Изучение возможностей Copilot в XDR в Microsoft Defender

  • 30 мин

В этом упражнении вы расследуете инцидент в XDR в Microsoft Defender. В рамках исследования вы изучите ключевые функции Copilot в XDR в Microsoft Defender, включая сводку инцидентов, сводку устройств, анализ скриптов и многое другое. Вы также сводите исследование к автономному интерфейсу и используете пин-доску в качестве способа поделиться подробностями расследования с коллегами.

Примечание.

Среда для этого упражнения — это имитация, созданная из продукта. В качестве ограниченного моделирования ссылки на странице могут не быть включены, а текстовые входные данные, которые находятся за пределами указанного скрипта, могут не поддерживаться. Всплывающее сообщение отобразит сообщение "Эта функция недоступна в моделировании". Когда это происходит, нажмите кнопку "ОК" и продолжайте действия упражнения.
Снимок экрана всплывающего окна, указывающий, что эта функция недоступна в моделировании.

Кроме того, Microsoft Security Copilot ранее называется Microsoft Copilot для безопасности. На протяжении всего этого моделирования вы увидите, что пользовательский интерфейс по-прежнему отражает исходное имя.

Упражнения

Для этого упражнения вы вошли в систему как Avery Howard и имеете роль владельца Copilot. Вы будете работать в Microsoft Defender с помощью новой унифицированной платформы операций безопасности для доступа к внедренным возможностям Copilot в Microsoft Defender XDR. В конце упражнения вы поворачиваете к автономному интерфейсу Microsoft Security Copilot.

Выполнение этого упражнения занимает примерно 30 минут.

Примечание.

При вызове инструкции лаборатории для открытия ссылки на имитированную среду рекомендуется открыть ссылку в новом окне браузера, чтобы одновременно просмотреть инструкции и среду упражнений. Для этого выберите нужный ключ мыши и выберите этот параметр.

Задача. Изучение сводки инцидентов и интерактивных ответов

  1. Откройте имитированную среду, выбрав эту ссылку: портал Microsoft Defender.

  2. На портале Microsoft Defender:

    1. Разверните исследование и ответ.
    2. Развертывание инцидентов и оповещений.
    3. Выберите Инциденты.

  3. Выберите первый инцидент в списке, Идентификатор инцидента: 30342 с именем атака программ-шантажистов, управляемых человеком, была запущена из скомпрометированного ресурса (нарушение атаки).

  4. Этот инцидент является сложным. Защитник XDR предоставляет большую информацию, но с 72 оповещениями это может быть проблемой, чтобы узнать, где сосредоточиться. На правой стороне страницы инцидента Copilot автоматически создает сводку инцидента, которая поможет вам сосредоточиться и ответить. Нажмите кнопку "Подробнее".

    1. Сводка Copilot описывает, как этот инцидент развивался, включая первоначальный доступ, боковое перемещение, коллекцию, доступ к учетным данным и кражу. Он определяет определенные устройства, указывает, что средство PsExec использовалось для запуска исполняемых файлов и многое другое.
    2. Эти элементы можно использовать для дальнейшего изучения. Вы изучите некоторые из них в последующих задачах.

  5. Прокрутите вниз на панели Copilot и сразу под сводной таблицей приведены интерактивные ответы. Интерактивные ответы рекомендуют действия в поддержку триажа, сдерживания, исследования и исправления.

    1. Первый элемент в категории триажа, который он классифицирует этот инцидент. Выберите Classify , чтобы просмотреть параметры. Просмотрите интерактивные ответы в других категориях.
    2. Нажмите кнопку "Состояние" в верхней части раздела "Интерактивные ответы" и отфильтруйте в разделе "Завершено". Два завершенных действия отображаются как нарушение атаки. Автоматическое нарушение атаки предназначено для хранения атак, ограничения влияния на ресурсы организации и обеспечения больше времени для команд безопасности, чтобы устранить атаку полностью.

  6. Откройте страницу инцидента, используйте ее в следующей задаче.

Задача. Обзор сводки устройств и удостоверений

  1. На странице инцидента выберите первый url-адрес подозрительного оповещения.

  2. Copilot автоматически создает сводку оповещений, которая предоставляет множество сведений для дальнейшего анализа. Например, сводка определяет подозрительные действия, идентифицирует действия сбора данных, доступ к учетным данным, вредоносные программы, действия обнаружения и многое другое.

  3. На странице есть много сведений, поэтому чтобы лучше просмотреть это оповещение, выберите " Открыть страницу оповещений". Он находится на третьей панели на странице оповещения, рядом с графом инцидентов и под заголовком оповещения.

  4. В верхней части страницы находится карточка для устройства parkcity-win10v. Выберите многоточие и запишите параметры. Выберите "Сводные данные". Copilot создает сводку по устройству. Это не стоит ничего, что существует множество способов доступа к сводке устройств, и таким образом это просто один удобный метод. В сводке показано, как устройство является виртуальной машиной, идентифицирует владельца устройства, оно показывает состояние соответствия политикам Intune и многое другое.

  5. Рядом с карточкой устройства находится карточка владельца устройства. Выберите parkcity\jonaw. Третья панель обновлений страницы от отображения сведений об оповещении до предоставления сведений о пользователе. В этом случае Джонатан Wolcott, исполнительный директор по учетной записи, риск идентификатора Microsoft Entra и серьезность риска предварительной оценки классифицируются как высокий. Эти сведения не удивительно, учитывая то, что вы узнали из инцидента Copilot и сводок оповещений. Выберите многоточие, а затем выберите "Сводка ", чтобы получить сводку удостоверения, созданную Copilot.

  6. Оставьте страницу оповещения открытой, вы будете использовать ее в следующей задаче.

Задача. Изучение анализа скриптов

  1. Рассмотрим историю оповещений. Выберите "Развернуть Значок ", расположенный на главной панели оповещения, непосредственно под карточкой с меткой partycity\jonaw, чтобы получить лучшее представление дерева процессов. В развернутом представлении вы начинаете получать более четкое представление о том, как это произошло. Многие элементы строки указывают на то, что powershell.exe выполнил скрипт. Так как пользователь Джонатан Wolcott является руководителем учетной записи, разумно предположить, что выполнение скриптов PowerShell не является тем, что этот пользователь, скорее всего, будет делать регулярно.

  2. Разверните первый экземпляр powershell.exe выполнен скрипт. Copilot имеет возможность анализировать скрипты. Выберите Анализ.

    1. Copilot создает анализ сценария и предполагает, что это может быть фишинговая попытка или использование для доставки веб-эксплойта.
    2. Выберите "Показать код". В коде показан дефангованный URL-адрес.

  3. Существует несколько других элементов, указывающих, powershell.exe выполнен скрипт. Разверните один помеченный powershell.exe -EncodedCommand.... Исходный скрипт был закодирован в кодировке 64, но Defender декодировал это для вас. Для декодированных версий нажмите кнопку "Анализ". Анализ подчеркивает сложности сценария, используемого в этой атаке.

  4. Закройте страницу истории оповещений, выбрав X (X, расположенный слева от панели Copilot). Теперь используйте хлебную вкладку, чтобы вернуться к инциденту. Выбор атак программ-шантажистов, управляемых человеком, был запущен из скомпрометированного ресурса (нарушения атаки).

Задача. Изучение анализа файлов

  1. Вы вернеесь на страницу инцидента. В сводке оповещений Copilot определил файл Rubeus.exe, связанный с вредоносными программами Kekeo. Вы можете использовать возможность анализа файлов в XDR в Defender, чтобы узнать, какие другие аналитические сведения можно получить. Существует несколько способов доступа к файлам. В верхней части страницы выберите вкладку "Доказательства и ответ ".

  2. В левой части экрана выберите "Файлы".

  3. Выберите первый элемент из списка с сущностью с именем Rubeus.exe.

  4. В открывающемся окне выберите " Анализ". Copilot создает сводку.

  5. Просмотрите подробный анализ файла, который создает Copilot.

  6. Закройте окно анализа файлов.

Задача: сводка к автономному интерфейсу

Эта задача сложна и требует участия более старших аналитиков. В этой задаче вы сводите расследование и запустите запрос на инцидент Defender, чтобы другие аналитики начали расследование. Вы закрепляете ответы на доску пин-кода и создаете ссылку на это расследование, которое вы можете поделиться с более продвинутыми членами команды, чтобы помочь исследовать.

  1. Вернитесь на страницу инцидента, выбрав вкладку "История атаки" в верхней части страницы.

  2. Выберите многоточие рядом с сводками инцидента Copilot и нажмите кнопку "Открыть" в Copilot безопасности.

  3. Copilot открывается в автономном интерфейсе и отображает сводку инцидента. Вы также можете выполнять дополнительные запросы. В этом случае вы запускаете модуль командной строки для инцидента. Выберите значок Значок запросазапроса.

    1. Выберите "Просмотреть все книги с запросами".
    2. Выберите расследование инцидентов Microsoft 365 Defender.
    3. Откроется страница командной книги и запрашивает идентификатор инцидента Defender. Введите 30342 и нажмите кнопку "Выполнить".
    4. Просмотрите предоставленные сведения. При переходе к автономному интерфейсу и запуску командной книги исследование может вызывать возможности из более широкого набора решений безопасности, помимо XDR Defender, на основе подключаемых модулей.

  4. Щелкните значок поля рядом с значкомЗначок поля закрепления, чтобы выбрать все запросы и соответствующие ответы, а затем щелкните значок Значок закрепления "Закрепить", чтобы сохранить эти ответы на доску закреплений.

  5. Доска контактов открывается автоматически. Доска закреплений содержит сохраненные запросы и ответы, а также сводку по каждому из них. Вы можете открыть и закрыть доску пин-кода, выбрав значок доски Значок закрепления доскизакрепления.

  6. В верхней части страницы выберите "Поделиться ", чтобы просмотреть параметры. При совместном использовании инцидента по ссылке или электронной почте пользователи в организации с доступом Copilot могут просматривать этот сеанс. Закройте окно, выбрав X.

  7. Теперь вы можете закрыть вкладку браузера, чтобы выйти из имитации.

Отзыв

Этот инцидент является сложным. Существует много информации для дайджеста и Copilot помогает суммировать инцидент, отдельные оповещения, сценарии, устройства, удостоверения и файлы. Сложные расследования, подобные этому, могут потребовать участия нескольких аналитиков. Copilot упрощает эту ситуацию, легко делясь подробностями расследования.