Изучение поведения с помощью расширенной охоты (предварительная версия)

Хотя некоторые обнаружения аномалий сосредоточены в основном на обнаружении проблемных сценариев безопасности, другие могут помочь определить и исследовать аномальное поведение пользователя, которое не обязательно указывает на компромисс. В таких случаях Microsoft Defender для облака Apps использует отдельный тип данных, называемый поведением.

В этой статье описывается, как исследовать поведение приложений Defender для облака с помощью расширенной охоты на XDR в Microsoft Defender.

У вас есть отзывы, чтобы поделиться? Заполните форму обратной связи!

Что такое поведение?

Поведение присоединено к категориям и методам атак MITRE, а также обеспечивает более глубокое представление о событии, чем предоставляется необработанными данными событий. Данные поведения лежат между необработанными данными о событиях и оповещениями, созданными событием.

Хотя поведение может быть связано с сценариями безопасности, они не обязательно признак вредоносных действий или инцидент безопасности. Каждое поведение основано на одном или нескольких необработанных событиях и предоставляет контекстную информацию о том, что произошло в определенное время, используя сведения, которые Defender для облака Приложения, как вы узнали или определили.

Поддерживаемые обнаружения

В настоящее время поведение поддерживает низкой точности, Defender для облака обнаружения приложений, которые могут не соответствовать стандарту оповещений, но по-прежнему полезны при предоставлении контекста во время исследования. В настоящее время поддерживаются обнаружения:

Имя оповещения Имя политики
Действие из редко упоминаемой страны Активность из редкой страны или региона
Impossible travel activity (Неосуществимое перемещение) Неосуществимое перемещение
Массовое удаление Необычное действие удаления файлов (по пользователю)
Массовая загрузка Необычный скачивание файла (по пользователю)
Массовая доля Необычное действие общей папки (по пользователю)
Удаление нескольких виртуальных машин Удаление нескольких виртуальных машин
Множество неудачных попыток входа Несколько неудачных попыток входа
Несколько действий по совместному использованию отчетов Power BI Несколько действий по совместному использованию отчетов Power BI
Несколько действий по созданию виртуальной машины Несколько действий по созданию виртуальной машины
Подозрительное административное действие Необычное административное действие (по пользователю)
Подозрительные олицетворенные действия Необычные олицетворенные действия (по пользователю)
Подозрительные действия скачивания файла приложения OAuth Подозрительные действия скачивания файла приложения OAuth
Подозрительный общий доступ к отчетам Power BI Подозрительный общий доступ к отчетам Power BI
Необычное добавление учетных данных в приложение OAuth Нетипичное добавление учетных данных для приложения OAuth

переход приложений Defender для облака с оповещений на поведение

Чтобы повысить качество оповещений, созданных Defender для облака приложениями, и снизить количество ложных срабатываний, Defender для облака Приложения в настоящее время перемещают содержимое системы безопасности из оповещений в поведение.

Этот процесс направлен на удаление политик из оповещений, которые обеспечивают низкое качество обнаружения, при этом создавая сценарии безопасности, которые сосредоточены на обнаружении вне коробки. Параллельно Defender для облака Приложения отправляют поведение, помогая вам в расследовании.

Процесс перехода от оповещений к поведению включает следующие этапы:

  1. (Завершено) Defender для облака Приложения отправляют поведение параллельно с оповещениями.

  2. (В настоящее время в предварительной версии) Политики, которые создают поведение, теперь отключены по умолчанию и не отправляют оповещения.

  3. Перейдите к модели обнаружения, управляемой облаком, полностью удаляя политики, доступные для клиентов. Этот этап планируется предоставить пользовательские обнаружения и выбранные оповещения, созданные внутренними политиками для сценариев с высокой точностью, ориентированной на безопасность.

Переход к поведению также включает улучшения поддерживаемых типов поведения и корректировки для оповещений, созданных политикой, для оптимальной точности.

Примечание.

Планирование последнего этапа не определено. Клиенты будут получать уведомления о любых изменениях с помощью уведомлений в Центре сообщений.

Дополнительные сведения см. в блоге технического сообщества.

Использование поведения в расширенной охоте на XDR в Microsoft Defender

Доступ к поведению на странице расширенной охоты на XDR в Microsoft Defender и использование поведения путем запроса таблиц поведения и создания настраиваемых правил обнаружения, включающих данные поведения.

Схема поведения на странице расширенной охоты аналогична схеме оповещений и включает в себя следующие таблицы:

Имя таблицы Description
BehaviorInfo Запись для каждого поведения с его метаданными, включая заголовок поведения, категории атак MITRE и методы.
BehaviorEntities Сведения о сущностях, которые были частью поведения. Может быть несколько записей на поведение.

Чтобы получить полные сведения о поведении и его сущностях, используйте BehaviorId в качестве первичного ключа для соединения. Например:

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

Примеры сценариев

В этом разделе приведены примеры сценариев использования данных поведения на странице расширенной охоты на XDR в Microsoft Defender и соответствующие примеры кода.

Совет

Создайте пользовательские правила обнаружения для любого обнаружения, которое вы хотите продолжать отображать в качестве оповещения, если оповещение больше не создается по умолчанию.

Получение оповещений о массовых загрузках

Сценарий. Вы хотите быть оповещены, когда массовое скачивание выполняется определенным пользователем или списком пользователей, которые подвержены компрометации или внутреннему риску.

Для этого создайте настраиваемое правило обнаружения на основе следующего запроса:

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

Дополнительные сведения см. в статье "Создание правил пользовательского обнаружения и управление ими" в XDR в Microsoft Defender.

Последние действия запроса 100

Сценарий. Вы хотите запросить 100 последних действий, связанных с методом атаки MITRE, допустимыми учетными записями (T1078).

Используйте следующий запрос:

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

Изучение поведения для конкретного пользователя

Сценарий. Изучение всех действий, связанных с конкретным пользователем после того, как пользователь мог быть скомпрометирован.

Используйте следующий запрос, где имя пользователя — имя пользователя, которого вы хотите исследовать:

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

Изучение поведения для определенного IP-адреса

Сценарий. Исследование всех действий, в которых одна из сущностей является подозрительным IP-адресом.

Используйте следующий запрос, где подозрительный IP-адрес * является IP-адресом, который требуется исследовать.

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

Следующие шаги

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, откройте запрос в службу поддержки..