Explorar as funcionalidades do Copilot no Microsoft Defender XDR

  • 30 minutos

Neste exercício, você investigará um incidente no Microsoft Defender XDR. Como parte da investigação, você explora os principais recursos do Copilot no Microsoft Defender XDR, incluindo resumo de incidentes, resumo de dispositivos, análise de scripts e muito mais. Você também dinamiza sua investigação para a experiência autônoma e usa o pin board como uma maneira de compartilhar detalhes de sua investigação com seus colegas.

Observação

O ambiente para este exercício é uma simulação gerada a partir do produto. Como uma simulação limitada, os links em uma página podem não estar habilitados e pode não haver suporte para entradas baseadas em texto que estejam fora do script especificado. Uma mensagem pop-up será exibida informando: "Esse recurso não está disponível na simulação". Quando isso ocorrer, selecione OK e continue as etapas do exercício.
Captura de tela da janela pop-up indicando que esse recurso não está disponível na simulação.

Além disso, o Microsoft Security Copilot era anteriormente conhecido como Microsoft Copilot para Segurança. Ao longo dessa simulação, você vai perceber que a interface do usuário ainda reflete o nome original.

Exercício

Para este exercício, você estará conectado como Avery Howard e tem a função de proprietário do Copilot. Você trabalhará no Microsoft Defender, usando a nova plataforma de operações de segurança unificada, para acessar as funcionalidades do Copilot inserido no Microsoft Defender XDR. Perto do final do exercício, você passa para a experiência autônoma do Microsoft Security Copilot.

Este exercício deve levar aproximadamente 30 minutos para ser concluído.

Observação

Quando uma instrução de laboratório exigir a abertura de um link para o ambiente simulado, geralmente é recomendável abrir o link em uma nova janela do navegador para que você possa visualizar simultaneamente as instruções e o ambiente de exercício. Para fazer isso, selecione a tecla direita do mouse e selecione a opção.

Tarefa: Explorar resumo de incidentes e respostas guiadas

  1. Abra o ambiente simulado selecionando este link: Portal do Microsoft Defender.

  2. No portal do Microsoft Defender:

    1. Expanda Investigação e resposta.
    2. Expanda Incidentes e alertas.
    3. Selecione Incidentes.

  3. Selecione o primeiro incidente na lista, ID do incidente: 30342 O ataque de ransomware operado por humanos foi iniciado a partir de um ativo comprometido (interrupção de ataque).

  4. Este incidente é complexo. O Defender XDR fornece uma grande quantidade de informações, mas com 72 alertas, pode ser um desafio saber onde se concentrar. No lado direito da página de incidentes, o Copilot gera automaticamente um Resumo de incidentes que ajuda a orientar seu foco e resposta. Selecione Ver mais.

    1. O resumo de Copilot descreve como esse incidente evoluiu, incluindo acesso inicial, movimento lateral, coleção, acesso a credenciais e exfiltração. Ele identifica dispositivos específicos, indica que a ferramenta PsExec foi usada para inicializar arquivos executáveis e muito mais.
    2. Esses itens são tudo o que você pode aproveitar para uma investigação mais aprofundada. Você explora algumas delas em tarefas subsequentes.

  5. Role para baixo no painel do Copilot e logo abaixo do resumo há Respostas guiadas. As respostas guiadas recomendam ações em suporte à triagem, à contenção, à investigação e à correção.

    1. O primeiro item na categoria de triagem é Classificar esse incidente. Selecione Classificar para exibir as opções. Examine as respostas guiadas nas outras categorias.
    2. Selecione o botão Status na parte superior da seção de respostas guiadas e filtre em Concluído. Duas atividades concluídas são rotuladas como Interrupção de Ataque. A interrupção automática de ataque foi projetada para conter ataques em andamento, limitar o impacto nos ativos de uma organização e fornecer mais tempo para as equipes de segurança mitigarem totalmente o ataque.

  6. Mantenha a página de incidentes aberta, pois você vai usá-la na próxima tarefa.

Tarefa: Explorar o resumo de dispositivos e identidades

  1. Na página de incidentes, selecione o primeiro alerta, URL suspeita clicada.

  2. O Copilot gera automaticamente um Resumo do alerta, que fornece uma grande quantidade de informações para análise adicional. Por exemplo, o resumo identifica atividades suspeitas, de coleta de dados, acesso a credenciais, malware, atividades de descoberta e muito mais.

  3. Há muitas informações na página, portanto, para obter uma visão melhor desse alerta, selecione Abrir página do alerta. Ele está no terceiro painel na página de alertas, ao lado do grafo de incidentes e abaixo do título do alerta.

  4. Na parte superior da página está o cartão para o dispositivo parkcity-win10v. Selecione as reticências e anote as opções. Selecione Resumir. O Copilot gera um Resumo do dispositivo. Não vale nada que haja várias maneiras de acessar o resumo do dispositivo e dessa forma é apenas um método conveniente. O resumo mostra que o dispositivo é uma VM, identifica o proprietário do dispositivo, mostra seu status de conformidade em relação às políticas do Intune e muito mais.

  5. Ao lado do cartão do dispositivo, há um cartão para o proprietário do dispositivo. Selecione parkcity\jonaw. O terceiro painel na página atualiza de mostrar detalhes do alerta para fornecer informações sobre o usuário. Nesse caso, Jonathan Wolcott, um executivo da conta, cujo risco de ID do Microsoft Entra e gravidade do risco insider são classificados como altos. Esses detalhes não são surpreendentes, dado o que você aprendeu com o incidente de Copilot e resumos de alertas. Selecione os três pontos e selecione Resumir para obter um resumo de identidade gerado pelo Copilot.

  6. Mantenha essa página aberta, pois você vai usá-la na próxima tarefa.

Tarefa: Explorar a análise de script

  1. Vamos nos concentrar na história do alerta. Selecione Maximizar ícone de maximizar, localizado no painel principal do alerta, logo abaixo do cartão rotulado como "partycity\jonaw" para obter uma visão melhor da árvore do processo. Do modo de exibição maximizado, você começa a ter uma visão mais clara de como esse incidente ocorreu. Muitos itens de linha indicam que powershell.exe executou um script. Como o usuário Jonathan Wolcott é um executivo de conta, é razoável supor que executar scripts do PowerShell não é algo que esse usuário provavelmente esteja fazendo regularmente.

  2. Expanda a primeira instância de powershell.exe executou um script. O Copilot tem a capacidade de analisar scripts. Selecione Analisar.

    1. O Copilot gera uma análise do script e sugere que ele pode ser uma tentativa de phishing ou usado para uma entregar um software de exploração de vulnerabilidades baseado na Web.
    2. Selecione Mostrar código. O código mostra uma URL cujo potencial de causar dano foi eliminado.

  3. Há vários outros itens que indicam que powershell.exe executou um script. Expanda aquele rotulado powershell.exe -EncodedCommand.... O script original foi codificado em base 64, mas o Defender decodificou isso para você. Para a versão decodificada, selecione Analisar. A análise destaca a sofisticação do script usado neste ataque.

  4. Feche a página de história do alerta selecionando o X (o X à esquerda do painel do Copilot). Agora use a trilha para retornar ao incidente. Selecione O ataque de ransomware operado por humanos foi iniciado a partir de um ativo comprometido (interrupção de ataque).

Tarefa: Explorar a análise de arquivo

  1. Você está de volta à página de incidentes. No resumo do alerta, Copilot identificou o arquivo Rubeus.exe, que está associado ao malware 'Kekeo'. Você pode usar a funcionalidade de análise de arquivo no Defender XDR para ver quais outros insights você pode obter. Há várias maneiras de acessar arquivos. Na parte superior da página, selecione a guia Evidências e Resposta.

  2. No lado esquerdo da tela, selecione Arquivos.

  3. Selecione o primeiro item da lista com a entidade chamada Rubeus.exe.

  4. Na janela que é aberta, selecione Analisar. O Copilot gera um resumo.

  5. Examine a análise de arquivo detalhada gerada pelo Copilot.

  6. Feche a janela de análise de arquivo.

Tarefa: Mover para a experiência autônoma

Essa tarefa é complexa e requer o envolvimento de analistas mais experientes. Nesta tarefa, você dinamizará sua investigação e executará o promptbook de incidentes do Defender para que os outros analistas tenham as informações iniciais da investigação. Você fixa respostas ao quadro informativo e gera um link para essa investigação, que você pode compartilhar com membros mais avançados da equipe para ajudar a investigar.

  1. Retorne à página de incidentes selecionando a guia História do ataque na parte superior da página.

  2. Selecione as reticências ao lado do resumo do incidente do Copilot e selecione Abrir no Security Copilot.

  3. O Copilot é aberto na experiência autônoma e mostra o resumo do incidente. Você também pode executar mais prompts. Nesse caso, você executa o promptbook para um incidente. Selecione o ícone de prompt ícone de prompt.

    1. Selecione Ver todos os promptbooks.
    2. Selecione Investigação de incidentes do Microsoft 365 Defender.
    3. A página do promptbook é aberta e solicita a ID de Incidente do Defender. Insira 30342 e selecione Executar.
    4. Examine as informações fornecidas. Quando você dinamiza para a experiência autônoma e executa o promptbook, a investigação é capaz de invocar recursos de uma solução de segurança de conjunto mais amplo, além apenas do Defender XDR, com base nos plug-ins habilitados.

  4. Selecione o ícone de caixa ícone de caixa ao lado do ícone de fixação para selecionar todos os prompts e as respostas correspondentes e, em seguida, selecione o ícone Fixar ícone de marcar para salvar essas respostas no quadro de pinos.

  5. O painel de fixação é aberto automaticamente. O quadro de fixação contém os prompts e respostas salvos, juntamente com um resumo de cada um deles. Você pode abrir e fechar o painel de fixação selecionando o ícone de painel de fixação ícone do quadro informativo.

  6. Na parte superior da página, selecione Compartilhar para exibir suas opções. Quando você compartilha o incidente por meio de um link ou email, as pessoas em sua organização com acesso Copilot podem exibir esta sessão. Feche a janela selecionando o X.

  7. Agora você pode fechar a guia do navegador para sair da simulação.

Revisão

Este incidente é complexo. Há uma grande quantidade de informações para digerir, e o Copilot ajuda a resumir o incidente, alertas individuais, scripts, dispositivos, identidades e arquivos. Investigações complexas como esta podem exigir o envolvimento de vários analistas. Copilot facilita essa situação compartilhando facilmente detalhes de uma investigação.