Caso de uso: Investigación de un incidente y entidades sospechosas asociadas
Rol mencionado: Analista de TI de SOC que analiza scripts sospechosos
Escenario
Durante un incidente, los analistas de seguridad suelen tener la tarea de investigar alertas y recopilar información pertinente asociada al incidente. Realizan análisis de causa principal y correlacionan la información de diversos orígenes para determinar el posible impacto en la organización.
En función del escenario, es posible que los analistas deban analizar registros, examinar malware, archivos o scripts de ingeniería inversa e investigar las direcciones URL que se observaron.
Un componente esencial de una investigación implica comprender qué pasos de corrección tomar y transmitir de forma eficaz descubrimientos significativos para mantener informados a las partes interesadas sobre el estado actual del incidente.
En este ejemplo, Security Copilot se usa para realizar una investigación completa de incidentes mediante la recopilación de información contextual de alertas, el análisis de un script sospechoso y la generación de una evaluación acompañada de un conjunto de pasos de corrección.
Pasos
Empiece a investigar en Microsoft Defender XDR.
Security Copilot está integrado en Microsoft Defender XDR. En una página de incidente, seleccione el botón Copilot para obtener un resumen de un incidente y obtener detalles como la hora y la fecha de inicio de un ataque, la entidad o el recurso que inició el ataque y los recursos implicados en el ataque.
Analice el script sospechoso.
Microsoft Defender XDR marca cuando se ejecuta un script sospechoso. Use Security Copilot para explicar lo que está haciendo el script sospechoso.
Nota:
Las funciones de análisis de scripts están continuamente en desarrollo. Se está evaluando el análisis de scripts en lenguajes distintos de PowerShell, batch y bash.
Con un clic de un botón, se muestra una descripción junto con un resumen general del script.
Amplíe la investigación en Security Copilot mediante avisos de lenguaje natural y más complementos.
Para continuar con la investigación en la experiencia independiente de Security Copilot, seleccione Abrir en Security Copilot.
La experiencia independiente permite ampliar la investigación mediante avisos de lenguaje natural.
Para obtener una comprensión más completa del incidente, use Security Copilot para recopilar más información sobre la actividad sospechosa que se ve en el script de la línea de comandos.
Símbolo del sistema usado:
¿Qué puede decirme sobre la reputación de los indicadores en el script? ¿Son malintencionadas? Si es así, ¿por qué?
Respuesta:
La respuesta indica que los varios indicadores del script están asociados a los actores de amenazas conocidos. Puede anclar esta respuesta como una parte crítica de la información que se puede usar más adelante.
Use Security Copilot para proporcionar una evaluación del incidente con pruebas complementarias y un conjunto de recomendaciones.
Símbolo del sistema usado:
Resuma las conclusiones de la investigación y concluya con un conjunto de recomendaciones.
Respuesta:
Sugerencia
Puede exportar la respuesta para futuras referencias. También tiene la opción de compartir toda la sesión con otros analistas. Otros miembros del equipo que revisan el incidente pueden aprovechar el tablero de patillas para obtener un resumen completo de los pasos de investigación, lo que les ahorra un tiempo valioso.
Conclusión
En este caso de uso, Security Copilot ayudó a realizar una investigación exhaustiva de un incidente. Con el lenguaje natural, los analistas pueden obtener una explicación de lo que está haciendo el script sospechoso y comprobar que los indicadores del script están asociados a actores de amenazas conocidos.
Además, Security Copilot generó una evaluación a través de un informe de resumen y proporcionó un conjunto de recomendaciones para contener el incidente, que también se pueden usar para las aptitudes de nivel superior.