Utforska funktionerna i Copilot i Microsoft Defender XDR

  • 30 minuter

I den här övningen undersöker du en incident i Microsoft Defender XDR. Som en del av undersökningen utforskar du de viktigaste funktionerna i Copilot i Microsoft Defender XDR, inklusive incidentsammanfattning, enhetssammanfattning, skriptanalys med mera. Du kan också pivotera din undersökning till den fristående upplevelsen och använda pin-kortet som ett sätt att dela information om din undersökning med dina kollegor.

Kommentar

Miljön för den här övningen är en simulering som genereras från produkten. Som en begränsad simulering kanske länkar på en sida inte är aktiverade och textbaserade indata som ligger utanför det angivna skriptet kanske inte stöds. Ett popup-meddelande visas med texten "Den här funktionen är inte tillgänglig i simuleringen". När detta inträffar väljer du OK och fortsätter övningsstegen.
Skärmbild av popup-skärmen som anger att den här funktionen inte är tillgänglig i simuleringen.

Dessutom kallades Microsoft Security Copilot tidigare Microsoft Copilot för säkerhet. I den här simuleringen ser du att användargränssnittet fortfarande återspeglar det ursprungliga namnet.

Övning

I den här övningen är du inloggad som Avery Howard och har rollen som Copilot-ägare. Du kommer att arbeta i Microsoft Defender med hjälp av den nya enhetliga säkerhetsåtgärdsplattformen för att få åtkomst till de inbäddade Copilot-funktionerna i Microsoft Defender XDR. Mot slutet av övningen pivoterar du till den fristående upplevelsen av Microsoft Security Copilot.

Den här övningen bör ta cirka 30 minuter att slutföra.

Kommentar

När en labbinstruktion anropar för att öppna en länk till den simulerade miljön rekommenderar vi vanligtvis att du öppnar länken i ett nytt webbläsarfönster så att du samtidigt kan visa instruktionerna och träningsmiljön. Det gör du genom att välja den högra mustangenten och välja alternativet .

Uppgift: Utforska incidentsammanfattning och guidade svar

  1. Öppna den simulerade miljön genom att välja den här länken: Microsoft Defender-portalen.

  2. Från Microsoft Defender-portalen:

    1. Expandera Undersökning och svar.
    2. Expandera Incidenter och aviseringar.
    3. Välj Incidenter.

  3. Välj den första incidenten i listan Incident-ID : 30342 med namnet Utpressningstrojanattack som drivs av människor startades från en komprometterad tillgång (attackstörningar).

  4. Den här incidenten är komplex. Defender XDR tillhandahåller mycket information, men med 72 aviseringar kan det vara en utmaning att veta var du ska fokusera. Till höger på incidentsidan genererar Copilot automatiskt en incidentsammanfattning som hjälper dig att fokusera och svara. Välj Visa mer.

    1. Copilots sammanfattning beskriver hur incidenten utvecklades, inklusive inledande åtkomst, lateral förflyttning, insamling, åtkomst till autentiseringsuppgifter och exfiltrering. Den identifierar specifika enheter, anger att PsExec-verktyget användes för att starta körbara filer med mera.
    2. Dessa objekt är allt du kan använda för ytterligare undersökning. Du utforskar några av dem i efterföljande uppgifter.

  5. Rulla nedåt på Copilot-panelen och precis under sammanfattningen finns guidade svar. Guidade svar rekommenderar åtgärder till stöd för sortering, inneslutning, undersökning och reparation.

    1. Det första objektet i kategorin triage som klassificerar den här incidenten. Välj Klassificera för att visa alternativen. Granska de guidade svaren i de andra kategorierna.
    2. Välj knappen Status överst i avsnittet guidade svar och filtrera på Slutförd. Två slutförda aktiviteter visas märkta som attackstörningar. Automatiska angreppsstörningar är utformade för att innehålla pågående attacker, begränsa påverkan på en organisations tillgångar och ge mer tid för säkerhetsteam att åtgärda attacken helt.

  6. Håll incidentsidan öppen. Du använder den i nästa uppgift.

Uppgift: Utforska enhets- och identitetssammanfattning

  1. På incidentsidan väljer du den första aviseringen Misstänkt URL som klickats.

  2. Copilot genererar automatiskt en aviseringssammanfattning som ger en mängd information för ytterligare analys. Sammanfattningen identifierar till exempel misstänkt aktivitet, den identifierar datainsamlingsaktiviteter, åtkomst till autentiseringsuppgifter, skadlig kod, identifieringsaktiviteter med mera.

  3. Det finns mycket information på sidan, så om du vill få en bättre vy över den här aviseringen väljer du Öppna aviseringssida. Den finns på den tredje panelen på aviseringssidan, bredvid incidentdiagrammet och under aviseringsrubriken.

  4. Längst upp på sidan finns kortet för enheten parkcity-win10v. Välj ellipserna och notera alternativen. Välj Sammanfatta. Copilot genererar en enhetssammanfattning. Det är inte värt något att det finns många sätt att komma åt enhetssammanfattning och det här sättet är bara en praktisk metod. Sammanfattningen visar att enheten är en virtuell dator, identifierar enhetens ägare, den visar dess efterlevnadsstatus mot Intune-principer med mera.

  5. Bredvid enhetskortet finns ett kort för enhetens ägare. Välj parkcity\jonaw. Den tredje panelen på sidan uppdateras från att visa information om aviseringen till att ge information om användaren. I det här fallet är Jonathan Wolcott, en kontoansvarig, vars Microsoft Entra-ID-risk och Allvarlighetsgrad för insiderrisk klassificeras som hög. Den här informationen är inte överraskande med tanke på vad du har lärt dig från Copilot-incident- och aviseringssammanfattningarna. Välj ellipserna och välj sedan Sammanfatta för att hämta en identitetssammanfattning som genererats av Copilot.

  6. Håll aviseringssidan öppen. Du använder den i nästa uppgift.

Uppgift: Utforska skriptanalys

  1. Nu ska vi fokusera på aviseringsartikeln. Välj Maximera maximera ikonen, som finns på huvudpanelen i aviseringen, precis under kortet med etiketten "partycity\jonaw" för att få en bättre vy över processträdet. Från maximerad vy börjar du få en tydligare vy över hur den här incidenten kom till. Många radobjekt anger att powershell.exe kört ett skript. Eftersom användaren Jonathan Wolcott är kontoansvarig är det rimligt att anta att körning av PowerShell-skript inte är något som den här användaren sannolikt kommer att göra regelbundet.

  2. Expandera den första instansen av powershell.exe körde ett skript. Copilot har möjlighet att analysera skript. Välj Analysera.

    1. Copilot genererar en analys av skriptet och föreslår att det kan vara ett nätfiskeförsök eller används för att leverera en webbaserad exploatering.
    2. Välj Visa kod. Koden visar en defangerad URL.

  3. Det finns flera andra objekt som anger powershell.exe kört ett skript. Expandera den som är märkt powershell.exe -EncodedCommand.... Det ursprungliga skriptet var base 64-kodat, men Defender avkodade det åt dig. För den avkodade versionen väljer du Analysera. Analysen belyser förfining av skriptet som används i den här attacken.

  4. Stäng aviseringssidan genom att välja X (X som är till vänster om Copilot-panelen). Använd nu sökväg för att återgå till incidenten. Välj Attack med utpressningstrojaner som drivs av människor startades från en komprometterad tillgång (attackstörningar).

Uppgift: Utforska filanalys

  1. Du är tillbaka på incidentsidan. I aviseringssammanfattningen identifierade Copilot filen Rubeus.exe, som är associerad med den skadliga koden "Kekeo". Du kan använda filanalysfunktionen i Defender XDR för att se vilka andra insikter du kan få. Det finns flera sätt att komma åt filer. Välj fliken Bevis och svar överst på sidan.

  2. Välj Filer till vänster på skärmen.

  3. Välj det första objektet i listan med entiteten med namnet Rubeus.exe.

  4. I fönstret som öppnas väljer du Analysera. Copilot genererar en sammanfattning.

  5. Granska den detaljerade filanalys som Copilot genererar.

  6. Stäng fönstret filanalys.

Uppgift: Pivot till den fristående upplevelsen

Den här uppgiften är komplex och kräver att fler seniora analytiker deltar. I den här uppgiften pivoterar du din undersökning och kör promptbooken för Defender-incidenter så att de andra analytikerna får en start på undersökningen. Du fäster svar på pin-kortet och genererar en länk till den här undersökningen som du kan dela med mer avancerade medlemmar i teamet för att undersöka saken.

  1. Gå tillbaka till incidentsidan genom att välja fliken Attack story (Attack story ) överst på sidan.

  2. Välj ellipserna bredvid Copilots incidentsammanfattning och välj Öppna i Security Copilot.

  3. Copilot öppnas i den fristående upplevelsen och visar incidentsammanfattningen. Du kan också köra fler frågor. I det här fallet kör du promptbooken för en incident. Välj promptikonen prompt-ikon.

    1. Välj Visa alla promptbooks.
    2. Välj Microsoft 365 Defender-incidentundersökning.
    3. Sidan promptbook öppnas och frågar efter Defender Incident ID. Ange 30342 och välj sedan Kör.
    4. Läs igenom den angivna informationen. När du pivoterar till den fristående upplevelsen och kör promptbooken kan undersökningen anropa funktioner från en bredare uppsättningssäkerhetslösning, utöver bara Defender XDR, baserat på de plugin-program som är aktiverade.

  4. Välj rutikonen lådikon bredvid fästikonen för att välja alla prompter och motsvarande svar och välj sedan fästikonenpin-ikon för att spara svaren på pin-kortet.

  5. Pin-kortet öppnas automatiskt. Pin-kortet innehåller dina sparade frågor och svar, tillsammans med en sammanfattning av var och en. Du kan öppna och stänga pin-kortet genom att välja fästtavlaikonen fäst anslagstavla ikon.

  6. Längst upp på sidan väljer du Dela för att visa dina alternativ. När du delar incidenten via en länk eller ett e-postmeddelande kan personer i din organisation med Copilot-åtkomst visa den här sessionen. Stäng fönstret genom att välja X.

  7. Nu kan du stänga webbläsarfliken för att avsluta simuleringen.

Granskning

Den här incidenten är komplex. Det finns mycket information att sammanfatta och Copilot hjälper till att sammanfatta incidenten, enskilda aviseringar, skript, enheter, identiteter och filer. Komplexa undersökningar som den här kan kräva inblandning av flera analytiker. Copilot underlättar denna situation genom att enkelt dela information om en undersökning.