Partilhar via


Investigar comportamentos com investigação avançada (Pré-visualização)

Embora algumas deteções de anomalias se concentrem principalmente na deteção de cenários de segurança problemáticos, outras podem ajudar a identificar e investigar comportamentos anómalos dos utilizadores que não indicam necessariamente um compromisso. Nesses casos, Microsoft Defender for Cloud Apps utiliza um tipo de dados separado, denominado comportamentos.

Este artigo descreve como investigar comportamentos Defender for Cloud Apps com Microsoft Defender XDR investigação avançada.

Tem feedback para partilhar? Preencha o nosso formulário de comentários!

O que é um comportamento?

Os comportamentos estão anexados às categorias e técnicas de ataque MITRE e fornecem uma compreensão mais profunda sobre um evento do que os fornecidos pelos dados de eventos não processados. Os dados de comportamento residem entre os dados de eventos não processados e os alertas gerados por um evento.

Embora os comportamentos possam estar relacionados com cenários de segurança, não são necessariamente um sinal de atividade maliciosa ou um incidente de segurança. Cada comportamento baseia-se num ou mais eventos não processados e fornece informações contextuais sobre o que ocorreu num momento específico, utilizando informações que Defender for Cloud Apps como aprendidas ou identificadas.

Deteções suportadas

Atualmente, os comportamentos suportam deteções de baixa fidelidade Defender for Cloud Apps, que podem não cumprir a norma para alertas, mas ainda são úteis para fornecer contexto durante uma investigação. As deteções atualmente suportadas incluem:

Nome do alerta Nome da política
Atividade do país com pouca frequência Atividade do país/região pouco frequente
Atividade de viagem impossível Viagem impossível
Eliminação em massa Atividade de eliminação de ficheiros invulgar (por utilizador)
Transferência em massa Transferência de ficheiros invulgar (por utilizador)
Partilha em massa Atividade de partilha de ficheiros invulgar (por utilizador)
Múltiplas atividades de eliminação de VMs Múltiplas atividades de eliminação de VMs
Várias tentativas de início de sessão falhadas Várias tentativas de início de sessão falhadas
Várias atividades de partilha de relatórios do Power BI Várias atividades de partilha de relatórios do Power BI
Várias atividades de criação de VMs Várias atividades de criação de VMs
Atividade administrativa suspeita Atividade administrativa invulgar (por utilizador)
Atividade suspeita representada Atividade representada invulgar (pelo utilizador)
Atividades suspeitas de transferência de ficheiros da aplicação OAuth Atividades suspeitas de transferência de ficheiros da aplicação OAuth
Partilha suspeita de relatórios do Power BI Partilha suspeita de relatórios do Power BI
Adição invulgar de credenciais a uma aplicação OAuth Adição invulgar de credenciais a uma aplicação OAuth

transição de Defender for Cloud Apps de alertas para comportamentos

Para melhorar a qualidade dos alertas gerados por Defender for Cloud Apps e reduzir o número de falsos positivos, Defender for Cloud Apps está atualmente a transitar conteúdo de segurança de alertas para comportamentos.

Este processo visa remover políticas de alertas que fornecem deteções de baixa qualidade, ao mesmo tempo que cria cenários de segurança que se focam em deteções desativadas. Em paralelo, Defender for Cloud Apps envia comportamentos para ajudá-lo nas suas investigações.

O processo de transição de alertas para comportamentos inclui as seguintes fases:

  1. (Concluído) Defender for Cloud Apps envia comportamentos em paralelo para alertas.

  2. (Atualmente em Pré-visualização) As políticas que geram comportamentos estão agora desativadas por predefinição e não enviam alertas.

  3. Mude para um modelo de deteção gerido pela cloud, removendo completamente as políticas destinadas ao cliente. Esta fase está planeada para fornecer deteções personalizadas e alertas selecionados gerados por políticas internas para cenários focados na segurança e de alta fidelidade.

A transição para comportamentos também inclui melhoramentos para tipos de comportamento suportados e ajustes para alertas gerados por políticas para uma precisão ideal.

Nota

O agendamento da última fase é indeterminado. Os clientes serão notificados de quaisquer alterações através de notificações no Centro de Mensagens.

Para obter mais informações, veja o nosso blogue TechCommunity.

Utilizar comportamentos no Microsoft Defender XDR investigação avançada

Aceda a comportamentos na página Microsoft Defender XDR Investigação avançada e utilize comportamentos ao consultar tabelas de comportamento e criar regras de deteção personalizadas que incluem dados de comportamento.

O esquema de comportamentos na página Investigação avançada é semelhante ao esquema de alertas e inclui as seguintes tabelas:

Nome da tabela Descrição
BehaviorInfo Registe por comportamento com os respetivos metadados, incluindo o título do comportamento, categorias de ataque MITRE e técnicas. (Não disponível para GCC.)
BehaviorEntities Informações sobre as entidades que faziam parte do comportamento. Podem ser múltiplos registos por comportamento. (Não disponível para GCC.)

Para obter informações completas sobre um comportamento e as respetivas entidades, utilize BehaviorId como chave primária para a associação. Por exemplo:

BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId

Cenários de exemplo

Esta secção fornece cenários de exemplo para a utilização de dados de comportamento na página Microsoft Defender XDR Investigação avançada e exemplos de código relevantes.

Sugestão

Crie regras de deteção personalizadas para qualquer deteção que pretenda continuar a aparecer como um alerta, se um alerta já não for gerado por predefinição.

Obter alertas para transferências em massa

Cenário: quer ser alertado quando uma transferência em massa é efetuada por um utilizador específico ou por uma lista de utilizadores propensos a serem comprometidos ou a riscos internos.

Para tal, crie uma regra de deteção personalizada com base na seguinte consulta:

BehaviorEntities
| where ActionType == "MassDownload" 
| where EntityType == “User” and AccountName in (“username1”, “username2”…  ) 

Para obter mais informações, veja Criar e gerir regras de deteção personalizadas no Microsoft Defender XDR.

Consultar 100 comportamentos recentes

Cenário: quer consultar 100 comportamentos recentes relacionados com a técnica de ataque MITRE Contas Válidas (T1078).

Utilize a seguinte consulta:

BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc 
| take 100

Investigar comportamentos de um utilizador específico

Cenário: Investigue todos os comportamentos relacionados com um utilizador específico depois de compreender que o utilizador pode ter sido comprometido.

Utilize a seguinte consulta, em que nome de utilizador é o nome do utilizador que pretende investigar:

BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application

Investigar comportamentos de um endereço IP específico

Cenário: Investigue todos os comportamentos em que uma das entidades é um endereço IP suspeito.

Utilize a seguinte consulta, em que o IP suspeito* é o IP que pretende investigar.

BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.