Explorer les fonctionnalités de Copilot dans Microsoft Defender XDR

  • 30 minutes

Dans cet exercice, vous investiguez un incident dans Microsoft Defender XDR. Dans le cadre de l’enquête, vous explorez les principales fonctionnalités de Copilot dans Microsoft Defender XDR, notamment le résumé d’incident, le résumé d’appareil, l’analyse de script, etc. Vous redirigez également votre investigation sur l’expérience autonome et utilisez le tableau d’épinglage pour partager les détails de votre investigation avec vos collègues.

Remarque

L’environnement de cet exercice est une simulation générée à partir du produit. Comme c’est une simulation limitée, les liens d’une page peuvent ne pas être activés et les entrées texte qui ne sont pas prises en compte dans le script spécifié ne sont pas prises en charge. Un message contextuel indiquant « Cette fonctionnalité n’est pas disponible dans la simulation » va s’afficher. Quand cela se produit, sélectionnez OK et continuez dans les étapes de l’exercice.
Capture d’écran d’une fenêtre contextuelle indiquant que cette fonctionnalité n’est pas disponible dans la simulation.

Microsoft Security Copilot était auparavant appelé Microsoft Copilot pour la sécurité. Tout au long de cette simulation, vous constaterez que l’interface utilisateur reflète toujours le nom d’origine.

Exercice

Pour cet exercice, vous êtes connecté en tant qu’Avery Howard avec le rôle Propriétaire Copilot. Vous travaillerez dans Microsoft Defender, en utilisant la plateforme d’opérations de sécurité unifiée, pour accéder aux capacités Copilot incorporées dans Microsoft Defender XDR. À la fin de l’exercice, vous basculez sur l’expérience autonome de Microsoft Security Copilot.

Cet exercice devrait prendre environ 30 minutes.

Remarque

Lorsqu’une instruction de labo nécessite l’ouverture d’un lien dans l’environnement simulé, il est généralement recommandé d’ouvrir le lien dans une nouvelle fenêtre de navigateur afin de voir simultanément les instructions et l’environnement de l’exercice. Pour ce faire, appuyez sur le bouton droit de la souris et sélectionnez l’option.

Tâche : Explorer le récapitulatif d’incident et les réponses guidées

  1. Ouvrez l’environnement simulé en sélectionnant ce lien : Portail Microsoft Defender.

  2. Dans le portail Microsoft Defender :

    1. Développez Enquêtes et réponses.
    2. Développez Incidents et alertes.
    3. Sélectionnez Incidents.

  3. Sélectionnez le premier incident dans la liste, ID d’incident : 30342 dénommé « Une attaque par ransomware opérée par un humain a été lancée depuis une ressource compromise (interruption de l’attaque).

  4. Cet incident est complexe. Defender XDR fournit une grande quantité d’informations, mais avec 72 alertes, ce n’est pas toujours facile d’orienter votre attention. À droite de la page de l’incident, Copilot génère automatiquement un récapitulatif d’incident qui vous aide à orienter votre attention et votre réponse. Cliquez sur Afficher plus.

    1. Le récapitulatif de Copilot décrit comment cet incident a évolué, notamment l’accès initial, le mouvement latéral, la collecte, l’accès aux informations d’identification et l’exfiltration. Il identifie des appareils spécifiques, indique que l’outil PsExec a été utilisé pour lancer des fichiers exécutables, etc.
    2. Ces éléments sont tout ce dont vous pouvez tirer parti pour une investigation plus approfondie. Vous en explorez quelques-uns dans les tâches suivantes.

  5. Faites défiler le panneau Copilot vers le bas et juste en dessous du récapitulatif vous avez les Réponses guidées. Les réponses guidées recommandent des actions en faveur du triage, de l’isolement, de l’investigation et de la correction.

    1. Le premier élément de la catégorie de triage permet de Classifier cet incident. Sélectionnez Classifier pour voir les options. Passez en revue les réponses guidées dans les autres catégories.
    2. Sélectionnez le bouton État en haut de la section des réponses guidées, puis filtrez sur Terminé. Deux activités terminées s’affichent avec l’étiquette Interruption d’attaque. L’interruption automatique des attaques est conçue pour enrayer les attaques en cours, limiter l’impact sur les ressources d’une organisation et fournir plus de temps aux équipes de sécurité pour corriger complètement l’attaque.

  6. Laissez la page de l’incident ouverte, vous en avez besoin pour la tâche suivante.

Tâche : Explorer le récapitulatif des appareils et des identités

  1. Dans la page de l’incident, sélectionnez la première alerte Suspicious URL clicked.

  2. Copilot génère automatiquement un Récapitulatif de l’alerte, qui fournit une multitude d’informations pour une analyse plus approfondie. Par exemple, le récapitulatif identifie l’activité suspecte, des activités de collecte de données, l’accès à des informations d’identification, un programme malveillant, des activités de découverte, etc.

  3. Comme il y a beaucoup d’informations dans la page, pour obtenir une meilleure vue de cette alerte, sélectionnez la page Ouvrir l’alerte. Il se trouve dans le troisième volet de la page de l’alerte, à côté du graphique de l’incident et sous le titre de l’alerte.

  4. En haut de la page, vous voyez la fiche de l’appareil parkcity-win10v. Sélectionnez les points de suspension et notez les options. Sélectionnez Résumer. Copilot génère un Récapitulatif de l’appareil. Notez qu’il existe de nombreuses façons d’accéder au récapitulatif des appareils et que celle utilisée ici est simplement une méthode pratique. Le récapitulatif montre que l’appareil est une machine virtuelle, identifie le propriétaire de l’appareil, il affiche son état de conformité par rapport aux stratégies Intune, etc.

  5. À côté de la fiche de l’appareil, vous avez la fiche du propriétaire de l’appareil. Sélectionnez parkcity\jonaw. Le troisième panneau de la page passe de l’affichage des détails de l’alerte à l’affichage d’informations sur l’utilisateur. Dans ce cas, Jonathan Wolcott, un responsable de compte, dont la gravité du risque Microsoft Entra ID et du risque interne est classifiée comme élevée. Ces détails ne sont pas surprenants compte tenu de ce que vous avez appris dans les récapitulatifs d’alertes et d’incidents de Copilot. Sélectionnez les points de suspension, puis Résumer pour obtenir un récapitulatif de l’identité généré par Copilot.

  6. Laissez la page d’alerte ouverte, vous en avez besoin pour la tâche suivante.

Tâche : Explorer l’analyse de script

  1. Concentrons-nous sur l’histoire de l’alerte. Sélectionnez Agrandir Icône Agrandir, qui se trouve dans le panneau principal de l’alerte, juste sous la carte intitulée « partycity\jonaw » pour obtenir une meilleure vue de l’arborescence des processus. Dans la vue agrandie, vous commencez à avoir une vue plus claire de la façon dont cet incident est arrivé. De nombreux éléments de ligne indiquent que powershell.exe a exécuté un script. Étant donné que l’utilisateur Jonathan Wolcott est un chargé de compte, il est raisonnable de supposer que l’exécution de scripts PowerShell n’est pas quelque chose que cet utilisateur est susceptible d’effectuer régulièrement.

  2. Développez la première instance de powershell.exe a exécuté un script. Copilot a la possibilité d’analyser les scripts. Sélectionnez Analyser.

    1. Copilot génère une analyse du script et suggère qu’il peut s’agir d’une tentative d’hameçonnage ou qu’il est utilisé pour distribuer du code malveillant basé sur le web.
    2. Sélectionnez Afficher le code. Le code montre une URL neutralisée.

  3. Il y a plusieurs autres éléments qui indiquent que powershell.exe a exécuté un script. Développez celle qui est libellée powershell.exe -EncodedCommand.... Le script d’origine était encodé en base 64, mais Defender l’a décodé pour vous. Pour la version décodée, sélectionnez Analyser. L’analyse met en évidence la sophistication du script utilisé dans cette attaque.

  4. Fermez la page d’histoire de l’alerte en sélectionnant le X (le X à gauche du panneau Copilot). Utilisez maintenant la barre de navigation pour revenir à l’incident. Sélectionnez Human-operated ransomware attack was launched from a compromised asset (attack disruption).

Tâche : Explorer l’analyse de fichier

  1. Vous êtes à nouveau dans la page de l’incident. Dans le récapitulatif de l’alerte, Copilot a identifié le fichier Rubeus.exe, qui est associé au programme malveillant « Kekeo ». Vous pouvez utiliser la fonctionnalité d’analyse de fichier dans Defender XDR pour voir les autres insights que vous pouvez obtenir. Il existe plusieurs moyens d’accéder aux fichiers. En haut de la page, sélectionnez l’onglet Preuve et réponse.

  2. À gauche de l’écran, sélectionnez Fichiers.

  3. Sélectionnez le premier élément de la liste avec l’entité nommée Rubeus.exe.

  4. Dans la fenêtre qui s’ouvre, sélectionnez Analyser. Copilot génère un récapitulatif.

  5. Passez en revue l’analyse détaillée des fichiers générée par Copilot.

  6. Fermez la fenêtre d’analyse de fichier.

Tâche : Passer à l’expérience autonome

Cette tâche est complexe et nécessite l’implication d’analystes plus expérimentés. Dans cette tâche, vous redirigez votre investigation et exécutez la séquence de prompts d’incident Defender pour que les autres analystes puissent démarrer rapidement l’investigation. Vous épinglez des réponses au tableau d’épinglage et générez un lien vers cette investigation afin de la partager avec des membres plus avancés de l’équipe pour qu’ils participent à l’investigation.

  1. Revenez à la page d’incident en sélectionnant l’onglet Histoire de l’attaque en haut de la page.

  2. Sélectionnez les points de suspension à côté du résumé d’incident de Copilot, puis sélectionnez Ouvrir dans Security Copilot.

  3. Copilot s’ouvre dans l’expérience autonome et affiche le récapitulatif de l’incident. Vous pouvez également exécuter d’autres prompts. Dans ce cas, vous exécutez la séquence de prompts pour un incident. Sélectionnez l’icône d’invite de icône de prompt.

    1. Sélectionnez Voir toutes les séquences de prompts.
    2. Sélectionnez Investigation d’incident Microsoft 365 Defender.
    3. La page de la séquence de prompts s’ouvre et demande l’ID d’incident Defender. Entrez 30342, puis sélectionnez Exécuter.
    4. Examinez les informations fournies. Quand vous passez à l’expérience autonome et que vous exécutez la séquence de requêtes, l’investigation est en mesure d’appeler les fonctionnalités d’une solution de sécurité plus large définie, au-delà de Defender XDR, en fonction des plug-ins activés.

  4. Sélectionnez l’icône de boîte icône de carré à côté de l’icône d’épingle pour sélectionner toutes les requêtes et les réponses correspondantes, puis sélectionnez l’icône d’épingle icône Épingle pour enregistrer ces réponses dans le tableau d’épinglage.

  5. Le tableau d’épinglage s’ouvre automatiquement. Le tableau d’épinglage contient vos prompts et réponses enregistrés, ainsi qu’un récapitulatif de chacun d’eux. Vous pouvez ouvrir et fermer le tableau d’épinglage en sélectionnant l’icône de tableau d’épinglageicône de tableau d’épinglage.

  6. En haut de la page, sélectionnez Partager pour voir vos options. Quand vous partagez l’incident via un lien ou un e-mail, les personnes de votre organisation qui ont un accès à Copilot peuvent voir cette session. Fermez la fenêtre en sélectionnant le X.

  7. Vous pouvez maintenant fermer l’onglet de navigateur pour quitter la simulation.

Révision

Cet incident est complexe. Il y a une grande quantité d’informations à synthétiser et Copilot permet de récapituler l’incident, les alertes individuelles, les scripts, les appareils, les identités et les fichiers. Les investigations complexes comme celle-ci peuvent nécessiter l’implication de plusieurs analystes. Copilot facilite ce scénario en permettant le partage facile des détails d’une investigation.