Caso de utilização: Triagem de incidentes com base no melhoramento das informações sobre ameaças

Funções mencionadas: analista soc e administrador de identidade para triagem de incidentes (main), CISO e outros intervenientes para resumo do relatório de incidentes (destinatário)

Cenário

Enquanto analista do centro de operações de segurança (SOC), revê os alertas e incidentes que lhe foram atribuídos. O seu dever é identificar se é necessário tomar medidas reais. Pode tirar partido das informações nos alertas associados ao incidente para orientar o seu processo. Muitas vezes, recolhe informações contextuais para compreender melhor os próximos passos que deve seguir. Com o melhoramento das entidades envolvidas e a compreensão total dos alertas subjacentes, determina se deve escalar ou remediar o incidente.

Neste exemplo detalhado, um analista utiliza Security Copilot para fazer rapidamente a triagem de um incidente. Se o incidente for uma ameaça real, o objetivo é reunir novos indicadores de compromisso ou ligar entidades a informações concluídas. Neste caso, as informações sobre ameaças são resumidas por Security Copilot para mostrar a ligação a um ator de ameaças conhecido e informar a avaliação de gravidade.

Etapas

1. Comece o seu dia com Security Copilot. Obtenha o incidente de Microsoft Defender XDR mais recente que lhe foi atribuído e resuma os alertas associados ao mesmo.

   Prompt usado:

   Qual é o mais recente incidente ativo do Defender atribuído a mim? angus.macgregor@contoso.com Resuma-o, incluindo os alertas associados.

   Resposta:

   

   Parece um possível roubo de credenciais. Siga as ações recomendadas e comece a definir o âmbito do incidente e a validar o alerta.

2. Concentre-se em entidades específicas para obter mais informações sobre as mesmas.

   Prompt usado:

   Elabore os detalhes deste alerta, incluindo as entidades envolvidas.

   Resposta:

   

   Agora tem uma conta de utilizador e um dispositivo para investigar mais aprofundadamente. Neste caso, opta por compreender melhor o utilizador afetado antes de analisar os detalhes do ataque ao dispositivo.

3. Obtenha mais informações sobre este utilizador para orientar os próximos passos. Que tipo de ações podem ser a seguir para alguém com as suas credenciais?

   Prompt usado:

   Dê-me mais informações sobre a entidade de utilizador.

   Resposta:

   

   Descobre que este utilizador está a trabalhar em Vendas. Se a credencial tiver sido roubada, isto poderá afetar os dados de vendas. Lembre-se de que a área de trabalho Sentinel tem uma solução SAP para ajudar a detetar ameaças. Este alerta do Defender está ligado a um incidente de Microsoft Sentinel? A sua primeira prioridade é determinar se houve alguma atividade suspeita por parte deste utilizador no SAP.

4. Utilize uma consulta de investigação guardada para correlacionar entidades com incidentes Sentinel.

   Ativa manualmente o pedido sugerido para que a Linguagem natural Sentinel plug-in KQL para executar a consulta.

   

   Dica

   Se a consulta precisar de ser ajustada ligeiramente, edite o pedido e volte a executá-la. Por exemplo, a consulta projetou IncidentNames, mas estes são simplesmente GUIDs. Lembras-te que é o Title campo que queres mesmo. Basta editar o pedido e selecionar a opção Executar novamente o pedido .

   

   Pedido ajustado utilizado:

   Execute o seguinte KQLSecurityAlert | em que Entidades tem "adele.vance@contoso.com" e TimeGenerated >= datetime(10/06/2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertIds | extend SystemAlertId = tostring(SystemAlertId)) on SystemAlertId | summarize by IncidentNumber, Título

   Resposta:

   

   O incidente relacionado com SAP é agora a sua primeira prioridade.

5. Dinamize a investigação para o incidente do SAP associado ao utilizador a partir do alerta original.

   Prompt usado:

   Elabore Sentinel incidente 33805 e dê-me detalhes sobre as entidades.

   Resposta:

   

   Muitas informações são devolvidas a partir deste pedido. O IP malicioso e possível exfiltração de dados financeiros destacam-se como itens importantes para investigar mais aprofundadamente.

6. Saiba mais sobre a entidade de endereço IP e examine como foi determinada como maliciosa.

   Prompt usado:

   Dê-me mais detalhes sobre o endereço IP e por que motivo é malicioso?

   Resposta:

   

7. Criar um relatório de resumo

   Poupe tempo no processo de escalamento com um resumo das equipas de liderança e resposta a incidentes.

   Prompt usado:

   Escreva um relatório com base nesta investigação. Lidere com a avaliação do incidente original do Defender e se a ameaça de roubo de credenciais é real. Conclua a sua avaliação sobre a forma como essa ameaça está relacionada com o incidente Sentinel relativo ao ficheiro transferido para um IP malicioso.

   Resposta:

   

8. Afixe as respostas de pedidos mais úteis e edite o nome da sessão.

   Atingiu o seu objetivo e determinou que o incidente de Microsoft Defender XDR atribuído é uma ameaça real. Ao ligá-lo a um Microsoft Sentinel incidente que envolve um ficheiro SAP exfiltrado, prepara-se para colaborar com a sua equipa de escalamento.

   

Conclusão

Neste caso de utilização, Security Copilot ajudou a fazer a triagem rápida de um incidente atribuído. Confirmou que o alerta exigiu uma ação real ao investigar incidentes relacionados. A caça resultou em encontrar um incidente com uma entidade IP ligada a informações concluídas sobre o ator de ameaças e a ferramenta C2 utilizada. Com um quadro de afixação sucinta, partilhou a sessão e um relatório de resumo que dá à equipa de escalamento as informações de que precisa para responder de forma eficaz.