Вариант использования: исследование инцидента и связанных с ним подозрительных сущностей
Упомянутая роль: аналитик SOC TI анализирует подозрительные скрипты
Сценарий
Во время инцидента аналитикам безопасности обычно поручено исследовать оповещения и собирать соответствующую информацию, связанную с инцидентом. Они проводят анализ первопричин и сопоставляют данные из различных источников, чтобы оценить потенциальное воздействие на организацию.
В зависимости от ситуации специалистам может потребоваться проанализировать журналы, изучить вредоносную программу, провести реконструирование файлов или сценариев, а также исследовать обнаруженные URL-адреса.
Когда проводится исследование инцидента, крайне важно составить четкое представление о том, какие меры по исправлению ситуации нужно предпринять, а также эффективно информировать заинтересованных лиц о текущем состоянии этого инцидента.
В этом примере Security Copilot используется для выполнения комплексного исследования инцидента путем сбора контекстной информации из оповещений, анализа подозрительного сценария и создания оценки, сопровождаемой набором шагов по исправлению.
Действия
Начните исследование в Microsoft Defender XDR.
Security Copilot интегрирована в Microsoft Defender XDR. На странице инцидента нажмите кнопку Copilot , чтобы получить сводку по инциденту и получить такие сведения, как время и дата начала атаки, сущность или ресурс, который начал атаку, а также ресурсы, участвующие в атаке.
Проанализируйте подозрительный сценарий.
Microsoft Defender XDR флаги при выполнении подозрительного скрипта. Используйте Security Copilot, чтобы объяснить, что делает подозрительный скрипт.
Примечание.
Функции анализа скриптов постоянно разрабатываются. Выполняется анализ скриптов на языках, отличных от PowerShell, пакетов и bash.
При нажатии кнопки отображается описание и общая сводка скрипта.
Расширьте возможности исследования в Security Copilot с помощью запросов естественного языка и дополнительных подключаемых модулей.
Продолжайте исследование в автономном интерфейсе Security Copilot, выбрав Открыть в Security Copilot.
Автономный интерфейс позволяет расширить исследование с помощью запросов на естественном языке.
Чтобы получить более полное представление об инциденте, используйте Security Copilot для сбора дополнительных сведений о подозрительных действиях, наблюдаемых в скрипте командной строки.
Использованный запрос:
Что можно сказать о репутации индикаторов в сценарии? Являются ли они вредоносными? Если да, то почему?
Отклик:
Ответ указывает, что несколько индикаторов в скрипте связаны с известными субъектами угроз. Вы можете закрепить этот ответ с важной информацией, чтобы использовать ее в дальнейшем.
Используйте Security Copilot, чтобы предоставить оценку инцидента с подтверждающими доказательствами и набором рекомендаций.
Использованный запрос:
Подведи итог исследования и в конце перечисли несколько рекомендаций.
Отклик:
Совет
Полученный ответ можно экспортировать для дальнейшего использования. Вы также можете предоставить доступ ко всему сеансу другим аналитикам. Другие участники команды, которые рассматривают инцидент, могут использовать пин-доску, чтобы получить полную сводку по шагам расследования, что экономит им ценное время.
Заключение
В этом случае Security Copilot помогли провести тщательное расследование инцидента. Используя естественный язык, аналитики могут получить объяснение того, что делает подозрительный сценарий, и проверить, что индикаторы в скрипте связаны с известными субъектами угроз.
Кроме того, Security Copilot создали оценку с помощью сводного отчета и предоставили набор рекомендаций по сдерживанию инцидента, которые также можно использовать для развития навыков.