Freigeben über

Anwendungsfall: Reaktion und Behebung von Vorfällen

  • Artikel

Erwähnte Rolle: SOC-Analysten der Ebene 1, die Sicherheitsvorfälle untersuchen und nicht kritische Warnungen auflösen

Szenario

Security Copilot können Tier 1-, Einstiegs- oder Junioranalysten bei der Bewertung und Verwaltung von Vorfällen mit höherer Effizienz und Effektivität unterstützen.

Dieser Anwendungsfall enthält eine abgekürzte Version der Incidentanalyse in Case Study: Harnessing Security Copilot in Defending Against Cyberthreats (Schutz vor Cyberbedrohungen), die hier um Korrekturschritte erweitert wurde.

Sie sind Ein Analyst der Ebene 1. Ein Incident wurde Ihnen von Ihrem Teamleiter zugewiesen, und Ihre Aufgabe besteht darin, zu bestimmen, ob der Vorfall tatsächlich böswillig ist, und wenn dies der Fall ist, ihn so schnell wie möglich zu beheben.

Schritte

  1. In der Microsoft Defender XDR Incidentwarteschlange können Sie sehen, dass der Vorfall mit hohem Schweregrad mit dem Titel "Mehrstufiger Vorfall mit Erstzugriff & Lateral Movement" auf mehreren Endpunkten, die von mehreren Quellen gemeldet werden, 25 Warnungen von verschiedenen Microsoft-Sicherheitslösungen korreliert. Es umfasst drei Geräte, vier Benutzer und ein E-Mail-Konto.

    Screenshot der Incidentwarteschlange.

  2. Öffnen Sie die Vorfallseite, um den Angriffsverlauf anzuzeigen. Sie überprüfen den bereich Security Copilot auf der rechten Seite des Angriffsverlaufs und stellen fest, dass automatisch eine Zusammenfassung des Incidents erstellt wird, zusammen mit einigen Schritten unter "Geführte Reaktion".

    Screenshot des Angriffsverlaufs.

  3. Um einen Überblick darüber zu erhalten, was passiert ist, lesen Sie die Zusammenfassung von Security Copilot. Sie kopieren die Vorfallzusammenfassung, indem Sie im Menü " Optionen" die Option In Zwischenablage kopieren auswählen und in ein anderes Dokument einfügen.

    Screenshot des Copilot-Bereichs mit hervorgehobener Kopierfunktion
    Dies ist für den erforderlichen Bericht nützlich, da er bereits nach Angriffsphase organisiert ist und die wichtigen Aspekte des Angriffs hervor hebt. Ohne Security Copilot müssten Sie den Bericht von Grund auf neu entwickeln.

  4. Sie können dann leicht feststellen, dass der komplexe Vorfall mehrere Angriffe umfasste. Sie durchlaufen die einzelnen Angriffsphase, wie unter Anfänglicher Zugriff, Ermittlung und Umgehung der Verteidigung beschrieben. Für diesen Anwendungsfall interessieren Sie sich für den vermuteten DCSync-Angriff unter der Zugriffsaktivität für Anmeldeinformationen.

  5. Wählen Sie im Bereich Copilot die Option In Security Copilot öffnen aus, um nach DCSync-Angriffen zu fragen.

    Eingabeaufforderung: Was ist ein DCSync-Angriff? Können Sie die TTPs bereitstellen?
    Screenshot der DCSync-Angriffsaufforderung in Copilot. Security Copilot teilt Ihnen mit, dass ein Angreifer bei DCSync-Angriffen das Verhalten eines Domänencontrollers nachahmt, um Hashanmeldeinformationen aus Active Directory zu replizieren, in der Regel über Mimikatz oder Empire.

  6. Wenn Sie dies wissen, kehren Sie zu Defender XDR zurück und sehen sich den vermuteten DCSync-Angriff genauer an. Sie sehen, dass der Benutzer eine Replikationsanforderung an einen Domänencontroller gesendet hat. Sie fragen den eigenständigen Security Copilot, ob dies als typisches Verhalten angesehen wird.

    Eingabeaufforderung: Ist es üblich, dass ein normaler Benutzer auf einem Windows 10 Gerät eine Replikationsanforderung an einen Domänencontroller sendet?

    Screenshot der DCSync-Angriffsantwort in Copilot.
    Mit der Antwort von Security Copilot können Sie bestätigen, dass es sich um einen echten Sicherheitsvorfall handelt, der vom Tier-2-Team weiter untersucht werden muss.

  7. Die nächste Sicherheitswarnung in der Vorfallzusammenfassung ist ein verdächtiges Diensterstellungsereignis, das unter Persistenz klassifiziert wird. Sie sehen, dass derselbe Warnungstitel von Defender for Identity und Defender für Endpunkt generiert wurde. Wenn Sie die Warnung überprüfen, sehen Sie jedoch, dass der aufgeführte Dienstpfad codiert ist.

    Screenshot des Warnungsverlaufs mit codiertem Pfad.

  8. Um das Skript zu untersuchen, konsultieren Sie Security Copilot.

    Eingabeaufforderung: Können Sie mich dann mehr über diesen Dienstpfad decodieren: %COMSPEC% /C "powershell.exe -EncodedCommand QwA6AFwAUwBjAHIAaQBwAHQAcwBcAFIAZBuAGEAbQBlAFAAbwB3AGUAcgBzAGgAZQBsAGwALgBwAHMAMQA="
    Screenshot der Copilot-Eingabeaufforderung, die nach der verdächtigen Warnung fragt.
    Copilot identifiziert den codierten Befehl als Base64-Codierung und decodiert ihn für Sie. Es scheint, dass der Dienstpfad verwendet wird, um ein PowerShell-Skript auszuführen, das sich in einem bestimmten Verzeichnis befindet. Die Verwendung der Codierung zum Verschleiern des Befehls könnte ein Zeichen für böswillige Aktivitäten sein.

  9. Wenn Sie mehr Vertrauen erhalten, dass es sich um einen echten Sicherheitsvorfall handelt, können Sie die geführte Antwort im Bereich Security Copilot auf der Seite "Incident" überprüfen, um zu ermitteln, welche Aktionen Sie ergreifen können, um den Angriff einzudämmen oder zu entschärfen.

    Screenshot des Bereichs

Zusammenfassung

Die Verwendung von Security Copilot kann Analysten, die mit der Untersuchung und Behebung großer Vorfälle mit mehreren Warnungen und Entitäten beauftragt sind, mehrere Effizienzvorteile bieten. Dies hilft beim Verständnis der Angriffsübersicht, bei der Bereitstellung von Analysen für schädliche Skripts, beim Bereitstellen des Kontexts für benannte Angriffe und beim Ausführen der erforderlichen Schritte zur Behebung der Bedrohung.