Prozkoumání možností Copilotu v XDR v programu Microsoft Defender

  • 30 min

V tomto cvičení prošetříte incident v XDR v programu Microsoft Defender. V rámci vyšetřování prozkoumáte klíčové funkce copilotu v XDR v programu Microsoft Defender, včetně souhrnu incidentů, souhrnu zařízení, analýzy skriptů a dalších. Šetření také můžete převést na samostatné prostředí a použít připnutí tabule jako způsob sdílení podrobností o vyšetřování s kolegy.

Poznámka:

Prostředí pro toto cvičení je simulace generovaná z produktu. Jako omezenou simulaci nemusí být odkazy na stránce povoleny a textové vstupy, které spadají mimo zadaný skript, nemusí být podporovány. Zobrazí se automaticky otevíraná zpráva s informací, že tato funkce není v rámci simulace dostupná. Pokud k tomu dojde, vyberte OK a pokračujte v krocích cvičení.
Snímek obrazovky s automaticky otevíranou obrazovkou označující, že tato funkce není v simulaci dostupná

Společnost Microsoft Security Copilot se také dříve označovala jako Microsoft Copilot for Security. V této simulaci zjistíte, že uživatelské rozhraní stále odráží původní název.

Cvičení

V tomto cvičení jste přihlášeni jako Avery Howard a máte roli vlastníka Copilotu. Budete pracovat v Programu Microsoft Defender s využitím nové sjednocené platformy pro operace zabezpečení pro přístup k vloženým možnostem Copilotu v XDR v programu Microsoft Defender. Na konci tohoto cvičení se přesunete do samostatného prostředí Microsoft Security Copilot.

Dokončení tohoto cvičení by mělo trvat přibližně 30 minut.

Poznámka:

Když cvičení volá otevření odkazu na simulované prostředí, obecně se doporučuje otevřít odkaz v novém okně prohlížeče, abyste mohli zobrazit pokyny a prostředí cvičení. Uděláte to tak, že vyberete správnou klávesu myši a vyberete možnost.

Úkol: Prozkoumání souhrnu incidentů a odpovědí s asistencí

  1. Otevřete simulované prostředí výběrem tohoto odkazu: portál Microsoft Defender.

  2. Na portálu Microsoft Defender:

    1. Rozbalte šetření a odpověď.
    2. Rozbalte incidenty a výstrahy.
    3. Vyberte Incidenty.

  3. V seznamu vyberte první incident s ID incidentu: 30342 pojmenovaný útok ransomwaru provozovaný člověkem byl spuštěn z ohroženého prostředku (přerušení útoku).

  4. Tento incident je složitý. XDR v programu Defender poskytuje velké množství informací, ale s 72 upozorněními může být výzvou, abyste věděli, kde se zaměřit. Na pravé straně stránky incidentu copilot automaticky vygeneruje souhrn incidentu, který vám pomůže řídit váš fokus a odpověď. Vyberte Zobrazit více.

    1. Shrnutí Copilotu popisuje, jak se tento incident vyvinul, včetně počátečního přístupu, laterálního pohybu, shromažďování, přístupu k přihlašovacím údajům a exfiltrace. Identifikuje konkrétní zařízení, označuje, že nástroj PsExec byl použit ke spouštění spustitelných souborů a další.
    2. Všechny tyto položky můžete využít k dalšímu šetření. Některé z nich prozkoumáte v dalších úkolech.

  5. Posuňte se dolů na panelu Copilot a pod souhrnem jsou odpovědi s asistencí. Odpovědi s asistencí doporučují akce na podporu třídění, blokování, vyšetřování a nápravy.

    1. První položka v kategorii třídění, kterou má klasifikovat tento incident. Výběrem možnosti Klasifikovat zobrazíte možnosti. Projděte si odpovědi s asistencí v ostatních kategoriích.
    2. Vyberte tlačítko Stav v horní části oddílu s asistencí odpovědí a vyfiltrujte dokončeno. Dvě dokončené aktivity se zobrazují jako přerušení útoku. Automatické přerušení útoku je navržené tak, aby obsahovalo probíhající útoky, omezily dopad na prostředky organizace a poskytovaly týmům zabezpečení více času na úplnou nápravu útoku.

  6. Nechte stránku incidentu otevřenou, použijete ji v dalším úkolu.

Úkol: Prozkoumání souhrnu zařízení a identity

  1. Na stránce incidentu vyberte první upozornění Na podezřelou adresu URL, na které jste klikli.

  2. Copilot automaticky vygeneruje souhrn výstrah, který poskytuje celou řadu informací pro další analýzu. Souhrn například identifikuje podezřelou aktivitu, identifikuje aktivity shromažďování dat, přístup k přihlašovacím údajům, malware, aktivity zjišťování a další.

  3. Na stránce je spousta informací, takže pokud chcete získat lepší zobrazení této výstrahy, vyberte Otevřít stránku upozornění. Je na třetím panelu na stránce upozornění, vedle grafu incidentu a pod názvem upozornění.

  4. V horní části stránky je karta pro parkcity-win10v zařízení. Vyberte tři tečky a poznamenejte si možnosti. Vyberte Sumarizovat. Copilot vygeneruje souhrn zařízení. Není za nic, že existuje mnoho způsobů, jak získat přístup k souhrnu zařízení a tímto způsobem je jen jedna pohodlná metoda. Souhrn ukazuje, že je zařízení virtuální počítač, identifikuje vlastníka zařízení, zobrazuje stav dodržování předpisů vůči zásadám Intune a další.

  5. Vedle karty zařízení je karta vlastníka zařízení. Vyberte parkcity\jonaw. Třetí panel na stránce se aktualizuje z zobrazení podrobností výstrahy o poskytování informací o uživateli. V tomto případě je Jonathan Wolcott, vedoucí pracovník účtu, jehož riziko Microsoft Entra ID a závažnost rizika insideru jsou klasifikovány jako vysoké. Tyto podrobnosti nejsou překvapené tím, co jste se naučili z incidentu Copilotu a souhrnů výstrah. Vyberte tři tečky a pak výběrem možnosti Sumarizovat získáte souhrn identity vygenerovaný pomocí Copilotu.

  6. Nechte stránku upozornění otevřenou, použijete ji v dalším úkolu.

Úkol: Prozkoumání analýzy skriptů

  1. Pojďme se zaměřit na scénář upozornění. Vyberte Maximalizovat maximalizovat ikonu, umístěný na hlavním panelu výstrahy, přímo pod kartou označenou "partycity\jonaw", abyste získali lepší přehled o stromu procesu. Z maximalizovaného zobrazení začnete mít jasnější přehled o tom, jak se tento incident objevil. Mnoho řádkových položek označuje, že powershell.exe spustil skript. Vzhledem k tomu, že uživatel Jonathan Wolcott je manažerem účtu, je rozumné předpokládat, že spouštění skriptů PowerShellu není něco, co tento uživatel bude pravděpodobně pravidelně dělat.

  2. Rozbalte první instanci powershell.exe spustili skript. Copilot má možnost analyzovat skripty. Vyberte Analyzovat.

    1. Copilot vygeneruje analýzu skriptu a navrhne, že se jedná o pokus o útok phishing nebo použití k doručení webového zneužití.
    2. Vyberte Zobrazit kód. Kód zobrazuje odtekanou adresu URL.

  3. Existuje několik dalších položek, které označují, powershell.exe spustil skript. Rozbalte popisek powershell.exe -EncodedCommand.... Původní skript byl kódován jako základ 64, ale defender vám ho dekódoval. U dekódované verze vyberte Analyzovat. Analýza zvýrazní sofistikovanost skriptu použitého v tomto útoku.

  4. Zavřete stránku s textem výstrahy tak , že vyberete X (X, který je vlevo od panelu Copilot). Teď se pomocí popisku cesty vraťte k incidentu. Vyberte útok ransomwaru provozovaný člověkem, který byl spuštěn z ohroženého prostředku (přerušení útoku).

Úloha: Prozkoumání analýzy souborů

  1. Jste zpátky na stránce incidentu. V souhrnu výstrahy copilot identifikoval soubor Rubeus.exe, který je přidružený k malwaru Kekeo. Pomocí funkce analýzy souborů v programu Defender XDR můžete zjistit, jaké další poznatky můžete získat. Existuje několik způsobů, jak získat přístup k souborům. V horní části stránky vyberte kartu Důkazy a Odpověď .

  2. Na levé straně obrazovky vyberte Soubory.

  3. Vyberte první položku ze seznamu s entitou s názvem Rubeus.exe.

  4. V okně, které se otevře, vyberte Analyzovat. Copilot vygeneruje souhrn.

  5. Projděte si podrobnou analýzu souboru, kterou vygeneruje Copilot.

  6. Zavřete okno analýzy souboru.

Úkol: Pivot do samostatného prostředí

Tento úkol je složitý a vyžaduje zapojení vyšších analytiků. V této úloze proložíte šetření a spustíte seznam výzev k incidentům Defenderu, aby ostatní analytici měli spuštěné zahájení šetření. Připnete odpovědi na panel špendlíků a vygenerujete odkaz na toto šetření, které můžete sdílet s pokročilejšími členy týmu, které vám pomůžou prozkoumat.

  1. Vraťte se na stránku incidentu tak , že v horní části stránky vyberete kartu Scénář útoku.

  2. Vyberte tři tečky vedle souhrnu incidentu Copilotu a vyberte Otevřít v kopírované sadě zabezpečení.

  3. Copilot se otevře v samostatném prostředí a zobrazí souhrn incidentu. Můžete také spustit další výzvy. V takovém případě spustíte výzvu k incidentu. Vyberte ikonu ikona výzvyvýzvy .

    1. Vyberte Zobrazit všechny promptbooky.
    2. Vyberte šetření incidentů v programu Microsoft 365 Defender.
    3. Otevře se stránka promptbooku a požádá o ID incidentu defenderu. Zadejte 30342 a pak vyberte Spustit.
    4. Zkontrolujte poskytnuté informace. Když přejdete do samostatného prostředí a spustíte promptbook, šetření dokáže vyvolat možnosti z širšího řešení zabezpečení nad rámec XDR v programu Defender na základě povolených modulů plug-in.

  4. Výběrem ikony pole vedle ikony ikona polepřipnutí vyberte všechny výzvy a odpovídající odpovědi a pak výběrem ikony Ikona připnutí Připnout tyto odpovědi uložte na panel připnutí.

  5. Připíná deska se otevře automaticky. Připíná deska obsahuje uložené výzvy a odpovědi spolu se souhrnem každého z nich. Panel připnutí můžete otevřít a zavřít tak , že vyberete ikonu Ikona připnutí panelupřipínáčku .

  6. V horní části stránky vyberte Sdílet , abyste zobrazili své možnosti. Když incident nasdílíte prostřednictvím odkazu nebo e-mailu, můžou si tuto relaci zobrazit lidé ve vaší organizaci s přístupem k Copilotu. Zavřete okno výběrem symbolu X.

  7. Teď můžete zavřít kartu prohlížeče a ukončit simulaci.

Přehled

Tento incident je složitý. K dispozici je spousta informací, které slouží ke shrnutí incidentu, jednotlivých výstrah, skriptů, zařízení, identit a souborů. Složité šetření, jako je tato, mohou vyžadovat zapojení několika analytiků. Copilot tuto situaci usnadňuje snadným sdílením podrobností o vyšetřování.