Freigeben über


Anwendungsfall: Untersuchen eines Incidents und zugeordneter verdächtiger Entitäten

Rolle erwähnt: SOC TI Analyst analysiert verdächtige Skripts

Szenario

Während eines Incidents werden Sicherheitsanalysten in der Regel damit beauftragt, Warnungen zu untersuchen und relevante Informationen zu sammeln, die mit dem Incident verknüpft sind. Sie führen Ursachenanalysen durch und korrelieren Informationen aus einer Reihe von Quellen, um die potenziellen Auswirkungen auf die Organisation zu bestimmen.

Je nach Szenario müssen Analysten möglicherweise Protokolle analysieren, Schadsoftware untersuchen, Dateien oder Skripts zurückentwickeln und URLs untersuchen, die beobachtet wurden.

Ein wesentlicher Bestandteil einer Untersuchung besteht darin, zu verstehen, welche Abhilfemaßnahmen erforderlich sind, und die effektive Vermittlung wichtiger Erkenntnisse, um die Beteiligten über den aktuellen Stand des Vorfalls auf dem Laufenden zu halten.

In diesem Beispiel wird Security Copilot verwendet, um eine umfassende Incidentuntersuchung durchzuführen, indem Kontextinformationen aus Warnungen gesammelt, ein verdächtiges Skript analysiert und eine Bewertung mit einer Reihe von Korrekturschritten generiert wird.

Schritte

  1. Beginnen Sie mit der Untersuchung in Microsoft Defender XDR.

    Security Copilot ist in Microsoft Defender XDR integriert. Wählen Sie auf einer Incidentseite die Schaltfläche Copilot aus, um eine Zusammenfassung eines Incidents zu erhalten und Details wie Uhrzeit und Datum des Beginns eines Angriffs, die Entität oder Ressource, die bzw. die den Angriff gestartet hat, und die am Angriff beteiligten Ressourcen abzurufen.

    Screenshot der Vorfallzusammenfassung in Microsoft Defender XDR

  2. Verdächtiges Skript analysieren.

    Microsoft Defender XDR flags, wenn ein verdächtiges Skript ausgeführt wird. Verwenden Sie Security Copilot, um zu erklären, was das verdächtige Skript tut.

    Hinweis

    Skriptanalysefunktionen befinden sich ständig in der Entwicklung. Die Analyse von Skripts in anderen Sprachen als PowerShell, Batch und Bash wird ausgewertet.

    Mit einem Klick auf eine Schaltfläche wird eine Beschreibung zusammen mit einer Gesamtzusammenfassung des Skripts angezeigt.

    Screenshot des Skriptanalysetools in Microsoft Defender XDR

  3. Erweitern Sie die Untersuchung in Security Copilot mithilfe von Eingabeaufforderungen in natürlicher Sprache und weiteren Plug-Ins.

    Setzen Sie Ihre Untersuchung in der eigenständigen Benutzeroberfläche von Security Copilot fort, indem Sie In Security Copilot öffnen auswählen.

    Screenshot: Untersuchen durch Auswählen der Schaltfläche

    Mit der eigenständigen Benutzeroberfläche können Sie die Untersuchung mithilfe von Eingabeaufforderungen in natürlicher Sprache erweitern.

    Screenshot des analysierten Skripts in Security Copilot

  4. Um ein umfassenderes Verständnis des Incidents zu erhalten, verwenden Sie Security Copilot, um weitere Informationen zu den verdächtigen Aktivitäten zu sammeln, die im Befehlszeilenskript angezeigt werden.

    Verwendeter Prompt:

    Was können Sie zur Bekanntheit der Indikatoren im Skript sagen? Sind sie schädlich? Wenn ja, warum?

    Antwort:

    Screenshot einer Security Copilot Antwort

    Die Antwort gibt an, dass die verschiedenen Indikatoren im Skript bekannten Bedrohungsakteuren zugeordnet sind. Sie können diese Antwort als wichtige Informationen anheften, die später verwendet werden können.

  5. Verwenden Sie Security Copilot, um eine Bewertung des Vorfalls mit unterstützenden Beweisen und einer Reihe von Empfehlungen bereitzustellen.

    Verwendeter Prompt:

    Fassen Sie die Ergebnisse der Untersuchung zusammen, und schließen Sie mit einer Reihe von Empfehlungen ab.

    Antwort:

    Screenshot der Zusammenfassung eines Incidents

    Tipp

    Sie können die Antwort zur späteren Referenz exportieren. Sie haben auch die Möglichkeit, die gesamte Sitzung mit anderen Analysten zu teilen. Andere Teammitglieder, die den Vorfall überprüfen, können das Pinboard nutzen, um eine vollständige Zusammenfassung der Untersuchungsschritte zu erhalten, was ihnen wertvolle Zeit spart.

    Screenshot: Pinboard für Incidentberichte

Zusammenfassung

In diesem Anwendungsfall half Security Copilot, eine gründliche Untersuchung eines Vorfalls durchzuführen. Mit natürlicher Sprache können Analysten eine Erklärung erhalten, was das verdächtige Skript tut, und überprüfen, ob die Indikatoren im Skript bekannten Bedrohungsakteuren zugeordnet sind.

Darüber hinaus hat Security Copilot eine Bewertung über einen zusammenfassenden Bericht generiert und eine Reihe von Empfehlungen zur Eindämmung des Incidents bereitgestellt, die auch verwendet werden können, um die Fähigkeiten zu verbessern.