Exploración de las funcionalidades de Copilot en XDR de Microsoft Defender

  • 30 minutos

En este ejercicio, investigará un incidente en XDR de Microsoft Defender. Como parte de la investigación, explorará las características clave de Copilot en Microsoft Defender XDR, incluido el resumen de incidentes, el resumen del dispositivo, el análisis de scripts, etc. También dinamiza la investigación a la experiencia independiente y usa la placa de anclaje como una manera de compartir detalles de la investigación con sus compañeros.

Nota:

El entorno de este ejercicio es una simulación generada a partir del producto. Al ser una simulación limitada, es posible que los vínculos de alguna página no estén habilitados y que no se admiten las entradas de texto que se encuentren fuera del script especificado. Se mostrará el siguiente mensaje emergente: "Esta característica no está disponible en la simulación". Cuando esto ocurra, seleccione Aceptar y continúe con los pasos del ejercicio.
Captura de la pantalla emergente que indica que esta característica no está disponible en la simulación.

Además, Microsoft Security Copilot se conocía anteriormente como Microsoft Copilot para seguridad. A lo largo de esta simulación, encontrará que la interfaz de usuario sigue reflejando el nombre original.

Ejercicio

En este ejercicio, ha iniciado sesión como Avery Howard y tiene el rol de propietario de Copilot. Trabajará en Microsoft Defender, con la nueva plataforma de operaciones de seguridad unificadas, para acceder a las funcionalidades de Copilot insertadas en XDR de Microsoft Defender. Al final del ejercicio, se dirige a la experiencia independiente de Microsoft Security Copilot.

Este ejercicio debería tardar en completarse 30 minutos aproximadamente.

Nota:

Cuando una instrucción de laboratorio llama para abrir un vínculo al entorno simulado, se recomienda generalmente abrir el vínculo en una nueva ventana del explorador para poder ver simultáneamente las instrucciones y el entorno del ejercicio. Para ello, seleccione la tecla del mouse derecho y seleccione la opción.

Tarea: Exploración del resumen de incidentes y respuestas guiadas

  1. Para abrir el entorno simulado, seleccione este vínculo: Portal de Microsoft Defender.

  2. Del portal de Microsoft Defender:

    1. Expanda Investigación y respuesta.
    2. Expanda Incidentes y alertas.
    3. Seleccione Incidentes.

  3. Seleccione el primer incidente de la lista, Id. de incidente: 30342 denominado ataque de ransomware operado por humanos se lanzó desde un activo comprometido (interrupción del ataque).

  4. Este incidente es complejo. Defender XDR proporciona una gran cantidad de información, pero con 72 alertas puede ser un desafío saber dónde centrarse. En el lado derecho de la página del incidente, Copilot genera automáticamente un resumen de incidentes que ayuda a guiar su enfoque y respuesta. Seleccione Ver más.

    1. El resumen de Copilot describe cómo ha evolucionado este incidente, incluido el acceso inicial, el movimiento lateral, la recopilación, el acceso a credenciales y la filtración. Identifica dispositivos específicos e indica que la herramienta PsExec se usó para iniciar archivos ejecutables y más.
    2. Estos son todos los elementos que puede aprovechar para una investigación más detallada. Puede explorar algunos de estos en tareas posteriores.

  5. Desplácese hacia abajo en el panel de Copilot y justo debajo del resumen son respuestas guiadas. Las respuestas guiadas recomiendan acciones que admiten la evaluación de prioridades, la contención, la investigación y la corrección.

    1. Primer elemento de la categoría de evaluación de prioridades para clasificar este incidente. Seleccione Clasificar para ver las opciones. Revise las respuestas guiadas en las otras categorías.
    2. Seleccione el botón Estado en la parte superior de la sección de respuestas guiadas y filtre por Completado. Dos actividades completadas se muestran etiquetadas como Interrupción de ataques. La interrupción automática de ataques está diseñada para contener ataques en curso, limitar el impacto en los recursos de una organización y proporcionar más tiempo para que los equipos de seguridad corrijan el ataque por completo.

  6. Mantenga abierta la página del incidente, la usará en la siguiente tarea.

Tarea: Exploración del resumen de dispositivos e identidades

  1. En la página del incidente, seleccione la primera alerta URL sospechosa en la que se ha hecho clic.

  2. Copilot genera automáticamente un resumen de alertas, que proporciona una gran cantidad de información para su posterior análisis. Por ejemplo, el resumen identifica actividades sospechosas, identifica actividades de recopilación de datos, acceso a credenciales, malware, actividades de detección, etc.

  3. Hay mucha información en la página, por lo que para obtener una mejor vista de esta alerta, seleccione Abrir página de alertas. Se encuentra en el tercer panel de la página de alertas, junto al gráfico de incidentes y debajo del título de la alerta.

  4. En la parte superior de la página, es la tarjeta para el dispositivo parkcity-win10v. Seleccione los puntos suspensivos y anote las opciones. Seleccione Resumir. Copilot genera un resumen del dispositivo. Hay muchas maneras de acceder al resumen del dispositivo y esto es solo un método conveniente. El resumen muestra que el dispositivo es una máquina virtual, identifica al propietario del dispositivo, muestra su estado de cumplimiento con las directivas de Intune y mucho más.

  5. Junto a la tarjeta del dispositivo es una tarjeta para el propietario del dispositivo. Seleccione parkcity\jonaw. El tercer panel de la página se actualiza de mostrar los detalles de la alerta para proporcionar información sobre el usuario. En este caso, Jonathan Wolcott, un ejecutivo de cuenta, cuyo riesgo de Microsoft Entra ID y gravedad de riesgo interno se clasifican como altos. Estos detalles no son sorprendentes, dado lo que ha aprendido de los resúmenes de incidentes y alertas de Copilot. Seleccione los puntos suspensivos y, a continuación, seleccione Resumir para obtener un resumen de identidad generado por Copilot.

  6. Mantén abierta la página de alertas, la utilizarás en la siguiente tarea.

Tarea: Exploración del análisis de scripts

  1. Vamos a centrarnos en la historia de alertas. Seleccione Maximizar icono para maximizar, ubicado en el panel principal de la alerta, justo debajo de la tarjeta con la etiqueta "partycity\jonaw" para obtener una mejor vista del árbol de procesos. Desde la vista maximizada, comienza a obtener una vista más clara de cómo llegó a ser este incidente. Muchos elementos de línea indican que powershell.exe ejecutaron un script. Dado que el usuario Jonathan Wolcott es un ejecutivo de cuentas, es razonable suponer que la ejecución de scripts de PowerShell no es algo que es probable que este usuario esté haciendo con regularidad.

  2. Expanda la primera instancia de powershell.exe que ejecutó un script. Copilot tiene la capacidad de analizar scripts. Seleccione Analizar.

    1. Copilot genera un análisis del script y sugiere que podría ser un intento de suplantación de identidad (phishing) o se usa para entregar una vulnerabilidad de seguridad basada en web.
    2. Seleccione Mostrar código. El código muestra una dirección URL desfangada.

  3. Hay otros elementos que indican powershell.exe ejecutar un script. Expanda la etiqueta powershell.exe -EncodedCommand.... El script original estaba codificado en base 64, pero Defender lo ha descodificado. Para la versión descodificada, seleccione Analizar. El análisis resalta la sofisticación del script usado en este ataque.

  4. Cierre la página del artículo de alertas seleccionando la X (la X situada a la izquierda del panel de Copilot). Ahora use la ruta de navegación para volver al incidente. Seleccione El ataque de ransomware operado por humanos se lanzó desde un activo comprometido (interrupción del ataque).

Tarea: Exploración del análisis de archivos

  1. Vuelve a la página del incidente. En el resumen de alertas, Copilot identificó el archivo Rubeus.exe, que está asociado con el malware "Kekeo". Puede usar la funcionalidad de análisis de archivos en XDR de Defender para ver qué otras conclusiones puede obtener. Hay varias maneras de acceder a los archivos. En la parte superior de la página, seleccione la pestaña Evidencia y respuesta.

  2. En el lado izquierdo de la pantalla, seleccione Archivos.

  3. Seleccione el primer elemento de la lista con la entidad denominada Rubeus.exe.

  4. En la ventana que se abre, seleccione Analizar. Copilot genera un resumen.

  5. Revise el análisis detallado de archivos que genera Copilot.

  6. Cierre la ventana de análisis de archivos.

Tarea: Dinamización a la experiencia independiente

Esta tarea es compleja y requiere la participación de más analistas de alto nivel. En esta tarea, dinamizará la investigación y ejecutará el libro de mensajes de incidentes de Defender para que los demás analistas tengan un inicio en ejecución en la investigación. Ancla las respuestas al panel de anclaje y genera un vínculo a esta investigación que puede compartir con miembros más avanzados del equipo para ayudar a investigar.

  1. Vuelva a la página del incidente seleccionando la pestaña Historia de ataque en la parte superior de la página.

  2. Seleccione los puntos suspensivos junto al resumen de incidentes de Copilot y seleccione Abrir en Security Copilot.

  3. Copilot se abre en la experiencia independiente y muestra el resumen de incidentes. También puede ejecutar más mensajes. En este caso, ejecutará el promptbook para un incidente. Seleccione el icono de aviso icono de símbolo del sistema.

    1. Seleccione Ver todos los mensajes.
    2. Seleccione Investigación de incidentesde Microsoft 365 Defender.
    3. La página del libro de mensajes se abre y solicita el identificador de incidente de Defender. Escriba 30342 y seleccione Ejecutar.
    4. Revise la información que se proporciona. Al dinamizar la experiencia independiente y ejecutar el promptbook, la investigación puede invocar funcionalidades desde una solución de seguridad de conjunto más amplia, más allá de solo Defender XDR, en función de los complementos habilitados.

  4. Seleccione el icono de cuadro icono de cuadro situado junto al icono de anclaje para seleccionar todas las indicaciones y las respuestas correspondientes y, a continuación, seleccione el icono de anclajeIcono de anclaje para guardar esas respuestas en el panel de anclaje.

  5. El panel de anclaje se abre automáticamente. La placa de anclaje contiene los mensajes y respuestas guardados, junto con un resumen de cada uno. Para abrir y cerrar el panel de anclaje, seleccione el icono de panel de anclaje Icono de placa de anclaje.

  6. En la parte superior de la página, seleccione Compartir para ver las opciones. Al compartir el incidente a través de un vínculo o correo electrónico, las personas de su organización con acceso a Copilot pueden ver esta sesión. Cierre la ventana seleccionando la X.

  7. Ahora puede cerrar la pestaña del navegador para salir de la simulación.

Revisar

Este incidente es complejo. Hay una gran cantidad de información para resumir y Copilot ayuda a resumir el incidente, alertas individuales, scripts, dispositivos, identidades y archivos. Las investigaciones complejas como esta pueden requerir la participación de varios analistas. Copilot facilita esto al compartir fácilmente los detalles de una investigación.