Caso d'uso: analizzare un evento imprevisto e le entità sospette associate
Ruolo menzionato: analista SOC TI analisi script sospetti
Scenario
Durante un evento imprevisto, gli analisti della sicurezza hanno in genere il compito di analizzare gli avvisi e raccogliere informazioni pertinenti associate all'evento imprevisto. Eseguono analisi delle cause profonde e correlano le informazioni provenienti da diverse origini per determinare il potenziale impatto sull'organizzazione.
A seconda dello scenario, gli analisti potrebbero dover analizzare i log, esaminare malware, file o script di decompilazione e analizzare gli URL osservati.
Un aspetto essenziale dell'indagine è la comprensione delle misure correttive da intraprendere e la comunicazione efficace delle scoperte significative per mantenere gli stakeholder informati sullo stato corrente dell'evento imprevisto.
In questo esempio, Security Copilot viene usato per eseguire un'analisi completa degli eventi imprevisti raccogliendo informazioni contestuali dagli avvisi, analizzando uno script sospetto e generando una valutazione accompagnata da un set di passaggi di correzione.
Procedura
Avviare l'analisi in Microsoft Defender XDR.
Security Copilot è integrato in Microsoft Defender XDR. Da una pagina degli eventi imprevisti selezionare il pulsante Copilot per ottenere un riepilogo di un evento imprevisto e ottenere dettagli come l'ora e la data dell'avvio di un attacco, l'entità o l'asset che ha avviato l'attacco e gli asset coinvolti nell'attacco.
Analizzare lo script sospetto.
Microsoft Defender XDR flag quando viene eseguito uno script sospetto. Usare Security Copilot per spiegare cosa sta facendo lo script sospetto.
Nota
Le funzioni di analisi degli script sono in continuo sviluppo. L'analisi di script in linguaggi diversi da PowerShell, batch e bash è in fase di valutazione.
Con un clic di un pulsante, viene visualizzata una descrizione insieme a un riepilogo complessivo dello script.
Estendere l'indagine in Security Copilot usando prompt in linguaggio naturale e altri plug-in.
Continuare l'analisi nell'esperienza autonoma di Security Copilot selezionando Apri in Security Copilot.
L'esperienza autonoma consente di estendere l'analisi usando i prompt del linguaggio naturale.
Per ottenere una comprensione più completa dell'evento imprevisto, usare Security Copilot per raccogliere altre informazioni sull'attività sospetta rilevata nello script della riga di comando.
Richiesta usata:
Cosa puoi dirmi sulla reputazione degli indicatori nello script? Sono dannosi? In caso affermativo, perché?
Risposta:
La risposta indica che i diversi indicatori nello script sono associati agli attori di minacce noti. È possibile aggiungere questa risposta come informazione critica che può essere usata in un secondo momento.
Usare Security Copilot per fornire una valutazione dell'evento imprevisto con prove di supporto e un set di raccomandazioni.
Richiesta usata:
Riepilogare i risultati dell'indagine e concludere con un insieme di suggerimenti.
Risposta:
Consiglio
È possibile esportare la risposta per future consultazioni. È anche possibile condividere l'intera sessione con altri analisti. Altri membri del team che stanno esaminando l'evento imprevisto possono sfruttare la bacheca pin per ottenere un riepilogo completo dei passaggi di indagine, risparmiando tempo prezioso.
Conclusione
In questo caso d'uso, Security Copilot contribuito a condurre un'indagine approfondita su un evento imprevisto. Usando il linguaggio naturale, gli analisti sono in grado di ottenere una spiegazione di ciò che lo script sospetto sta facendo e verificare che gli indicatori nello script siano associati a attori di minacce noti.
Inoltre, Security Copilot generato una valutazione tramite un report di riepilogo e fornito un set di raccomandazioni per contenere l'evento imprevisto, che può essere usato anche per le competenze di alto livello.