Anwendungsfall: Untersuchen eines Incidents und zugeordneter verdächtiger Entitäten
Rolle erwähnt: SOC TI Analyst analysiert verdächtige Skripts
Szenario
Während eines Incidents werden Sicherheitsanalysten in der Regel damit beauftragt, Warnungen zu untersuchen und relevante Informationen zu sammeln, die mit dem Incident verknüpft sind. Sie führen Ursachenanalysen durch und korrelieren Informationen aus einer Reihe von Quellen, um die potenziellen Auswirkungen auf die Organisation zu bestimmen.
Je nach Szenario müssen Analysten möglicherweise Protokolle analysieren, Schadsoftware untersuchen, Dateien oder Skripts zurückentwickeln und URLs untersuchen, die beobachtet wurden.
Ein wesentlicher Bestandteil einer Untersuchung besteht darin, zu verstehen, welche Abhilfemaßnahmen erforderlich sind, und die effektive Vermittlung wichtiger Erkenntnisse, um die Beteiligten über den aktuellen Stand des Vorfalls auf dem Laufenden zu halten.
In diesem Beispiel wird Security Copilot verwendet, um eine umfassende Incidentuntersuchung durchzuführen, indem Kontextinformationen aus Warnungen gesammelt, ein verdächtiges Skript analysiert und eine Bewertung mit einer Reihe von Korrekturschritten generiert wird.
Schritte
Beginnen Sie mit der Untersuchung in Microsoft Defender XDR.
Security Copilot ist in Microsoft Defender XDR integriert. Wählen Sie auf einer Incidentseite die Schaltfläche Copilot aus, um eine Zusammenfassung eines Incidents zu erhalten und Details wie Uhrzeit und Datum des Beginns eines Angriffs, die Entität oder Ressource, die bzw. die den Angriff gestartet hat, und die am Angriff beteiligten Ressourcen abzurufen.
Verdächtiges Skript analysieren.
Microsoft Defender XDR flags, wenn ein verdächtiges Skript ausgeführt wird. Verwenden Sie Security Copilot, um zu erklären, was das verdächtige Skript tut.
Hinweis
Skriptanalysefunktionen befinden sich ständig in der Entwicklung. Die Analyse von Skripts in anderen Sprachen als PowerShell, Batch und Bash wird ausgewertet.
Mit einem Klick auf eine Schaltfläche wird eine Beschreibung zusammen mit einer Gesamtzusammenfassung des Skripts angezeigt.
Erweitern Sie die Untersuchung in Security Copilot mithilfe von Eingabeaufforderungen in natürlicher Sprache und weiteren Plug-Ins.
Setzen Sie Ihre Untersuchung in der eigenständigen Benutzeroberfläche von Security Copilot fort, indem Sie In Security Copilot öffnen auswählen.
Mit der eigenständigen Benutzeroberfläche können Sie die Untersuchung mithilfe von Eingabeaufforderungen in natürlicher Sprache erweitern.
Um ein umfassenderes Verständnis des Incidents zu erhalten, verwenden Sie Security Copilot, um weitere Informationen zu den verdächtigen Aktivitäten zu sammeln, die im Befehlszeilenskript angezeigt werden.
Verwendeter Prompt:
Was können Sie zur Bekanntheit der Indikatoren im Skript sagen? Sind sie schädlich? Wenn ja, warum?
Antwort:
Die Antwort gibt an, dass die verschiedenen Indikatoren im Skript bekannten Bedrohungsakteuren zugeordnet sind. Sie können diese Antwort als wichtige Informationen anheften, die später verwendet werden können.
Verwenden Sie Security Copilot, um eine Bewertung des Vorfalls mit unterstützenden Beweisen und einer Reihe von Empfehlungen bereitzustellen.
Verwendeter Prompt:
Fassen Sie die Ergebnisse der Untersuchung zusammen, und schließen Sie mit einer Reihe von Empfehlungen ab.
Antwort:
Tipp
Sie können die Antwort zur späteren Referenz exportieren. Sie haben auch die Möglichkeit, die gesamte Sitzung mit anderen Analysten zu teilen. Andere Teammitglieder, die den Vorfall überprüfen, können das Pinboard nutzen, um eine vollständige Zusammenfassung der Untersuchungsschritte zu erhalten, was ihnen wertvolle Zeit spart.
Zusammenfassung
In diesem Anwendungsfall half Security Copilot, eine gründliche Untersuchung eines Vorfalls durchzuführen. Mit natürlicher Sprache können Analysten eine Erklärung erhalten, was das verdächtige Skript tut, und überprüfen, ob die Indikatoren im Skript bekannten Bedrohungsakteuren zugeordnet sind.
Darüber hinaus hat Security Copilot eine Bewertung über einen zusammenfassenden Bericht generiert und eine Reihe von Empfehlungen zur Eindämmung des Incidents bereitgestellt, die auch verwendet werden können, um die Fähigkeiten zu verbessern.