雖然某些異常偵測主要著重於偵測有問題的安全性案例,但其他異常偵測可協助識別和調查不一定表示入侵的異常使用者行為。 在這種情況下,雲端Microsoft Defender for Cloud Apps和Microsoft Defender會使用單獨的資料類型,稱為行為。
本文說明如何使用Microsoft Defender 全面偵測回應進階搜捕來調查Defender for Cloud Apps和適用於雲端的 Defender 行為。
有反饋要分享嗎? 填寫我們的 反饋表!
什麼是行為?
行為會附加至 MITRE 攻擊種類和技術,並提供比原始事件資料所提供的更深入的事件瞭解。 行為資料位於原始事件資料與事件產生的警示之間。
雖然行為可能與安全性案例相關,但它們不一定是惡意活動或安全性事件的跡象。 每個行為都是以一或多個原始事件為基礎,並使用 Defender for Cloud Apps 學習或識別的資訊,提供特定時間發生之事的內容深入解析。
重要事項
從 2025 年 3 月開始,Defender for Cloud Apps客戶可以設定 Role-Based 存取控制 (RBAC) 「行為」的範圍。 這項新功能使管理員能夠更精確地定義和管理存取權限。 管理員可以確保使用者根據其角色和職責對特定應用程式資料具有適當的存取層級。 如需詳細資訊,請參閱 如何設定管理員存取權。
支援的偵測
行為目前支援低擬真度、Defender for Cloud Apps和適用於雲端的 Defender 偵測,這些偵測可能不符合警示的標準,但在調查期間提供內容仍然很有用。 目前支援的偵測包括:
| 警示名稱 | 原則名稱 | ActionType (狩獵) |
|---|---|---|
| 來自不常使用國家/地區的活動。 | 來自不常見國家/地區的活動 | ActivityFromInfrequentCountry |
| 不可能的旅行活動 | 不可能的移動 | 不可能的旅行活動 |
| 大量刪除 | 使用者) (的異常檔案刪除活動 | 大量刪除 |
| 大量下載 | 使用者) (的異常檔案下載 | 大量下載 |
| 大量分享 | 使用者) (的異常檔案共用活動 | 質量共享 |
| 多次刪除 VM 活動 | 多次刪除 VM 活動 | MultipleDeleteVm活動 |
| 多次失敗的登入嘗試 | 多次失敗的登入嘗試 | MultipleFailedLoginAttempts |
| 多個 Power BI 報表共用活動 | 多個 Power BI 報表共用活動 | 多個PowerBiReportSharingActivities |
| 多個 VM 建立活動 | 多個 VM 建立活動 | MultipleVmCreationActivities |
| 可疑的行政活動 | 使用者) (的異常管理活動 | 可疑的AdministrativeActivity |
| 可疑的冒充活動 | 使用者) (的異常模擬活動 | SuspiciousImpersonated活動 |
| 可疑的 OAuth 應用程式檔案下載活動 | 可疑的 OAuth 應用程式檔案下載活動 | SuspiciousOauthAppFileDownloadActivities |
| 可疑的 Power BI 報表共用 | 可疑的 Power BI 報表共用 | 可疑的PowerBiReportSharing |
| 異常地新增認證至 OAuth 應用程式 | 異常地新增認證至 OAuth 應用程式 | UnusualAdditionOfCredentialsToAnOauthApp |
Defender for Cloud Apps 從警示轉換至行為
為了增強 Defender for Cloud Apps 所產生警示的品質,並降低誤判數目,Defender for Cloud Apps 目前正在將安全性內容從警示轉換成行為。
此程式旨在從提供低品質偵測的警示中移除原則,同時仍建立著重於現成偵測的安全性案例。 同時,Defender for Cloud Apps 會傳送行為來協助您進行調查。
從警示到行為的轉換程序包括下列階段:
(完成) Defender for Cloud Apps 會與警示平行傳送行為。
(完成) 產生行為的原則現在預設為停用,且不會傳送警示。
移至雲端管理的偵測模型,完全移除面向客戶的原則。 此階段計劃為高保真度、以安全為中心的場景提供自定義檢測和內部策略生成的選定警報。
向行為的轉換也包括支援行為類型的增強功能,以及原則產生警示的調整,以達到最佳準確性。
注意事項
最後階段的排程尚未確定。 客戶將透過訊息中心中的通知收到任何變更通知。
如需詳細資訊,請參閱我們的 TechCommunity 部落格。
在 Microsoft Defender 全面偵測回應進階搜捕中使用行為
存取 Microsoft Defender 全面偵測回應 進階搜捕頁面中的行為,並藉由查詢行為數據表和建立包含行為數據的自定義偵測規則來使用行為。
[ 進階搜捕 ] 頁面中的行為架構類似於 警示架構,並包含下列數據表:
| 表格名稱 | 描述 |
|---|---|
| 行為資訊 | 記錄每個行為及其中繼資料,包括行為標題、MITRE 攻擊類別和技術。 |
| 行為實體 | 屬於行為一部分的實體的相關資訊。 每個行為可以有多個記錄。 |
若要取得行為及其實體的完整資訊,請使用 作為 BehaviorId 聯結的主索引鍵。 例如:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
範例案例
本節提供在 Microsoft Defender 全面偵測回應 進階搜捕頁面中使用行為數據的範例案例,以及相關的程式代碼範例。
提示
如果預設不再產生警示,請為您想要繼續顯示為警示的任何偵測建立 自訂偵測規則 。
取得大量下載的警示
案例:您想要在特定使用者或容易遭入侵或面臨內部風險的使用者清單完成大量下載時收到警示。
若要這樣做,請根據下列查詢建立自訂偵測規則:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
如需詳細資訊,請參閱 在 Microsoft Defender 全面偵測回應 中建立和管理自定義偵測規則。
查詢 100 個最近的行為
案例:您想要查詢 100 個與 MITRE 攻擊技術相關的最近行為 有效帳戶 (T1078) 。
使用下列查詢:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
調查特定使用者的行為
案例:在瞭解使用者可能已遭入侵之後,調查與特定使用者相關的所有行為。
使用下列查詢,其中 username 是您要調查的使用者名稱:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
調查特定 IP 位址的行為
案例:調查其中一個實體是可疑 IP 位址的所有行為。
使用下列查詢,其中 可疑 IP* 是您要調查的 IP。
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
後續步驟
如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。