Analizowanie pierwszego incydentu w Microsoft Defender XDR

Dotyczy:

• Microsoft Defender XDR

Zrozumienie kontekstu otaczającego zdarzenia jest niezbędne do analizowania ataków. Połączenie twojej wiedzy i doświadczenia z funkcjami i możliwościami Microsoft Defender XDR zapewnia szybsze rozwiązywanie zdarzeń i bezpieczeństwo organizacji przed atakami cybernetycznymi.

Współczesne zagrożenia związane z bezpieczeństwem danych — naruszenie zabezpieczeń poczty e-mail w firmie (BEC), złośliwe oprogramowanie, takie jak backdoory i oprogramowanie wymuszające okup, naruszenia organizacji i ataki państwa narodowego — wymagają szybkich, inteligentnych i zdecydowanych działań ze strony osób reagujących na zdarzenia. Narzędzia takie jak Microsoft Defender XDR umożliwiają zespołom reagowania wykrywanie, klasyfikowanie i badanie zdarzeń za pomocą jednego okienka oraz znajdowanie informacji potrzebnych do podejmowania tych terminowych decyzji.

Zadania badania

Badania zwykle obejmują odpowiedzi wyświetlające kilka aplikacji podczas jednoczesnego sprawdzania różnych źródeł analizy zagrożeń. Czasami badania są rozszerzane na wyszukiwanie innych zagrożeń. Dokumentowanie faktów i rozwiązań w badaniu ataków jest dodatkowym ważnym zadaniem, które zapewnia historię i kontekst do użytku innych badaczy lub późniejszych dochodzeń. Te zadania badania są uproszczone w przypadku korzystania z Microsoft Defender XDR za pomocą następujących elementów:

• Przestawianie — portal agreguje ważne informacje o ataku kontekstowe dla obciążeń usługi Defender włączonych w organizacji. Portal konsoliduje wszystkie informacje dotyczące składników pojedynczego ataku (plik, adres URL, skrzynka pocztowa, konto użytkownika lub urządzenie), pokazując relacje i oś czasu działań. Ze wszystkimi informacjami dostępnymi na stronie portal umożliwia osobom reagującym na zdarzenia przestawianie się między powiązanymi jednostkami i zdarzeniami w celu znalezienia informacji potrzebnych do podejmowania decyzji.

• Wyszukiwanie zagrożeń — łowcy zagrożeń mogą znaleźć znane i możliwe zagrożenia w organizacji za pośrednictwem zaawansowanej możliwości wyszukiwania zagrożeń w portalu przy użyciu zapytań Kusto. Jeśli jesteś nowym użytkownikiem usługi Kusto, użyj trybu z przewodnikiem , aby wyszukiwać zagrożenia.

• Szczegółowe informacje — jeśli ma to zastosowanie, użytkownicy reagujący na zdarzenia mogą wyświetlać akcje do wcześniej wykrytych zdarzeń i alertów, aby ułatwić obecne badania. Dodatkowe szczegółowe informacje są również automatycznie dodawane do zdarzeń i alertów za pośrednictwem własnych działań firmy Microsoft związanych z analizą zagrożeń oraz ze źródeł takich jak mitre att&CK® framework i VirusTotal.

• Współpraca — zespoły ds. operacji zabezpieczeń mogą wyświetlać decyzje i akcje poszczególnych członków zespołu dotyczące przeszłych i obecnych zdarzeń oraz alertów za pośrednictwem funkcji portalu, takich jak komentarze, tagowanie, oflagowanie i przypisywanie. Dalsza współpraca z usługą wykrywania i reagowania zarządzanego firmy Microsoft za pośrednictwem Eksperci usługi Defender w zakresie XDR i Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Defender jest również dostępna, gdy organizacja wymaga rozszerzonej odpowiedzi.

Omówienie ataków

Historia ataku zapewnia ratownikom pełny, kontekstowy przegląd tego, co wydarzyło się w ataku. Respondatorzy mogą wyświetlać wszystkie powiązane alerty i zdarzenia, w tym zautomatyzowane akcje korygowania podejmowane przez Microsoft Defender XDR w celu wyeliminowania ataku.

W scenariuszu ataku możesz dokładniej zapoznać się ze szczegółami ataku, eksplorując karty dostępne na stronie zdarzenia. Możesz szybko korygować typowe ataki, takie jak wyłudzanie informacji, spray haseł i złośliwe naruszenia zabezpieczeń aplikacji za pośrednictwem podręczników reagowania na zdarzenia dostępnych w portalu. Te podręczniki zawierają wskazówki dotyczące wykrywania, reagowania i ograniczania ryzyka, które obsługują badania zdarzeń.

Ten film wideo przedstawiający sposób badania ataku w Microsoft Defender XDR oraz sposobu korzystania z funkcji portalu w badaniu przeprowadzi Cię przez historię ataku i stronę incydentu.

Badanie zagrożeń

Złożone zagrożenia, takie jak ataki przeciwnika w środku i oprogramowanie wymuszające okup, często wymagają ręcznego zbadania. Osoba reagująca na zdarzenia zajmująca się tymi skomplikowanymi atakami szuka następujących kluczowych informacji:

• Obecność złośliwego oprogramowania lub podejrzane użycie narzędzi i aplikacji
• Wskazówki dotyczące wszelkich kanałów komunikacyjnych lub punktów wejścia używanych przez złośliwą lub podejrzaną jednostkę
• Wskazówki wskazujące na możliwe naruszenie tożsamości
• Identyfikowanie wpływu na dane i stan zabezpieczeń organizacji

Poniższe sekcje zawierają samouczki i filmy wideo dotyczące funkcji Microsoft Defender XDR, które pomagają zespołom reagowania na zdarzenia w badaniu różnych złożonych ataków.

Badania dotyczące oprogramowania wymuszającego okup

Oprogramowanie wymuszające okup nadal stanowi poważne zagrożenie dla organizacji. Firma Microsoft dysponuje następującymi zasobami, które ułatwiają badanie ataków ransomware i reagowanie na nie:

• Przewodniki: od wykrywania do ochrony: przewodnik firmy Microsoft dotyczący zwalczania ataków wymuszających okup
• Samouczek: podręcznik badania oprogramowania wymuszającego okup
• Wideo: Badanie ataków ransomware w Microsoft Defender XDR (część 1)
• Wideo: Badanie ataków ransomware w Microsoft Defender XDR (część 2)

analiza ataków opartych na Email

Identyfikowanie i śledzenie zmodyfikowanych, utworzonych lub skradzionych tożsamości jest niezbędne do badania ataków wyłudzania informacji i ataków BEC. Podczas badania tych ataków użyj następujących zasobów:

• Samouczek: badanie złośliwych wiadomości e-mail
• Samouczek: badanie użytkowników
• Samouczek: badanie konta użytkownika
• Blog: Total Identity Compromise: Microsoft Incident Response lessons on securing Active Directory Identity compromise can be investigated using Defender for Identity signals (Blog: Total Identity Compromise: Microsoft Incident Response lessons on securing Active Directory Identity compromise (Blog: Total Identity Compromise: Total Identity Compromise: Microsoft Incident Response lessons on securing Active Directory Identity compromise (Blog: Total Identity Compromise: Microsoft Incident Response lessons on securing Active Directory Identity compromise ( Łączny kompromis
• Samouczek: przykład ataku wyłudzającego informacje e-mail
• Samouczek: przykład ataku opartego na tożsamościach

W poniższych filmach wideo omówiono sposób badania wyłudzania informacji i ataków BEC w Microsoft Defender XDR:

• Wideo: Badanie wyłudzania informacji o usługach BEC i AiTM w Microsoft Defender XDR
• Wideo: Obrona przed włócznią i wyłudzaniem informacji przy użyciu Ochrona usługi Office 365 w usłudze Defender

Zbadaj naruszenie tożsamości i dowiedz się, co możesz zrobić, aby powstrzymać atak za pośrednictwem tego filmu wideo:

• Badanie zagrożeń tożsamości przy użyciu usługi Defender for Identity

Analiza złośliwego oprogramowania

Informacje i możliwości złośliwego pliku są kluczem do badania złośliwego oprogramowania. Microsoft Defender XDR w większości przypadków może detonować plik, aby pokazać krytyczne dane, w tym skróty, metadane, występowanie w organizacji i możliwości plików oparte na technikach mitre att&CK®. Eliminuje to konieczność przeprowadzania testów w czarnej skrzynce lub statycznej analizy plików. Informacje o pliku można wyświetlić z wykresu zdarzenia lub wyświetlając drzewo procesu alertu, oś czasu artefaktu lub oś czasu urządzenia.

Następujące zasoby zawierają szczegółowe informacje na temat korzystania z możliwości portalu w badaniu plików:

• Samouczek: badanie plików
• Wideo: Badanie złośliwego oprogramowania w Microsoft Defender XDR

Analiza ryzykownych aplikacji i zapobieganie zagrożeniom opartym na chmurze

Złośliwi aktorzy mogą wykorzystywać aplikacje oparte na chmurze. Aplikacje mogą przypadkowo wyciekać poufne informacje poprzez nadużycie lub niewłaściwe użycie. Respondatorzy zdarzeń badający i chroniący aplikacje w środowiskach chmury mogą korzystać z następujących zasobów, w których Defender for Cloud Apps jest wdrażany w ich organizacjach:

• Samouczek: badanie złośliwych i zagrożonych aplikacji
• Samouczek: badanie ryzykownych aplikacji OAuth
• Samouczek: ochrona aplikacji w chmurze
• Samouczek: ochrona aplikacji w czasie rzeczywistym

Dowiedz się, jak można chronić aplikacje w chmurze w czasie rzeczywistym, korzystając z tego wideo przedstawiającego obciążenie Defender for Cloud Apps:

• Wideo: Ochrona aplikacji w chmurze i powiązanych plików za pośrednictwem Defender for Cloud Apps

Analiza naruszeń

Ataki państwa narodowego, ataki na infrastrukturę krytyczną i naruszenia organizacji często wymagają od osoby atakującej ustanowienia punktów komunikacji, gdy znajdują się w sieci. Osoby reagujące na zdarzenia szukają wskazówek, identyfikując podejrzany ruch lub wymiany między źródłem a miejscem docelowym. Firma Microsoft ma następujące samouczki dotyczące badania składników komunikacji:

• Badanie domen i adresów URL
• Badaj adres IP
• Badaj zdarzenia połączenia, które występują za serwerami proxy przesyłania dalej
• Badanie podejrzanych działań użytkowników i urządzeń za pośrednictwem usługi Defender for Identity
• Identyfikowanie i badanie ścieżek ruchu bocznego w usłudze Defender for Identity
• Badanie urządzeń na liście urządzeń usługi Defender for Endpoint

Osoby atakujące często używają luk w zabezpieczeniach, aby uzyskać dostęp do organizacji. Niektóre ataki wymuszające okup początkowo korzystają z nieprzypisanych luk w zabezpieczeniach, takich jak luka w zabezpieczeniach programu Log4Shell. Następujące zasoby ułatwiają osobom reagującym na zdarzenia identyfikowanie luk w zabezpieczeniach i urządzeń narażonych na zagrożenia w organizacji za pośrednictwem usługi Defender for Vulnerability Management:

• Samouczek: identyfikowanie luk w zabezpieczeniach w organizacji
• Samouczek: wyszukiwanie narażonych urządzeń
• Samouczek: ocena ryzyka organizacji za pomocą wskaźnika ekspozycji
• Wideo: Zarządzanie zagrożeniami i lukami w zabezpieczeniach za pośrednictwem Zarządzanie lukami w zabezpieczeniach w usłudze Defender

Naruszenia występują również za pośrednictwem różnych urządzeń, takich jak telefony i tablety, które łączą się z siecią organizacji. Służby reagujące na zdarzenia mogą dokładniej zbadać te urządzenia w portalu. W poniższym filmie wideo omówiono najważniejsze zagrożenia ze strony urządzeń przenośnych i sposób ich badania:

• Ochrona przed zagrożeniami mobilnymi w Microsoft Defender XDR

Zasoby na potrzeby analizy zagrożeń i wyszukiwania zagrożeń

wbudowane możliwości analizy zagrożeń Microsoft Defender XDR i zespoły reagowania na zdarzenia pomocy w zakresie wyszukiwania zagrożeń w proaktywnej ochronie przed pojawiającym się zagrożeniami i atakami. Masz bezpośredni dostęp do najnowszych informacji o pojawiających się zagrożeniach i atakach za pośrednictwem analizy zagrożeń w portalu.

Użyj analizy w analizie zagrożeń, aby dokładnie poznać nowe zagrożenia za pomocą następującego filmu wideo:

Proaktywne wyszukiwanie zagrożeń w organizacji przy użyciu wbudowanej zaawansowanej możliwości wyszukiwania zagrożeń w portalu.

Następujące zasoby zawierają więcej informacji na temat korzystania z zaawansowanego wyszukiwania zagrożeń:

• Poznaj język zapytań Kusto
• Tworzenie zapytań wyszukiwania zagrożeń przy użyciu trybu z przewodnikiem
• Wyszukiwanie zagrożeń w różnych jednostkach

Rozszerzanie analizy zagrożeń za pomocą najnowszych badań nad zabezpieczeniami i zmian wprowadzonych przez zespoły badawcze ds. zabezpieczeń firmy Microsoft:

• Blog dotyczący zabezpieczeń firmy Microsoft
• Informacje o aktorze zagrożeń firmy Microsoft

Współpracuj z ekspertami firmy Microsoft w zakresie reagowania na zdarzenia i wyszukiwania zagrożeń, aby zwiększyć możliwości zespołów ds. operacji zabezpieczeń. Dowiedz się więcej o naszych ekspertach i sposobie angażowania ich w następujące zasoby:

• Eksperci usługi Defender w zakresie XDR
• Wyszukiwanie zagrożeń za pomocą Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Defender

Następny krok

• Korygowanie pierwszego zdarzenia
• Eksplorowanie funkcji portalu za pomocą pokazów wideo w Microsoft Defender XDR Virtual Ninja Training

Zobacz też

• Omówienie zdarzeń
• Badanie zdarzeń
• Badaj alerty
• Poznaj funkcje i funkcje portalu za pośrednictwem szkolenia Microsoft Defender XDR Ninja

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.