التحقيق في السلوكيات باستخدام التتبع المتقدم (معاينة)
بينما تركز بعض عمليات الكشف عن الحالات الشاذة بشكل أساسي على الكشف عن سيناريوهات الأمان المسببة للمشاكل، يمكن أن يساعد البعض الآخر في تحديد سلوك المستخدم الشاذ والتحقيق فيه الذي لا يشير بالضرورة إلى اختراق. في مثل هذه الحالات، يستخدم Microsoft Defender for Cloud Apps نوع بيانات منفصلا، يسمى السلوكيات.
توضح هذه المقالة كيفية التحقيق في سلوكيات Defender for Cloud Apps مع Microsoft Defender XDR التتبع المتقدم.
هل لديك ملاحظات لمشاركتها؟ املأ نموذج ملاحظاتنا!
ما هو السلوك؟
يتم إرفاق السلوكيات بفئات وتقنيات هجوم MITRE، وتوفر فهما أعمق حول حدث ما مما توفره بيانات الحدث الأولية. تقع بيانات السلوك بين بيانات الحدث الأولية والتنبيهات التي تم إنشاؤها بواسطة حدث.
في حين أن السلوكيات قد تكون مرتبطة بسيناريوهات الأمان، فإنها ليست بالضرورة علامة على نشاط ضار أو حادث أمني. يعتمد كل سلوك على حدث أولي واحد أو أكثر، ويوفر رؤى سياقية لما حدث في وقت معين، باستخدام المعلومات التي Defender for Cloud Apps كما تم تعلمها أو تحديدها.
هام
بدءا من مارس 2025، يمكن للعملاء Defender for Cloud Apps تكوين نطاق التحكم في الوصول Role-Based (RBAC) ل "السلوكيات". تمكن هذه الإمكانية الجديدة المسؤولين من تحديد أذونات الوصول وإدارتها بشكل أكثر دقة. يمكن للمسؤولين التأكد من أن المستخدمين لديهم المستوى المناسب من الوصول إلى بيانات تطبيق محددة استنادا إلى أدوارهم ومسؤولياتهم. لمزيد من المعلومات، راجع كيفية تكوين وصول المسؤول.
عمليات الكشف المدعومة
تدعم السلوكيات حاليا الدقة المنخفضة، Defender for Cloud Apps الاكتشافات، التي قد لا تفي بمعيار التنبيهات ولكنها لا تزال مفيدة في توفير السياق أثناء التحقيق. تتضمن عمليات الكشف المدعومة حاليا ما يلي:
| اسم التنبيه | اسم النهج | ActionType (التتبع) |
|---|---|---|
| نشاط من بلد غير متكرر | نشاط من بلد/منطقة غير متكررة | ActivityFromInfrequentCountry |
| نشاط السفر المستحيل | السفر المستحيل | نشاط الجرف المستحيل |
| الحذف الجماعي | نشاط حذف ملف غير عادي (حسب المستخدم) | الحذف الجماعي |
| تنزيل جماعي | تنزيل ملف غير عادي (حسب المستخدم) | كتلةتنزيل |
| مشاركة جماعية | نشاط مشاركة ملف غير عادي (حسب المستخدم) | ماسشار |
| أنشطة حذف متعددة للجهاز الظاهري | أنشطة حذف متعددة للجهاز الظاهري | MultipleDeleteVmActivities |
| محاولات تسجيل الدخول الفاشلة المتعددة | عدة محاولات تسجيل دخول فاشلة | MultiFailedLoginAttempts |
| أنشطة مشاركة تقارير Power BI المتعددة | أنشطة مشاركة تقارير Power BI المتعددة | MultiplePowerBiReportSharingActivities |
| أنشطة إنشاء أجهزة ظاهرية متعددة | أنشطة إنشاء أجهزة ظاهرية متعددة | MultipleVmCreationActivities |
| نشاط إداري مشبوه | نشاط إداري غير عادي (حسب المستخدم) | نشاط مسؤول مريب |
| نشاط مشبوه منتحل الهوية | نشاط غير عادي منتحل (حسب المستخدم) | النشاط المريب |
| أنشطة تنزيل ملف تطبيق OAuth المشبوهة | أنشطة تنزيل ملف تطبيق OAuth المشبوهة | SuspiciousOauthAppFileDownloadActivities |
| مشاركة تقرير Power BI المشبوهة | مشاركة تقرير Power BI المشبوهة | مشاركة PowerBiReportSharing المشبوهة |
| إضافة غير عادية لبيانات الاعتماد إلى تطبيق OAuth | إضافة غير عادية لبيانات الاعتماد إلى تطبيق OAuth | غير عاديAdditionOfCredentialsToAnOauthApp |
انتقال Defender for Cloud Apps من التنبيهات إلى السلوكيات
لتحسين جودة التنبيهات التي تم إنشاؤها بواسطة Defender for Cloud Apps، وتقليل عدد الإيجابيات الخاطئة، تقوم Defender for Cloud Apps حاليا بنقل محتوى الأمان من التنبيهات إلى السلوكيات.
تهدف هذه العملية إلى إزالة النهج من التنبيهات التي تعطي اكتشافات منخفضة الجودة، مع الاستمرار في إنشاء سيناريوهات أمان تركز على عمليات الكشف الجاهزة. بالتوازي، يرسل Defender for Cloud Apps سلوكيات لمساعدتك في تحقيقاتك.
تتضمن عملية الانتقال من التنبيهات إلى السلوكيات المراحل التالية:
(مكتمل) يرسل Defender for Cloud Apps سلوكيات بالتوازي مع التنبيهات.
(قيد المعاينة حاليا) يتم الآن تعطيل النهج التي تنشئ سلوكيات بشكل افتراضي، ولا ترسل تنبيهات.
انتقل إلى نموذج الكشف المدار بواسطة السحابة، وإزالة النهج التي تواجه العملاء تماما. من المقرر أن توفر هذه المرحلة كلا من عمليات الكشف المخصصة والتنبيهات المحددة التي تم إنشاؤها بواسطة النهج الداخلية للسيناريوهات عالية الدقة والمركزة على الأمان.
يتضمن الانتقال إلى السلوكيات أيضا تحسينات على أنواع السلوكيات المدعومة وتعديلات التنبيهات التي تم إنشاؤها بواسطة النهج للحصول على الدقة المثلى.
ملاحظة
جدولة المرحلة الأخيرة غير محددة. سيتم إعلام العملاء بأي تغييرات من خلال الإعلامات في مركز الرسائل.
لمزيد من المعلومات، راجع مدونة TechCommunity الخاصة بنا.
استخدام السلوكيات في Microsoft Defender XDR التتبع المتقدم
الوصول إلى السلوكيات في صفحة التتبع المتقدمة Microsoft Defender XDR، واستخدام السلوكيات عن طريق الاستعلام عن جداول السلوك وإنشاء قواعد الكشف المخصصة التي تتضمن بيانات السلوك.
مخطط السلوكيات في صفحة التتبع المتقدم مشابه لمخطط التنبيهات، ويتضمن الجداول التالية:
| اسم الجدول | الوصف |
|---|---|
| معلومات السلوك | سجل لكل سلوك ببيانات التعريف الخاصة به، بما في ذلك عنوان السلوك وفئات هجوم MITRE والتقنيات. (غير متوفر ل GCC.) |
| السلوكيات | معلومات حول الكيانات التي كانت جزءا من السلوك. يمكن أن تكون سجلات متعددة لكل سلوك. (غير متوفر ل GCC.) |
للحصول على معلومات كاملة حول سلوك وكياناته، استخدم BehaviorId كمفتاح أساسي للانضمام. على سبيل المثال:
BehaviorInfo
| where BehaviorId == "INSERT VALUE"
| join BehaviorEntities on BehaviorId
نماذج السيناريوهات
يوفر هذا القسم نماذج سيناريوهات لاستخدام بيانات السلوك في صفحة التتبع المتقدمة Microsoft Defender XDR وعينات التعليمات البرمجية ذات الصلة.
تلميح
إنشاء قواعد الكشف المخصصة لأي اكتشاف تريد متابعة ظهوره كتنبيه، إذا لم يعد يتم إنشاء تنبيه بشكل افتراضي.
الحصول على تنبيهات للتنزيلات الجماعية
السيناريو: تريد أن يتم تنبيهك عند إجراء تنزيل جماعي من قبل مستخدم معين أو قائمة من المستخدمين المعرضين للاختراق أو المخاطر الداخلية.
للقيام بذلك، قم بإنشاء قاعدة اكتشاف مخصصة استنادا إلى الاستعلام التالي:
BehaviorEntities
| where ActionType == "MassDownload"
| where EntityType == “User” and AccountName in (“username1”, “username2”… )
لمزيد من المعلومات، راجع إنشاء قواعد الكشف المخصصة وإدارتها في Microsoft Defender XDR.
الاستعلام عن 100 سلوك حديث
السيناريو: تريد الاستعلام عن 100 سلوك حديث متعلق بتقنية هجوم MITRE الحسابات الصالحة (T1078).
استخدم الاستعلام التالي:
BehaviorInfo
| where AttackTechniques has "Valid Accounts (T1078)"
| order by Timestamp desc
| take 100
التحقيق في السلوكيات لمستخدم معين
السيناريو: تحقق من جميع السلوكيات المتعلقة بمستخدم معين بعد فهم أنه قد تم اختراق المستخدم.
استخدم الاستعلام التالي، حيث اسم المستخدم هو اسم المستخدم الذي تريد التحقيق فيه:
BehaviorInfo
| where ServiceSource == "Microsoft Cloud App Security"
| where AccountUpn == "*username*"
| join BehaviorEntities on BehaviorId
| project Timestamp, BehaviorId, ActionType, Description, Categories, AttackTechniques, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain, Application
التحقيق في السلوكيات لعنوان IP معين
السيناريو: تحقق من جميع السلوكيات حيث يكون أحد الكيانات عنوان IP مريبا.
استخدم الاستعلام التالي، حيث IP* المشبوه هو IP الذي تريد التحقيق فيه.
BehaviorEntities
| where EntityType == "Ip"
| where RemoteIP == "*suspicious IP*"
| where ServiceSource == "Microsoft Cloud App Security"
| project Timestamp, BehaviorId, ActionType, Categories, ServiceSource, AccountUpn, AccountObjectId, EntityType, EntityRole, RemoteIP, AccountName, AccountDomain
الخطوات التالية
إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.