Caso de utilização: Investigar um incidente e entidades suspeitas associadas
Função mencionada: analista soc TI que analisa scripts suspeitos
Cenário
Durante um incidente, os analistas de segurança são normalmente encarregados de investigar alertas e recolher informações pertinentes associadas ao incidente. Eles realizam análises de causa raiz e correlacionam informações de uma variedade de fontes para determinar o impacto potencial na organização.
Dependendo do cenário, os analistas podem precisar analisar logs, examinar malware, fazer engenharia reversa de arquivos ou scripts e investigar URLs que foram observadas.
Um componente essencial de uma investigação envolve entender quais etapas de correção devem ser seguidas e transmitir efetivamente descobertas significativas para manter os stakeholders informados sobre o estado atual do incidente.
Neste exemplo, Security Copilot é utilizado para realizar uma investigação abrangente de incidentes ao recolher informações contextuais de alertas, analisar um script suspeito e gerar uma avaliação acompanhada por um conjunto de passos de remediação.
Etapas
Comece a investigar no Microsoft Defender XDR.
Security Copilot está integrado no Microsoft Defender XDR. A partir de uma página de incidente, selecione o botão Copilot para obter um resumo de um incidente e obter detalhes, como a hora e a data de início de um ataque, a entidade ou recurso que iniciou o ataque e os recursos envolvidos no ataque.
Analise o script suspeito.
Microsoft Defender XDR sinaliza quando é executado um script suspeito. Utilize Security Copilot para explicar o que o script suspeito está a fazer.
Observação
As funções de análise de script estão continuamente em desenvolvimento. A análise de scripts em linguagens diferentes do PowerShell, lote e bash está sendo avaliada.
Com um clique de um botão, é apresentada uma descrição juntamente com um resumo geral do script.
Expanda a investigação no Security Copilot através de pedidos de linguagem natural e mais plug-ins.
Continue a investigação na experiência autónoma do Security Copilot ao selecionar Abrir no Security Copilot.
A experiência autónoma permite-lhe expandir a investigação através de pedidos de linguagem natural.
Para obter uma compreensão mais abrangente do incidente, utilize Security Copilot para recolher mais informações sobre a atividade suspeita vista no script da linha de comandos.
Prompt usado:
O que você pode me dizer sobre a reputação dos indicadores no script? São maliciosos? Se sim, porquê?
Resposta:
A resposta indica que os vários indicadores no script estão associados a atores de ameaças conhecidos. Você pode fixar essa resposta como uma informação crítica que pode ser usada posteriormente.
Utilize Security Copilot para fornecer uma avaliação do incidente com provas de apoio e um conjunto de recomendações.
Prompt usado:
Resuma as descobertas da investigação e conclua com um conjunto de recomendações.
Resposta:
Dica
Você pode exportar a resposta para referência futura. Você também tem a opção de compartilhar toda a sessão com outros analistas. Outros membros da equipa que estão a rever o incidente podem tirar partido do quadro de afixação para obter um resumo completo dos passos de investigação, o que lhes poupa tempo valioso.
Conclusão
Neste caso de utilização, Security Copilot ajudaram a conduzir uma investigação aprofundada de um incidente. Com linguagem natural, os analistas conseguem obter uma explicação sobre o que o script suspeito está a fazer e verificar se os indicadores no script estão associados a atores de ameaças conhecidos.
Além disso, Security Copilot gerado uma avaliação através de um relatório de resumo e forneceu um conjunto de recomendações para conter o incidente, que também pode ser utilizado para atualizar as competências.