Partilhar via

Caso de utilização: Resposta e remediação de incidentes

  • Artigo

Função mencionada: analistas soc de camada 1 investigam incidentes de segurança e resolvem alertas não críticos

Cenário

Security Copilot pode suportar analistas de Nível 1, de nível de entrada ou júnior na avaliação e gestão de incidentes com maior eficiência e eficácia.

Este caso de utilização apresenta uma versão abreviada da análise de incidentes em Case Study: Harnessing Security Copilot in Defending Against Cyberthreats and extended here to include remediation steps.

É um analista de escalão 1. O líder da sua equipa atribuiu-lhe um incidente e o seu trabalho é determinar se o incidente é realmente malicioso e, se for, resolve-lo o mais rapidamente possível.

Etapas

  1. Na fila de incidentes Microsoft Defender XDR, pode ver que o incidente de alta gravidade intitulado Incidente em várias fases que envolve o Acesso inicial & movimento lateral em vários pontos finais comunicados por várias origens correlaciona 25 alertas de várias soluções de segurança da Microsoft. Envolve três dispositivos, quatro utilizadores e uma conta de e-mail.

    Captura de ecrã da fila de incidentes.

  2. Abra a página do incidente para ver a história do ataque. Marcar o painel de Security Copilot no lado direito da história do ataque e vê que este cria automaticamente um resumo do incidente, juntamente com alguns passos sob resposta orientada.

    Captura de ecrã a mostrar a história do ataque.

  3. Para obter uma descrição geral do que se passou, leia o resumo fornecido por Security Copilot. Copie o resumo do incidente ao selecionar Copiar para a área de transferência no menu de opções e cole-o noutro documento.

    Captura de ecrã do painel Copilot com a função Copy realçada.
    Isto é útil para o relatório necessário, uma vez que já está organizado por fase de ataque e destaca os aspetos importantes do ataque. Sem Security Copilot, teria de desenvolver o relatório do zero.

  4. Em seguida, pode determinar facilmente que o incidente complexo envolveu vários ataques. Passa por cada uma das fases de ataque, conforme estabelecido em Acesso inicial, deteção e evasão à defesa. Neste caso de utilização, está interessado no ataque DCSync suspeito sob a atividade de acesso a credenciais.

  5. Selecione Abrir no Security Copilot no painel Copilot para perguntar sobre os ataques DCSync.

    Pergunta: O que é um ataque DCSync? Pode fornecer os respetivos TTPs?
    Captura de ecrã do pedido de ataque DCSync em Copilot. Security Copilot diz-lhe que, em ataques DCSync, um atacante imita o comportamento de um controlador de domínio para replicar credenciais com hash do Active Directory, normalmente através do Mimikatz ou do Empire.

  6. Sabendo isto, volta a Defender XDR e olha mais atentamente para o ataque DCSync Suspeito. Verá que o utilizador enviou um pedido de replicação para um controlador de domínio. Pergunta ao Security Copilot autónomo se este comportamento é considerado típico.

    Aviso: é comum um utilizador normal num dispositivo Windows 10 enviar um pedido de replicação para um DC?

    Captura de ecrã a mostrar a resposta de ataque DCSync em Copilot.
    Com Security Copilot resposta, pode confirmar que se trata de um verdadeiro incidente de segurança que precisa de uma investigação mais aprofundada por parte da equipa da Camada 2.

  7. O próximo alerta de segurança no resumo do incidente é um evento de criação de serviço suspeito classificado sob Persistência. Verá que o mesmo título de alerta foi gerado pelo Defender para Identidade e Defender para Endpoint. No entanto, quando marcar o alerta, verá que o caminho de serviço listado está codificado.

    Captura de ecrã do bloco de alertas com o caminho codificado.

  8. Para investigar o script, consulte Security Copilot.

    Aviso: Pode descodificar e, em seguida, informar-me mais sobre este caminho de serviço: %COMSPEC% /C "powershell.exe -EncodedCommand QwA6AFwAUwBjAHIAaQBwAHQAcwBcAFIAZQBuAGEAbQBlAFAAbwB3AGUAcgBzAGgAZQBsAGwALgBwAHMAMQA="
    Captura de ecrã do pedido copilot a perguntar sobre o alerta suspeito.
    O Copilot identifica o comando codificado como codificação Base64 e descodifica-o por si. Parece que o caminho do serviço é utilizado para executar um script do PowerShell localizado num determinado diretório. A utilização da codificação para obstinar o comando pode ser um sinal de atividade maliciosa.

  9. À medida que ganha mais confiança de que se trata de um verdadeiro incidente de segurança, pode voltar a rever a Resposta orientada no painel Security Copilot na página do incidente para determinar que ações pode tomar para conter ou mitigar o ataque.

    Captura de ecrã do painel de resposta orientada.

Conclusão

A utilização de Security Copilot pode proporcionar vários benefícios de eficiência aos analistas encarregados de investigar e remediar incidentes grandes que envolvem vários alertas e entidades. Ajuda a compreender a descrição geral do ataque, ao fornecer análises para scripts maliciosos, ao fornecer contexto para ataques nomeados e ao executar os passos necessários para remediar a ameaça.