MC559251 | Update your custom detections to leverage new ActionTypes in DeviceNetworkEvents

MC559251 \| Update your custom detections to leverage new ActionTypes in DeviceNetworkEvents

Classification

planForChange

Last Updated

05/22/2023 22:53:02

Start Time

05/22/2023 22:52:16

End Time

08/31/2023 07:00:00

Message Content

On July 18, 2023, Microsoft will be retiring a subset of signatures found in the “NetworkSignaturesInspected” action type of Advanced Hunting. With the recent integration of Zeek providing advanced protocol parsing capabilities, which result in better visibility into full network sessions compared to the raw packet bytes found in the “NetworkSignaturesInspected” action type of Advanced Hunting today, the effort to consolidate will provide a better overall experience for our customers by reducing the signatures that serve similar functions without the added benefits provided by the new Zeek alternative.

[When this will happen:]

July 18, 2023

[How this affects your organization:]

For customers currently using the “NetworkSignaturesInspected” action type, here is a list of signatures that will be deprecated, referenced alongside their alternatives available in Advanced Hunting:

Protocol / Signature Name	Old Action Type	New Action Type
SSH	NetworkSignatureInspected	SshConnectionInspected
FTP_Upload	NetworkSignatureInspected	FtpConnectionInspected
FFP_Client	NetworkSignatureInspected	FtpConnectionInspected
HTTP_Client	NetworkSignatureInspected	HttpConnectionInspected
HTTP_Server	NetworkSignatureInspected	HttpConnectionInspected
HTTP_RequestBodyParameters	NetworkSignatureInspected	HttpConnectionInspected
HTTPS_Client	NetworkSignatureInspected	SslConnectionInspected
DNS_Request	NetworkSignatureInspected	DnsConnectionInspected

[What you can do to prepare:]

Your organization might be using a “NetworkSignatureInspected” action type in your Advanced Hunting queries and custom detections. Particularly, you might be using a Signature Name that is going to be deprecated soon. Please update your queries with the new action types so that you can leverage this valuable data and avoid breaking your current custom detections.

An example of your old query:

DeviceNetworkEvents

| where ActionType == “NetworkSignatureInspected”

| extend AdditionalFields = todynamic(AdditionalFields)

| where AdditionalFields.SignatureName == “SSH”

Your new query:

DeviceNetworkEvents

| where ActionType == “SshConnectionInspected”

Machine Translation

2023 年 7 月 18 日に、Microsoft は高度なハンティングの “ネットワーク署名検査済み” アクションの種類で見つかった署名のサブセットを廃止します。高度なプロトコル解析機能を提供するZeekの最近の統合により、今日の高度なハンティングの「NetworkSignaturesInspected」アクションタイプに見られる生のパケットバイトと比較して、完全なネットワークセッションの可視性が向上し、統合の取り組みにより、新しいZeekの代替によって提供される追加の利点なしに、同様の機能を提供するシグネチャを減らすことにより、お客様に全体的なエクスペリエンスが向上します。

[これが起こるとき:]

2023年7月18日

[これが組織に与える影響:]

現在 “NetworkSignaturesInspected” アクションの種類を使用しているお客様の場合は、非推奨になる署名の一覧を次に示します。

アクションの種類

プロトコル/署名名	古い	新しいアクションの種類
ティッカー	ネットワーク署名検査済み	Ssh接続検査済み
FTP_Upload	ネットワーク署名検査済み	Ftp接続検査済み
FFP_Client	ネットワーク署名検査済み	Ftp接続検査済み
HTTP_Client	ネットワーク署名検査済み	HttpConnectionInspected
HTTP_Server	ネットワーク署名検査済み	HttpConnectionInspected
HTTP_RequestBodyParameters	ネットワーク署名検査済み	HttpConnectionInspected
HTTPS_Client	ネットワーク署名検査済み	Ssl接続検査済み
DNS_Request	ネットワーク署名検査済み	Dns接続検査済み

【準備できること:】

組織では、高度なハンティングクエリとカスタム検出で “ネットワーク署名検査済み” アクションの種類を使用している可能性があります。特に、まもなく廃止される署名名を使用している可能性があります。この貴重なデータを活用し、現在のカスタム検出を壊さないように、新しいアクションの種類でクエリを更新してください。

古いクエリの例:

デバイスネットワークイベント

|ここで、ActionType == “NetworkSignatureInspected”

|拡張追加フィールド = 動的(追加フィールド)

|ここで、AdditionalFields.SignatureName == “SSH”

新しいクエリ:

デバイスネットワークイベント

|ここで、ActionType == “SshConnectionInspected”

Post Views: 103

m365jp.net

SHD / MC Checker