Explore os recursos do Copilot no Microsoft Defender XDR

  • 30 minutos

Neste exercício, você investiga um incidente no Microsoft Defender XDR. Como parte da investigação, você explora os principais recursos do Copilot no Microsoft Defender XDR, incluindo resumo de incidentes, resumo de dispositivos, análise de script e muito mais. Você também direciona sua investigação para a experiência independente e usa o quadro de pinos como uma maneira de compartilhar detalhes de sua investigação com seus colegas.

Nota

O ambiente para este exercício é uma simulação gerada a partir do produto. Como uma simulação limitada, os links em uma página podem não estar habilitados e entradas baseadas em texto que não se enquadram no script especificado podem não ser suportadas. Será exibida uma mensagem pop-up informando: "Este recurso não está disponível na simulação". Quando isso ocorrer, selecione OK e continue as etapas do exercício.
Captura de tela da tela pop-up indicando que esse recurso não está disponível na simulação.

Além disso, o Microsoft Security Copilot foi anteriormente referido como Microsoft Copilot for Security. Ao longo desta simulação, você descobrirá que a interface do usuário ainda reflete o nome original.

Exercício

Para este exercício, você está logado como Avery Howard e tem o papel de proprietário do Copiloto. Você trabalhará no Microsoft Defender, usando a nova plataforma unificada de operações de segurança, para acessar os recursos Copilot incorporados no Microsoft Defender XDR. No final do exercício, você pivota para a experiência autônoma do Microsoft Security Copilot.

Este exercício deve levar aproximadamente 30 minutos para ser concluído.

Nota

Quando uma instrução de laboratório pede a abertura de um link para o ambiente simulado, geralmente é recomendável que você abra o link em uma nova janela do navegador para que você possa visualizar simultaneamente as instruções e o ambiente de exercício. Para fazer isso, selecione a tecla direita do mouse e selecione a opção.

Tarefa: Explorar o resumo do incidente e as respostas guiadas

  1. Abra o ambiente simulado selecionando este link: Portal Microsoft Defender.

  2. No portal do Microsoft Defender:

    1. Expanda Investigação e resposta.
    2. Expanda Incidentes & alertas.
    3. Selecione Incidentes.

  3. Selecione o primeiro incidente na lista, ID do incidente: 30342 chamado Ataque de ransomware operado por humanos foi lançado a partir de um ativo comprometido (interrupção do ataque).

  4. Este incidente é complexo. O Defender XDR fornece uma grande quantidade de informações, mas com 72 alertas pode ser um desafio saber onde focar. No lado direito da página do incidente, o Copilot gera automaticamente um resumo do incidente que ajuda a orientar o seu foco e resposta. Selecione Ver mais.

    1. O resumo do Copilot descreve como esse incidente evoluiu, incluindo acesso inicial, movimento lateral, coleta, acesso a credenciais e exfiltração. Ele identifica dispositivos específicos, indica que a ferramenta PsExec foi usada para iniciar arquivos executáveis e muito mais.
    2. Esses itens são tudo o que você pode aproveitar para uma investigação mais aprofundada. Você explora alguns deles em tarefas subsequentes.

  5. Role para baixo no painel Copilot e logo abaixo do resumo estão as respostas guiadas. As respostas orientadas recomendam ações de apoio à triagem, contenção, investigação e remediação.

    1. O primeiro item na categoria de triagem é Classificar este incidente. Selecione Classificar para visualizar as opções. Analise as respostas guiadas nas outras categorias.
    2. Selecione o botão Status na parte superior da seção de respostas guiadas e filtre em Concluído. Duas atividades concluídas são exibidas rotuladas como Interrupção de Ataque. A interrupção automática de ataques foi projetada para conter ataques em andamento, limitar o impacto nos ativos de uma organização e fornecer mais tempo para as equipes de segurança corrigirem totalmente o ataque.

  6. Mantenha a página do incidente aberta, você a usará na próxima tarefa.

Tarefa: Explorar o resumo do dispositivo e da identidade

  1. Na página do incidente, selecione o primeiro alerta URL suspeito clicado.

  2. O Copilot gera automaticamente um resumo do Alerta, que fornece uma grande quantidade de informações para análise posterior. Por exemplo, o resumo identifica atividades suspeitas, identifica atividades de coleta de dados, acesso a credenciais, malware, atividades de descoberta e muito mais.

  3. Há muitas informações na página, portanto, para obter uma melhor visualização desse alerta, selecione Abrir página de alerta. Está no terceiro painel na página de alerta, ao lado do gráfico de incidentes e abaixo do título do alerta.

  4. No topo da página, está o cartão para o dispositivo parkcity-win10v. Selecione as reticências e anote as opções. Selecione Resumir. O Copilot gera um resumo do dispositivo. Não vale nada que existam muitas maneiras de acessar o resumo do dispositivo e essa maneira é apenas um método conveniente. O resumo mostra que o dispositivo é uma VM, identifica o proprietário do dispositivo, mostra seu status de conformidade com as políticas do Intune e muito mais.

  5. Ao lado do cartão do dispositivo há um cartão para o proprietário do dispositivo. Selecione parkcity\jonaw. O terceiro painel da página atualiza de mostrar detalhes do alerta para fornecer informações sobre o usuário. Neste caso, Jonathan Wolcott, um executivo de contas, cujo risco Microsoft Entra ID e gravidade de risco Insider são classificados como altos. Esses detalhes não são surpreendentes, dado o que você aprendeu com os resumos de incidentes e alertas do Copilot. Selecione as reticências e, em seguida, selecione Resumir para obter um resumo de identidade gerado pelo Copilot.

  6. Mantenha a página de alerta aberta, você a usará na próxima tarefa.

Tarefa: Explorar a análise de scripts

  1. Vamos nos concentrar na história de alerta. Selecione Maximizar ícone maximizar, localizado no painel principal do alerta, logo abaixo do cartão rotulado 'partycity\jonaw' para obter uma melhor visão da árvore de processos. A partir de uma visão maximizada, você começa a ter uma visão mais clara de como esse incidente surgiu. Muitos itens de linha indicam que powershell.exe executou um script. Como o usuário Jonathan Wolcott é um executivo de conta, é razoável supor que a execução de scripts do PowerShell não é algo que esse usuário provavelmente fará regularmente.

  2. Expanda a primeira instância de powershell.exe executou um script. O Copilot tem a capacidade de analisar scripts. Selecione Analisar.

    1. O Copilot gera uma análise do script e sugere que pode ser uma tentativa de phishing ou usado para entregar uma exploração baseada na Web.
    2. Selecione Mostrar código. O código mostra um URL defenestrado.

  3. Existem vários outros itens que indicam powershell.exe executou um script. Expanda o rotulado powershell.exe -EncodedCommand.... O script original era codificado na base 64, mas o Defender decodificou isso para você. Para a versão decodificada, selecione Analisar. A análise destaca a sofisticação do roteiro usado neste ataque.

  4. Feche a página da história de alerta selecionando o X (o X à esquerda do painel Copilot). Agora use o pão ralado para voltar ao incidente. Selecione O ataque de ransomware operado por humanos foi lançado a partir de um ativo comprometido (interrupção do ataque).

Tarefa: Explorar a análise de arquivos

  1. Você está de volta à página do incidente. No resumo do alerta, o Copilot identificou o ficheiro Rubeus.exe, que está associado ao malware 'Kekeo'. Você pode usar o recurso de análise de arquivos no Defender XDR para ver quais outras informações você pode obter. Existem várias formas de aceder aos ficheiros. Na parte superior da página, selecione a guia Evidência e Resposta .

  2. No lado esquerdo da tela, selecione Arquivos.

  3. Selecione o primeiro item da lista com a entidade chamada Rubeus.exe.

  4. Na janela que se abre, selecione Analisar. O copiloto gera um resumo.

  5. Analise a análise detalhada do arquivo que o Copilot gera.

  6. Feche a janela de análise de arquivos.

Tarefa: pivotar para a experiência autônoma

Esta tarefa é complexa e requer o envolvimento de analistas mais seniores. Nesta tarefa, você dinamiza sua investigação e executa o promptbook de incidentes do Defender para que os outros analistas tenham um início de execução na investigação. Você fixa as respostas no painel de pinos e gera um link para esta investigação que pode ser compartilhado com membros mais avançados da equipe para ajudar a investigar.

  1. Retorne à página do incidente selecionando a guia História do ataque na parte superior da página.

  2. Selecione as reticências ao lado do resumo do incidente do Copilot e selecione Abrir no Copiloto de segurança.

  3. O Copilot abre na experiência independente e mostra o resumo do incidente. Você também pode executar mais prompts. Nesse caso, você executa o promptbook para um incidente. Selecione o ícone ícone de promptde prompt .

    1. Selecione Ver todos os promptbooks.
    2. Selecione Investigação de incidente do Microsoft 365 Defender.
    3. A página do promptbook é aberta e solicita a ID do Incidente do Defensor. Digite 30342 e selecione Executar.
    4. Reveja as informações fornecidas. Quando você gira para a experiência autônoma e executa o promptbook, a investigação é capaz de invocar recursos de uma solução de segurança mais ampla, além do Defender XDR, com base nos plug-ins habilitados.

  4. Selecione o íconeícone da caixa de caixa ao lado do ícone de pino para selecionar todos os prompts e as respostas correspondentes e, em seguida, selecione o ícone ícone de pino de fixar para salvar essas respostas no painel de pinos.

  5. O painel de pinos abre automaticamente. O painel de pinos contém os prompts e respostas salvos, juntamente com um resumo de cada um. Você pode abrir e fechar o painel de pinos selecionando o ícone Ícone do painel de pinosdo quadro de pinos.

  6. Na parte superior da página, selecione Partilhar para ver as suas opções. Quando você compartilha o incidente por meio de um link ou e-mail, as pessoas em sua organização com acesso ao Copilot podem visualizar esta sessão. Feche a janela selecionando o X.

  7. Agora você pode fechar a guia do navegador para sair da simulação.

Rever

Este incidente é complexo. Há uma grande quantidade de informações para digerir e o Copilot ajuda a resumir o incidente, alertas individuais, scripts, dispositivos, identidades e arquivos. Investigações complexas como esta podem exigir o envolvimento de vários analistas. O Copilot facilita esta situação ao partilhar facilmente detalhes de uma investigação.