Freigeben über

Anwendungsfall: Selektierung von Vorfällen basierend auf der Anreicherung durch Threat Intelligence

  • Artikel

Erwähnte Rollen: SOC-Analyst und Identitätsadministrator für die Selektierung von Vorfällen (Standard), CISO und andere Beteiligte für die Zusammenfassung des Incidentberichts (Empfänger)

Szenario

Als SOC-Analyst (Security Operations Center) überprüfen Sie Warnungen und Vorfälle, die Ihnen zugewiesen sind. Ihre Pflicht besteht darin, zu ermitteln, ob wirkliche Maßnahmen ergriffen werden müssen. Sie nutzen Informationen in den Warnungen, die dem Incident zugeordnet sind, um Ihren Prozess zu steuern. Häufig sammeln Sie Kontextinformationen, um die nächsten Schritte besser zu verstehen. Mit der Anreicherung der beteiligten Entitäten und dem vollständigen Verständnis der zugrunde liegenden Warnungen bestimmen Sie, ob der Incident eskaliert oder behoben werden soll.

In diesem detaillierten Beispiel verwendet ein Analyst Security Copilot, um einen Incident schnell zu selektieren. Wenn es sich bei dem Incident um eine echte Bedrohung handelt, besteht das Ziel darin, entweder neue Indikatoren für die Kompromittierung zu sammeln oder Entitäten mit fertiger Intelligenz zu verknüpfen. In diesem Fall wird die Threat Intelligence durch Security Copilot zusammengefasst, um die Verbindung mit einem bekannten Bedrohungsakteur anzuzeigen und die Schweregradbewertung zu informieren.

Schritte

  1. Beginnen Sie Ihren Tag mit Security Copilot. Rufen Sie den aktuellen Microsoft Defender XDR Incident ab, der Ihnen zugewiesen ist, und fassen Sie die zugehörigen Warnungen zusammen.

    Verwendeter Prompt:

    Was ist der neueste aktive Defender-Incident, der mir zugewiesen wurde? angus.macgregor@contoso.com Fassen Sie es zusammen, einschließlich der zugehörigen Warnungen.

    Antwort:

    Screenshot: Zusammenfassung der Defender-Warnung.

    Sieht nach einem möglichen Diebstahl von Anmeldeinformationen aus. Sie folgen den empfohlenen Aktionen und beginnen, den Incident einzugrenzen und die Warnung zu überprüfen.

  2. Konzentrieren Sie sich auf bestimmte Entitäten, um weitere Informationen zu ihnen zu erhalten.

    Verwendeter Prompt:

    Erläutern Sie die Details dieser Warnung, einschließlich der beteiligten Entitäten.

    Antwort:

    Screenshot der Defender-Warnungsanreicherung.

    Nun verfügen Sie über ein Benutzerkonto und ein Gerät, das Sie genauer untersuchen können. In diesem Fall entscheiden Sie sich dafür, mehr über den betroffenen Benutzer zu erfahren, bevor Sie sich mit den Details des Angriffs auf das Gerät vertraut machen.

  3. Weitere Informationen zu diesem Benutzer finden Sie als Anleitung für die nächsten Schritte. Welche Art von Aktionen könnte als Nächstes für eine Person mit ihren Anmeldeinformationen sein?

    Verwendeter Prompt:

    Teilen Sie mir mehr über die Benutzerentität mit.

    Antwort:

    Screenshot: Detaillierte Benutzerinformationen.

    Sie finden heraus, dass dieser Benutzer im Vertrieb funktioniert. Wenn ihre Anmeldeinformationen gestohlen wurden, könnte sich dies auf Die Verkaufsdaten auswirken. Sie erinnern sich daran, dass Ihr Sentinel-Arbeitsbereich über eine SAP-Lösung verfügt, um Bedrohungen dort zu erkennen. Ist diese Defender-Warnung mit einem Microsoft Sentinel Incident verknüpft? Ihre erste Priorität besteht darin, festzustellen, ob verdächtige Aktivitäten dieses Benutzers in SAP aufgetreten sind.

  4. Verwenden Sie eine gespeicherte Huntingabfrage, um Entitäten mit Sentinel Incidents zu korrelieren.

    Sie aktivieren die vorgeschlagene Aufforderung für die natürliche Sprache manuell, um Sentinel KQL-Plug-In zu verwenden, um Ihre Abfrage auszuführen.

    Screenshot: Vorgeschlagene Aufforderung zur Microsoft Sentinel Von Suchabfragen

    Tipp

    Wenn die Abfrage leicht angepasst werden muss, bearbeiten Sie die Eingabeaufforderung, und führen Sie sie erneut aus. Für instance hat Ihre Abfrage projiziertIncidentNames, aber dies sind einfach GUIDs. Sie erinnern sich daran, dass es das Feld ist, das Title Sie wirklich wollen. Bearbeiten Sie einfach die Eingabeaufforderung, und wählen Sie die Option Eingabeaufforderung erneut ausführen aus.

    Screenshot: Eingabeaufforderungsoptionen zum Bearbeiten, erneuten Ausführen und Löschen.

    Verwendete angepasste Eingabeaufforderung:

    Führen Sie die folgende KQLSecurityAlert | wobei Entitäten "adele.vance@contoso.com" und TimeGenerated >= datetime(06.10.2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertIds | extend SystemAlertId = tostring(SystemAlertId)) für SystemAlertId | summarize by IncidentNumber, Title

    Antwort:

    Screenshot: Ergebnisse von Microsoft Sentinel Huntingabfragen

    Der SAP-bezogene Incident ist jetzt Ihre erste Priorität.

  5. Pivotieren Sie Ihre Untersuchung auf den SAP-Incident, der dem Benutzer aus der ursprünglichen Warnung zugeordnet ist.

    Verwendeter Prompt:

    Erläutern Sie Sentinel Incident 33805, und geben Sie mir Details zu den Entitäten.

    Antwort:

    Screenshot: Zusammenfassung Microsoft Sentinel Incidents

    Von dieser Eingabeaufforderung werden viele Informationen zurückgegeben. Die böswillige IP-Adresse und die mögliche Exfiltration von Finanzdaten zeichnen sich als wichtige Elemente aus, die weiter untersucht werden sollten.

  6. Erfahren Sie mehr über die IP-Adressentität, und untersuchen Sie, wie sie als böswillig eingestuft wurde.

    Verwendeter Prompt:

    Geben Sie mir weitere Details zur IP-Adresse und warum ist sie böswillig?

    Antwort:

    Screenshot: Details zur böswilligen IP-Adresse

  7. Erstellen eines Zusammenfassungsberichts

    Sparen Sie Zeit im Eskalationsprozess mit einer Zusammenfassung für Führungskräfte und Incidentreaktionsteams.

    Verwendeter Prompt:

    Schreiben Sie einen Bericht, der auf dieser Untersuchung basiert. Führen Sie mit Ihrer Bewertung des ursprünglichen Defender-Vorfalls und ob die Gefahr des Diebstahls von Anmeldeinformationen real ist. Schließen Sie Ihre Bewertung ab, wie diese Bedrohung mit dem Sentinel Incident in Bezug auf die Datei, die auf eine böswillige IP-Adresse heruntergeladen wurde, verknüpft ist.

    Antwort:

    Screenshot: Untersuchungszusammenfassungsbericht

  8. Heften Sie die nützlichsten Eingabeaufforderungsantworten an, und bearbeiten Sie den Sitzungsnamen.

    Sie haben Ihr Ziel erreicht und festgestellt, dass der zugewiesene Microsoft Defender XDR Incident eine echte Bedrohung darstellt. Indem Sie es mit einem Microsoft Sentinel Vorfall verknüpfen, der eine exfiltrierte SAP-Datei betrifft, bereiten Sie die Zusammenarbeit mit Ihrem Eskalationsteam vor.

    Screenshot: Pinboard und bearbeiteter Sitzungsname

Zusammenfassung

In diesem Anwendungsfall half Security Copilot, einen zugewiesenen Incident schnell zu selektieren. Sie haben bestätigt, dass die Warnung eine echte Aktion erfordert, indem Sie verwandte Vorfälle untersuchen. Die Suche führte dazu, dass ein Incident mit einer IP-Entität gefunden wurde, die mit abgeschlossenen Informationen über den verwendeten Bedrohungsakteur und das verwendete C2-Tool verknüpft ist. Mit einer kurzen Pinnwand haben Sie die Sitzung und einen zusammenfassenden Bericht geteilt, in dem das Eskalationsteam die Informationen erhält, die es benötigt, um effektiv zu reagieren.