Вариант использования: рассмотрение инцидентов на основе обогащения из аналитики угроз
Упомянутые роли: аналитик SOC и администратор удостоверений для рассмотрения инцидентов (main), CISO и другие заинтересованные лица для сводки отчета об инцидентах (получатель)
Сценарий
Как аналитик центра управления безопасностью (SOC) вы просматриваете назначенные вам оповещения и инциденты. Ваша обязанность заключается в том, чтобы определить, нужно ли предпринять реальные действия. Вы используете информацию из оповещений, связанных с инцидентом, для руководства процессом. Часто вы собираете контекстную информацию, чтобы понять, какие дальнейшие действия следует предпринять. Благодаря обогащению задействованных сущностей и полному пониманию базовых оповещений вы определяете, следует ли эскалация или исправление инцидента.
В этом подробном примере аналитик использует Security Copilot для быстрого рассмотрения инцидента. Если инцидент представляет собой реальную угрозу, цель состоит в том, чтобы либо собрать новые индикаторы компрометации, либо связать сущности с готовой аналитикой. В этом случае аналитика угроз суммируется с помощью Security Copilot, чтобы показать связь с известным субъектом угроз и сообщить об оценке серьезности.
Действия
Начните свой день с Security Copilot. Получите последнюю Microsoft Defender XDR инцидент, назначенный вам, и суммируете связанные с ним оповещения.
Использованный запрос:
Каков последний активный инцидент Defender, назначенный мне,
angus.macgregor@contoso.com
? Сведите его сводные данные, включая связанные с ним оповещения.Отклик:
Похоже на возможное кражу учетных данных. Вы выполняете рекомендуемые действия и начинаете область инцидента и проверить оповещение.
Сосредоточьтесь на определенных сущностях, чтобы получить дополнительные сведения о них.
Использованный запрос:
Подробные сведения об этом оповещении, включая задействованные сущности.
Отклик:
Теперь у вас есть учетная запись пользователя и устройство для дальнейшего изучения. В этом случае вы решили узнать больше о затронутом пользователе, прежде чем копаться в деталях атаки на устройство.
Получите дополнительные сведения об этом пользователе, чтобы выполнить следующие действия. Какой тип действий может быть следующим для пользователя с ее учетными данными?
Использованный запрос:
Расскажите больше о сущности пользователя.
Отклик:
Вы узнаете, что этот пользователь работает в Sales. Если ее учетные данные были украдены, это может повлиять на данные о продажах. Вы помните, что в рабочей области Sentinel есть решение SAP, которое помогает обнаруживать там угрозы. Связано ли это оповещение Defender с инцидентом Microsoft Sentinel? Ваш первый приоритет — определить, были ли подозрительные действия этого пользователя в SAP.
Используйте сохраненный запрос охоты для корреляции сущностей с инцидентами Sentinel.
Вы вручную активируете предложенный запрос для естественного языка, чтобы Sentinel подключаемый модуль KQL для выполнения запроса.
Совет
Если запрос необходимо немного изменить, измените запрос и повторно запустите его. Например, запрос проецируется
IncidentNames
, но это просто guid. Вы помните, что это поле, котороеTitle
вы действительно хотите. Просто измените запрос и выберите параметр Повторный запуск запроса .Использована скорректированная подсказка:
Выполните следующий KQLSecurityAlert | where Entities имеет "
adele.vance@contoso.com
" и TimeGenerated >= datetime(10/06/2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertIds | extend SystemAlertId = tostring(SystemAlertId)) в SystemAlertId | summarize by IncidentNumber, TitleОтклик:
Инцидент, связанный с SAP, теперь является вашим главным приоритетом.
Сведите исследование к инциденту SAP, связанному с пользователем, из исходного оповещения.
Использованный запрос:
Подробнее об инциденте Sentinel 33805 и предоставьте мне подробные сведения о сущностях.
Отклик:
Из этого запроса возвращается много сведений. Вредоносный IP-адрес и возможная утечка финансовых данных выделяются как важные элементы для дальнейшего изучения.
Узнайте больше о сущности IP-адреса и узнайте, как она была определена как вредоносная.
Использованный запрос:
Предоставьте мне дополнительные сведения об IP-адресе и о том, почему он является вредоносным?
Отклик:
Создание сводного отчета
Экономия времени в процессе эскалации с помощью сводки для руководителей и групп реагирования на инциденты.
Использованный запрос:
Напишите отчет на основе этого исследования. Проявите оценку исходного инцидента Defender и определите, реальна ли угроза кражи учетных данных. Завершите оценку того, как эта угроза связана с инцидентом Sentinel, связанным с файлом, скачанным на вредоносный IP-адрес.
Отклик:
Закрепите наиболее полезные ответы на запросы и измените имя сеанса.
Вы достигли своей цели и определили, что назначенный Microsoft Defender XDR инцидент является реальной угрозой. Связав его с Microsoft Sentinel инцидентом, связанным с эксфильтрованным файлом SAP, вы можете подготовиться к совместной работе с командой эскалации.
Заключение
В этом случае Security Copilot помогли быстро рассмотреть назначенный инцидент. Вы подтвердили, что оповещение требует реальных действий, расследуя связанные инциденты. Поиск привел к обнаружению инцидента с сущностью IP, связанной с готовой аналитикой об субъекте угроз и используемом инструменте C2. С помощью краткой пин-доски вы предоставили общий доступ к сеансу и сводный отчет, предоставляющий группе эскалации информацию, необходимую для эффективного реагирования.