarını algılamaya odaklansa da, diğerleri güvenliğin aşıldığını belirtmeyen anormal kullanıcı davranışlarını belirlemeye ve araştırmaya yardımcı olabilir. Bu gibi durumlarda, Bulut için Microsoft Defender Uygulamalar davranışlar olarak adlandırılan ayrı bir veri türü kullanır.
Bu makalede, Microsoft Defender XDR gelişmiş avcılığı ile Bulut için Defender Uygulamaları davranışlarının nasıl araştırıldığı açıklanır.
Paylaşacak geri bildiriminiz mi var? Geri bildirim formumuzu doldurun!
Davranış nedir?
Davranışlar MITRE saldırı kategorilerine ve tekniklerine eklenir ve bir olay hakkında ham olay verileri tarafından sağlanandan daha derin bir anlayış sağlar. Davranış verileri ham olay verileriyle bir olay tarafından oluşturulan uyarılar arasında yer alır.
Davranışlar güvenlik senaryolarıyla ilgili olsa da, kötü amaçlı etkinliğin veya güvenlik olayının bir işareti olmayabilir. Her davranış bir veya daha fazla ham olayı temel alır ve Uygulamalar'ı öğrenilen veya tanımlanan şekilde Bulut için Defender bilgileri kullanarak belirli bir zamanda gerçekleşen olaylarla ilgili bağlamsal içgörüler sağlar.
Desteklenen algılamalar
Davranışlar şu anda uyarılar için standarda uymayan ancak araştırma sırasında bağlam sağlamada yararlı olan düşük aslına uygunluk Bulut için Defender Uygulamalar algılamalarını desteklemektedir. Şu anda desteklenen algılamalar şunlardır:
| Uyarı adı | İlke adı |
|---|---|
| Seyrek kullanılan ülkeden etkinlik | Seyrek ülke/bölgeden etkinlik |
| İmkansız seyahat etkinliği | Mümkün olmayan seyahat |
| Toplu silme | Olağan dışı dosya silme etkinliği (kullanıcıya göre) |
| Toplu indirme | Olağan dışı dosya indirme (kullanıcıya göre) |
| Toplu paylaşım | Olağan dışı dosya paylaşımı etkinliği (kullanıcıya göre) |
| Birden çok SILME VM etkinliği | Birden çok SILME VM etkinliği |
| Birden çok başarısız oturum açma girişimi | Birden çok başarısız oturum açma girişimi |
| Birden çok Power BI rapor paylaşma etkinliği | Birden çok Power BI rapor paylaşma etkinliği |
| Birden çok VM oluşturma etkinliği | Birden çok VM oluşturma etkinliği |
| Şüpheli yönetim etkinliği | Olağan dışı yönetim etkinliği (kullanıcıya göre) |
| Şüpheli kimliğine bürünülen etkinlik | Olağan dışı kimliğine bürünülen etkinlik (kullanıcıya göre) |
| Şüpheli OAuth uygulama dosyası indirme etkinlikleri | Şüpheli OAuth uygulama dosyası indirme etkinlikleri |
| Şüpheli Power BI rapor paylaşımı | Şüpheli Power BI rapor paylaşımı |
| OAuth uygulamasına olağan dışı kimlik bilgileri ekleme | OAuth uygulamasına olağan dışı kimlik bilgileri ekleme |
Uygulamaların uyarılardan davranışlara geçişine Bulut için Defender
Bulut için Defender Uygulamaları tarafından oluşturulan uyarıların kalitesini artırmak ve hatalı pozitif sonuçları azaltmak için Bulut için Defender Uygulamalar şu anda güvenlik içeriğini uyarılardan davranışlarageçirmektedir.
Bu işlem, düşük kaliteli algılamalar sağlayan uyarılardan ilkeleri kaldırmayı amaçlarken, kullanıma açık algılamalara odaklanan güvenlik senaryoları oluşturmaya devam eder. Paralel olarak, Bulut için Defender Uygulamaları araştırmalarınızda size yardımcı olacak davranışlar gönderir.
Uyarılardan davranışlara geçiş işlemi aşağıdaki aşamaları içerir:
(Tamamlandı) Bulut için Defender Uygulamaları, uyarıları paralel olarak davranışlar gönderir.
(Şu anda Önizlemede) Davranış oluşturan ilkeler artık varsayılan olarak devre dışıdır ve uyarı göndermez.
Müşteriye yönelik ilkeleri tamamen kaldırarak bulut tarafından yönetilen bir algılama modeline geçin. Bu aşamanın hem özel algılamalar hem de yüksek güvenilirlikli, güvenlik odaklı senaryolar için iç ilkeler tarafından oluşturulan seçili uyarıları sağlaması planlanıyor.
Davranışlara geçiş, desteklenen davranış türlerine yönelik iyileştirmeler ve en iyi doğruluk için ilke tarafından oluşturulan uyarılar için ayarlamalar da içerir.
Not
Son aşamanın zamanlaması belirlenemedi. İleti Merkezi'ndeki bildirimler aracılığıyla müşterilere herhangi bir değişiklik bildirilir.
Daha fazla bilgi için TechCommunity blogumuza bakın.
Microsoft Defender XDR gelişmiş avcılığında davranışları kullanma
Microsoft Defender XDR Gelişmiş tehdit avcılığı sayfasındaki davranışlara erişin ve davranış tablolarını sorgulayarak ve davranış verilerini içeren özel algılama kuralları oluşturarak davranışları kullanın.
Gelişmiş tehdit avcılığı sayfasındaki davranış şeması uyarı şemasına benzer ve aşağıdaki tabloları içerir:
| Tablo adı | Açıklama |
|---|---|
| BehaviorInfo | Davranış başlığı, MITRE Saldırısı kategorileri ve teknikleri de dahil olmak üzere meta verileriyle davranış başına kayıt. |
| Davranış Varlıkları | Davranışın parçası olan varlıklarla ilgili bilgiler. Davranış başına birden çok kayıt olabilir. |
Bir davranış ve varlıkları hakkında tam bilgi almak için birleştirmenin birincil anahtarı olarak kullanın BehaviorId . Örneğin:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Örnek senaryolar
Bu bölümde, Microsoft Defender XDR Gelişmiş tehdit avcılığı sayfasında davranış verilerini kullanmaya yönelik örnek senaryolar ve ilgili kod örnekleri sağlanır.
İpucu
Artık varsayılan olarak bir uyarı oluşturulmadıysa, uyarı olarak görünmeye devam etmek istediğiniz tüm algılamalar için özel algılama kuralları oluşturun.
Toplu indirmeler için uyarı alma
Senaryo: Belirli bir kullanıcı veya gizliliği tehlikeye atılmaya meyilli kullanıcılar listesi tarafından toplu indirme yapıldığında uyarı almak istiyorsunuz.
Bunu yapmak için aşağıdaki sorguyu temel alan bir özel algılama kuralı oluşturun:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Daha fazla bilgi için bkz . Microsoft Defender XDR'de özel algılama kuralları oluşturma ve yönetme.
Sorgu 100 son davranışlar
Senaryo: MITRE saldırı tekniği Geçerli Hesaplar (T1078) ile ilgili son 100 davranışı sorgulamak istiyorsunuz.
Aşağıdaki sorguyu kullanın:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Belirli bir kullanıcının davranışlarını araştırma
Senaryo: Kullanıcının gizliliğinin tehlikeye girmiş olabileceğini anladıktan sonra belirli bir kullanıcıyla ilgili tüm davranışları araştırın.
Aşağıdaki sorguyu kullanın; burada kullanıcı adı , araştırmak istediğiniz kullanıcının adıdır:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Belirli bir IP adresi için davranışları araştırma
Senaryo: Varlıklardan birinin şüpheli bir IP adresi olduğu tüm davranışları araştırın.
Aşağıdaki sorguyu kullanın; burada şüpheli IP* araştırmak istediğiniz IP'dir.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Sonraki adımlar
Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın...