Поделиться через


Вариант использования: рассмотрение инцидентов на основе обогащения из аналитики угроз

Упомянутые роли: аналитик SOC и администратор удостоверений для рассмотрения инцидентов (main), CISO и другие заинтересованные лица для сводки отчета об инцидентах (получатель)

Сценарий

Как аналитик центра управления безопасностью (SOC) вы просматриваете назначенные вам оповещения и инциденты. Ваша обязанность заключается в том, чтобы определить, нужно ли предпринять реальные действия. Вы используете информацию из оповещений, связанных с инцидентом, для руководства процессом. Часто вы собираете контекстную информацию, чтобы понять, какие дальнейшие действия следует предпринять. Благодаря обогащению задействованных сущностей и полному пониманию базовых оповещений вы определяете, следует ли эскалация или исправление инцидента.

В этом подробном примере аналитик использует Security Copilot для быстрого рассмотрения инцидента. Если инцидент представляет собой реальную угрозу, цель состоит в том, чтобы либо собрать новые индикаторы компрометации, либо связать сущности с готовой аналитикой. В этом случае аналитика угроз суммируется с помощью Security Copilot, чтобы показать связь с известным субъектом угроз и сообщить об оценке серьезности.

Действия

  1. Начните свой день с Security Copilot. Получите последнюю Microsoft Defender XDR инцидент, назначенный вам, и суммируете связанные с ним оповещения.

    Использованный запрос:

    Каков последний активный инцидент Defender, назначенный мне, angus.macgregor@contoso.com? Сведите его сводные данные, включая связанные с ним оповещения.

    Отклик:

    Снимок экрана: сводка оповещений Defender.

    Похоже на возможное кражу учетных данных. Вы выполняете рекомендуемые действия и начинаете область инцидента и проверить оповещение.

  2. Сосредоточьтесь на определенных сущностях, чтобы получить дополнительные сведения о них.

    Использованный запрос:

    Подробные сведения об этом оповещении, включая задействованные сущности.

    Отклик:

    Снимок экрана: обогащение оповещений Defender.

    Теперь у вас есть учетная запись пользователя и устройство для дальнейшего изучения. В этом случае вы решили узнать больше о затронутом пользователе, прежде чем копаться в деталях атаки на устройство.

  3. Получите дополнительные сведения об этом пользователе, чтобы выполнить следующие действия. Какой тип действий может быть следующим для пользователя с ее учетными данными?

    Использованный запрос:

    Расскажите больше о сущности пользователя.

    Отклик:

    Снимок экрана: подробные сведения о пользователе.

    Вы узнаете, что этот пользователь работает в Sales. Если ее учетные данные были украдены, это может повлиять на данные о продажах. Вы помните, что в рабочей области Sentinel есть решение SAP, которое помогает обнаруживать там угрозы. Связано ли это оповещение Defender с инцидентом Microsoft Sentinel? Ваш первый приоритет — определить, были ли подозрительные действия этого пользователя в SAP.

  4. Используйте сохраненный запрос охоты для корреляции сущностей с инцидентами Sentinel.

    Вы вручную активируете предложенный запрос для естественного языка, чтобы Sentinel подключаемый модуль KQL для выполнения запроса.

    Снимок экрана: рекомендуемый запрос Microsoft Sentinel запросов охоты.

    Совет

    Если запрос необходимо немного изменить, измените запрос и повторно запустите его. Например, запрос проецируется IncidentNames, но это просто guid. Вы помните, что это поле, которое Title вы действительно хотите. Просто измените запрос и выберите параметр Повторный запуск запроса .

    Снимок экрана: параметры запроса для редактирования, повторного запуска и удаления.

    Использована скорректированная подсказка:

    Выполните следующий KQLSecurityAlert | where Entities имеет "adele.vance@contoso.com" и TimeGenerated >= datetime(10/06/2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertIds | extend SystemAlertId = tostring(SystemAlertId)) в SystemAlertId | summarize by IncidentNumber, Title

    Отклик:

    Снимок экрана: Microsoft Sentinel результаты поиска запросов.

    Инцидент, связанный с SAP, теперь является вашим главным приоритетом.

  5. Сведите исследование к инциденту SAP, связанному с пользователем, из исходного оповещения.

    Использованный запрос:

    Подробнее об инциденте Sentinel 33805 и предоставьте мне подробные сведения о сущностях.

    Отклик:

    Снимок экрана: Microsoft Sentinel сводка по инцидентам.

    Из этого запроса возвращается много сведений. Вредоносный IP-адрес и возможная утечка финансовых данных выделяются как важные элементы для дальнейшего изучения.

  6. Узнайте больше о сущности IP-адреса и узнайте, как она была определена как вредоносная.

    Использованный запрос:

    Предоставьте мне дополнительные сведения об IP-адресе и о том, почему он является вредоносным?

    Отклик:

    Снимок экрана: сведения о вредоносном IP-адресе.

  7. Создание сводного отчета

    Экономия времени в процессе эскалации с помощью сводки для руководителей и групп реагирования на инциденты.

    Использованный запрос:

    Напишите отчет на основе этого исследования. Проявите оценку исходного инцидента Defender и определите, реальна ли угроза кражи учетных данных. Завершите оценку того, как эта угроза связана с инцидентом Sentinel, связанным с файлом, скачанным на вредоносный IP-адрес.

    Отклик:

    Снимок экрана: сводный отчет по расследованию.

  8. Закрепите наиболее полезные ответы на запросы и измените имя сеанса.

    Вы достигли своей цели и определили, что назначенный Microsoft Defender XDR инцидент является реальной угрозой. Связав его с Microsoft Sentinel инцидентом, связанным с эксфильтрованным файлом SAP, вы можете подготовиться к совместной работе с командой эскалации.

    Снимок экрана: доска закрепления и измененное имя сеанса.

Заключение

В этом случае Security Copilot помогли быстро рассмотреть назначенный инцидент. Вы подтвердили, что оповещение требует реальных действий, расследуя связанные инциденты. Поиск привел к обнаружению инцидента с сущностью IP, связанной с готовой аналитикой об субъекте угроз и используемом инструменте C2. С помощью краткой пин-доски вы предоставили общий доступ к сеансу и сводный отчет, предоставляющий группе эскалации информацию, необходимую для эффективного реагирования.