Investigar comportamentos com caça avançada (Pré-visualização)
Enquanto algumas deteções de anomalias se concentram principalmente na deteção de cenários de segurança problemáticos, outras podem ajudar a identificar e investigar o comportamento anômalo do usuário que não indica necessariamente um comprometimento. Nesses casos, o Microsoft Defender for Cloud Apps usa um tipo de dados separado, chamado comportamentos.
Este artigo descreve como investigar os comportamentos do Defender for Cloud Apps com a caça avançada do Microsoft Defender XDR.
Tem feedback para partilhar? Preencha o nosso formulário de feedback!
O que é um comportamento?
Os comportamentos são anexados às categorias e técnicas de ataque MITRE e fornecem uma compreensão mais profunda sobre um evento do que a fornecida pelos dados brutos do evento. Os dados de comportamento estão entre os dados brutos do evento e os alertas gerados por um evento.
Embora os comportamentos possam estar relacionados a cenários de segurança, eles não são necessariamente um sinal de atividade maliciosa ou um incidente de segurança. Cada comportamento é baseado em um ou mais eventos brutos e fornece informações contextuais sobre o que ocorreu em um momento específico, usando informações que o Defender for Cloud Apps aprendeu ou identificou.
Deteções suportadas
Atualmente, os comportamentos suportam deteções de baixa fidelidade do Defender for Cloud Apps, que podem não atender ao padrão para alertas, mas ainda são úteis para fornecer contexto durante uma investigação. As deteções atualmente suportadas incluem:
| Nome do alerta | Nome da política |
|---|---|
| Atividade de país pouco frequente | Atividade de país/região pouco frequente |
| Atividade de viagem impossível | Deslocação impossível |
| Eliminação em massa | Atividade de exclusão de arquivo incomum (por usuário) |
| Download em massa | Download de arquivo incomum (por usuário) |
| Quota de massa | Atividade de compartilhamento de arquivos incomum (por usuário) |
| Várias atividades de VM de exclusão | Várias atividades de VM de exclusão |
| Várias tentativas de login com falha | Várias tentativas de início de sessão falhadas |
| Várias atividades de compartilhamento de relatório do Power BI | Várias atividades de compartilhamento de relatório do Power BI |
| Várias atividades de criação de VM | Várias atividades de criação de VM |
| Atividade administrativa suspeita | Atividade administrativa incomum (por usuário) |
| Atividade suspeita de personificação | Atividade personificada incomum (por usuário) |
| Atividades suspeitas de download de arquivos do aplicativo OAuth | Atividades suspeitas de download de arquivos do aplicativo OAuth |
| Compartilhamento suspeito de relatórios do Power BI | Compartilhamento suspeito de relatórios do Power BI |
| Adição incomum de credenciais a um aplicativo OAuth | Adição incomum de credenciais a um aplicativo OAuth |
Transição do Defender for Cloud Apps de alertas para comportamentos
Para melhorar a qualidade dos alertas gerados pelo Defender for Cloud Apps e diminuir o número de falsos positivos, o Defender for Cloud Apps está atualmente fazendo a transição do conteúdo de segurança de alertas para comportamentos.
Esse processo visa remover políticas de alertas que fornecem deteções de baixa qualidade, ao mesmo tempo em que cria cenários de segurança que se concentram em deteções prontas para uso. Em paralelo, o Defender for Cloud Apps envia comportamentos para ajudá-lo em suas investigações.
O processo de transição de alertas para comportamentos inclui as seguintes fases:
(Completo) O Defender for Cloud Apps envia comportamentos em paralelo aos alertas.
(Atualmente em pré-visualização) As políticas que geram comportamentos agora estão desabilitadas por padrão e não enviam alertas.
Mude para um modelo de deteção gerenciado pela nuvem, removendo completamente as políticas voltadas para o cliente. Essa fase é planejada para fornecer deteções personalizadas e alertas selecionados gerados por políticas internas para cenários de alta fidelidade e focados em segurança.
A transição para comportamentos também inclui aprimoramentos para tipos de comportamento suportados e ajustes para alertas gerados por políticas para precisão ideal.
Nota
O agendamento da última fase é indeterminado. Os clientes serão notificados de quaisquer alterações através de notificações no Centro de Mensagens.
Para obter mais informações, consulte nosso blog TechCommunity.
Usando comportamentos na caça avançada do Microsoft Defender XDR
Acesse comportamentos na página de caça avançada do Microsoft Defender XDR e use comportamentos consultando tabelas de comportamento e criando regras de deteção personalizadas que incluem dados de comportamento.
O esquema de comportamentos na página Caça avançada é semelhante ao esquema de alertas e inclui as seguintes tabelas:
| Nome da tabela | Description |
|---|---|
| BehaviorInfo | Registre por comportamento com seus metadados, incluindo título do comportamento, categorias de ataque MITRE e técnicas. |
| BehaviorEntities | Informação sobre as entidades que fizeram parte do comportamento. Pode haver vários registros por comportamento. |
Para obter informações completas sobre um comportamento e suas entidades, use BehaviorId como chave primária para a associação. Por exemplo:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
Cenários de exemplo
Esta seção fornece cenários de exemplo para usar dados de comportamento na página de caça avançada do Microsoft Defender XDR e exemplos de código relevantes.
Gorjeta
Crie regras de deteção personalizadas para qualquer deteção que você queira continuar aparecendo como um alerta, se um alerta não for mais gerado por padrão.
Receba alertas para downloads em massa
Cenário: Você deseja ser alertado quando um download em massa é feito por um usuário específico ou uma lista de usuários propensos a serem comprometidos ou a riscos internos.
Para fazer isso, crie uma regra de deteção personalizada com base na seguinte consulta:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
Para obter mais informações, consulte Criar e gerenciar regras de deteção personalizadas no Microsoft Defender XDR.
Consultar 100 comportamentos recentes
Cenário: Você deseja consultar 100 comportamentos recentes relacionados à técnica de ataque MITRE Contas válidas (T1078).
Utilize a consulta seguinte:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
Investigar comportamentos para um usuário específico
Cenário: investigue todos os comportamentos relacionados a um usuário específico depois de entender que o usuário pode ter sido comprometido.
Use a seguinte consulta, onde username é o nome do usuário que você deseja investigar:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
Investigar comportamentos para um endereço IP específico
Cenário: investigue todos os comportamentos em que uma das entidades é um endereço IP suspeito.
Use a consulta a seguir, onde IP* suspeito é o IP que você deseja investigar.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
Próximos passos
- Blog da comunidade técnica
- Tutorial: Detete atividades suspeitas do usuário com análises comportamentais
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um tíquete de suporte..