Esplorare le funzionalità di Copilot in Microsoft Defender XDR

  • 30 minuti

In questo esercizio verrà esaminato un evento imprevisto in Microsoft Defender XDR. Nell'ambito dell'indagine si esplorano le funzionalità principali di Copilot in Microsoft Defender XDR, tra cui riepilogo degli eventi imprevisti, riepilogo dei dispositivi, analisi degli script e altro ancora. Inoltre, si passa all'esperienza autonoma e si utilizza la bacheca per condividere i dettagli dell'indagine con i colleghi.

Nota

L'ambiente per questo esercizio è una simulazione generata dal prodotto. Come simulazione limitata, i collegamenti in una pagina potrebbero non essere abilitati e gli input basati su testo che non rientrano nello script specificato potrebbero non essere supportati. Verrà visualizzato un messaggio popup che indica che questa funzionalità non è disponibile all'interno della simulazione". In questo caso, selezionare OK e continuare con le sottoattività dell'esercizio.
Screenshot della schermata con il messaggio popup che indica che questa funzionalità non è disponibile all'interno della simulazione.

Inoltre, Microsoft Security Copilot è stato precedentemente definito Microsoft Copilot per la sicurezza. In questa simulazione si apprenderà che l'interfaccia utente riflette ancora il nome originale.

Esercizio

Per questo esercizio si è connessi come Avery Howard e si ha il ruolo di proprietario di Copilot. Si lavorerà in Microsoft Defender, utilizzando la nuova piattaforma operativa di sicurezza unificata, per accedere alle funzionalità di Copilot incorporate in Microsoft Defender XDR. Verso la fine dell'esercizio, si passa all'esperienza autonoma di Microsoft Security Copilot.

Il completamento di questo esercizio richiederà circa 30 minuti.

Nota

Quando un'istruzione lab chiama l'apertura di un collegamento all'ambiente simulato, in genere si consiglia di aprire il collegamento in una nuova finestra del browser in modo da visualizzare contemporaneamente le istruzioni e l'ambiente di esercizio. A tale scopo, selezionare il tasto destro del mouse e selezionare l'opzione.

Attività: Esplorare il riepilogo degli eventi imprevisti e le risposte guidate

  1. Aprire l'ambiente simulato selezionando questo collegamento: Portale di Microsoft Defender.

  2. Dal portale di Microsoft Defender:

    1. Espandere Indagine e reazione automatizzate.
    2. Espandere Eventi imprevisti e avvisi.
    3. Selezionare Eventi imprevisti.

  3. Selezionare il primo evento imprevisto nell'elenco ID evento imprevisto: 30342 denominato Attacco ransomware gestito dall'utente è stato avviato da un asset compromesso (interruzione degli attacchi).

  4. Questo evento imprevisto è complesso. Defender XDR offre una grande quantità di informazioni, ma con 72 avvisi può essere difficile capire su cosa focalizzarsi. Sul lato destro della pagina dell'evento imprevisto, Copilot genera automaticamente un riepilogo degli eventi imprevisti che aiuta a guidare l'attenzione e la risposta. Selezionare Vedi altro.

    1. Il riepilogo di Copilot descrive l'evoluzione dell'evento imprevisto, tra cui l'accesso iniziale, il movimento laterale, la raccolta, l’accesso con credenziali e l'esfiltrazione. Identifica dispositivi specifici, indica che lo strumento PsExec è stato usato per avviare i file eseguibili e altro ancora.
    2. Si tratta di elementi che è possibile sfruttare per ulteriori indagini. Alcuni di questi vengono esaminati nelle attività successive.

  5. Scorrere verso il basso nel pannello Copilot e sotto il riepilogo si trovano le Risposte guidate. Le risposte guidate raccomandano azioni a supporto di valutazione, contenimento, indagine e correzione.

    1. Primo elemento nella categoria di valutazione per classificare questo evento imprevisto. Selezionare Classifica per visualizzare le opzioni. Esaminare le risposte guidate nelle altre categorie.
    2. Selezionare il pulsante Stato nella parte superiore della sezione risposte guidate e filtrare in Completato. Due attività completate vengono visualizzate come interruzioni degli attacchi. L'interruzione automatica degli attacchi è progettata per contenere attacchi in corso, limitare l'impatto sulle risorse di un'organizzazione e fornire più tempo ai team di sicurezza per rimediare completamente all'attacco.

  6. Tenere aperta la pagina dell’evento imprevisto perché verrà usata nell'attività successiva.

Attività: Esplorare il riepilogo dei dispositivi e delle identità

  1. Nella pagina dell'evento imprevisto selezionare il primo avviso URL sospetto cliccato.

  2. Copilot genera automaticamente un riepilogo degli avvisi, che fornisce un'ampia gamma di informazioni per ulteriori analisi. Ad esempio, il riepilogo identifica le attività sospette, identifica le attività di raccolta dati, le attività di raccolta dati, l'accesso alle credenziali, il malware, le attività di scoperta e altro ancora.

  3. Nella pagina sono presenti molte informazioni, quindi per ottenere una visione migliore di questo avviso, selezionare Apri Pagina di avviso. Si trova nel terzo pannello nella pagina dell’avviso, accanto al grafico degli eventi imprevisti e sotto il titolo dell'avviso.

  4. Nella parte superiore della pagina, si trova la scheda per il dispositivo parkcity-win10v. Selezionare i puntini di sospensione e prendere nota delle opzioni. Selezionare Eseguire il riepilogo. Copilot genera un riepilogo del dispositivo. Non è necessario precisare che ci sono molti modi per accedere al riepilogo del dispositivo e questo è solo uno dei metodi più convenienti. Il riepilogo indica che il dispositivo è una macchina virtuale, identifica il proprietario del dispositivo, mostra lo stato di conformità rispetto ai criteri di Intune e altro ancora.

  5. Accanto alla scheda del dispositivo è presente una scheda per il proprietario del dispositivo. Selezionare parkcity\jonaw. Il terzo pannello della pagina viene aggiornato visualizzando i dettagli dell'avviso per fornire informazioni sull'utente. In questo caso, Jonathan Wolcott, un account executive, il cui livello di rischio di Microsoft Entra ID e la gravità del rischio Insider sono classificati come elevati. Questi dettagli non sono una sorpresa, visto quanto si è appreso dai riepiloghi degli incidenti e degli avvisi di Copilot. Selezionare i puntini di sospensione e quindi selezionare Riepiloga per ottenere un riepilogo delle identità generato da Copilot.

  6. Tenere aperta la pagina di avviso perché verrà usata nell'attività successiva.

Attività: Esplorare l'analisi degli script

  1. Ora ci si sofferma sulla storia dell'avviso. Selezionare Ingrandisciicona ingrandisci, che si trova nel pannello principale dell'avviso, sotto la scheda denominata 'partycity\jonaw' per ottenere una visualizzazione migliore dell'albero di processo. Dalla visualizzazione ingrandita, si inizia a ottenere una visione più chiara di come si è arrivati a questo evento imprevisto. Molti elementi di riga indicano che powershell.exe ha eseguito uno script. Poiché l'utente Jonathan Wolcott è un account executive, è ragionevole supporre che l'esecuzione di script di PowerShell non sia un'attività regolare per questo utente.

  2. Espandere la prima istanza di powershell.exe eseguito uno script. Copilot ha la possibilità di analizzare gli script. Seleziona Analizza.

    1. Copilot genera un'analisi dello script e suggerisce che potrebbe trattarsi di un tentativo di phishing o usato per fornire un exploit basato sul Web.
    2. Selezionare Mostra codice. Il codice mostra un URL defangato.

  3. Esistono diversi altri elementi che indicano che powershell.exe ha eseguito uno script. Espandere l'etichetta powershell.exe -EncodedCommand.... Lo script originale era codificato in base 64, ma Defender lo ha decodificato per l’utente. Per la versione decodificata, selezionare Analizza. L'analisi evidenzia la complessità dello script usato in questo attacco.

  4. Chiudere la pagina della storia dell'avviso selezionando il X (la X a sinistra del pannello Copilot). Usare ora il percorso di navigazione per tornare all'evento imprevisto. Selezionare Attacco ransomware gestito dall'utente è stato avviato da un asset compromesso (interruzione degli attacchi).

Attività: Esplorare l'analisi dei file

  1. Si è tornati alla pagina dell'evento imprevisto. Nel riepilogo degli avvisi, Copilot ha identificato il file Rubeus.exe, associato al malware "Kekeo". È possibile usare la funzionalità di analisi dei file in Defender XDR per visualizzare le ulteriori informazioni dettagliate che è possibile ottenere. È possibile accedere ai file in diversi modi. Nella parte superiore della pagina selezionare la Scheda evidenza e risposta.

  2. Sul lato sinistro della schermata selezionare File.

  3. Selezionare il primo elemento dall'elenco con l'entità denominata Rubeus.exe.

  4. Nella finestra visualizzata selezionare Analizza. Copilot genera un riepilogo.

  5. Esaminare l'analisi dettagliata dei file generata da Copilot.

  6. Chiudere la finestra di analisi dei file.

Attività: Passare all'esperienza autonoma

Questa attività è complesso e richiede il coinvolgimento di analisti più esperti. In questa attività, si fa perno sull'indagine e si esegue il promptbook degli eventi imprevisti di Defender, in modo che gli altri analisti abbiano un inizio dell'indagine. È possibile aggiungere risposte sulla bacheca e si genera un collegamento a questa indagine che è possibile condividere con membri più avanzati del team per aiutarli a indagare.

  1. Tornare alla pagina dell'evento imprevisto selezionando la scheda Storia dell’attacco nella parte superiore della pagina.

  2. Selezionare i puntini di sospensione accanto a Riepilogo eventi imprevisti di Copilot e selezionare Apri in Security Copilot.

  3. Copilot si apre nell'esperienza autonoma e mostra il riepilogo degli eventi imprevisti. È anche possibile eseguire altri prompt. In questo caso, si esegue il promptbook per un evento imprevisto. Selezionare l'icona del prompticona del prompt.

    1. Selezionare Visualizza tutti i promptbook.
    2. Selezionare Indagine sugli eventi imprevisti di Microsoft 365 Defender.
    3. Viene visualizzata la pagina del promptbook e viene richiesto l'ID evento imprevisto di Defender. Immettere 30342 quindi selezionare Esegui.
    4. Esaminare le informazioni fornite. Quando si passa all'esperienza autonoma e si esegue il promptbook, l'indagine è in grado di richiamare le funzionalità di un set più ampio di soluzioni di sicurezza, oltre a Defender XDR, in base ai plug-in abilitati.

  4. Selezionare l'icona della casella icona della casella accanto all'icona a forma di puntina per selezionare tutte le richieste e le risposte corrispondenti, quindi selezionare l'icona a forma di puntinaicona Aggiungi per salvare le risposte nella bacheca.

  5. La bacheca viene aperta automaticamente. La bacheca contiene i prompt e le risposte salvati, insieme a un riepilogo di ognuno. È possibile aprire e chiudere la bacheca selezionando l'icona della bacheca Icona della bacheca.

  6. Nella parte superiore della pagina selezionare Condividi per visualizzare le opzioni. Quando si condivide l'evento imprevisto tramite un collegamento o un messaggio di posta elettronica, gli utenti dell'organizzazione con accesso Copilot possono visualizzare questa sessione. Chiudere la finestra selezionando X.

  7. Ora è possibile chiudere la scheda del browser per uscire dala simulazione.

Revisione

Questo evento imprevisto è complesso. Ci sono molte informazioni da elaborare e Copilot consente di riepilogare l'evento imprevisto, i singoli avvisi, gli script, i dispositivi, le identità e i file. Indagini complesse come questa possono richiedere il coinvolgimento di più analisti. Copilot facilita questa situazione condividendo facilmente i dettagli di un'indagine.