通过

用例:调查事件和关联的可疑实体

  • 项目

提及的角色:分析可疑脚本的 SOC TI 分析师

应用场景

在事件期间,安全分析师通常负责调查警报并收集与事件相关的相关信息。 分析师会进行根本原因分析并关联一系列源中的信息,以确定对组织的潜在影响。

根据具体情况,分析师可能需要分析日志、检查恶意软件、逆向工程文件或脚本,并调查观察到的 URL。

调查的一个重要组成部分是了解应采取的修正步骤,并有效传达重大发现,以便利益干系人了解事件的当前状态。

在此示例中,Security Copilot用于通过从警报中收集上下文信息、分析可疑脚本以及生成评估以及一组修正步骤来执行全面的事件调查。

步骤

  1. 开始在 Microsoft Defender XDR 中进行调查。

    Security Copilot集成在 Microsoft Defender XDR 中。 在事件页中,选择 “Copilot ”按钮以获取事件摘要,并获取详细信息,例如攻击开始的时间和日期、发起攻击的实体或资产,以及攻击所涉及的资产。

    Microsoft Defender XDR中事件摘要的屏幕截图

  2. 分析可疑脚本。

    执行可疑脚本时Microsoft Defender XDR标志。 使用Security Copilot解释可疑脚本正在执行的操作。

    注意

    脚本分析功能正在不断开发中。 正在评估 PowerShell、批处理和 bash 以外的语言脚本分析。

    单击按钮后,将显示说明以及脚本的总体摘要。

    Microsoft Defender XDR中的脚本分析器的屏幕截图

  3. 使用自然语言提示和更多插件在Security Copilot中扩展调查。

    选择“在Security Copilot中打开”,继续调查Security Copilot的独立体验。

    如何通过选择“在Security Copilot中打开”按钮进行调查的屏幕截图

    独立体验允许使用自然语言提示来扩展调查。

    Security Copilot 中显示的已分析脚本的屏幕截图

  4. 若要更全面地了解事件,请使用 Security Copilot 收集有关命令行脚本中看到的可疑活动的详细信息。

    所用提示:

    你可以告诉我有关脚本中指示器信誉的哪些信息? 他们是恶意的吗? 如果是,为什么?

    响应:

    Security Copilot响应的屏幕截图

    响应指示脚本中的几个指标与已知的威胁参与者相关联。 可以将此响应固定为稍后可以使用的关键信息片段。

  5. 使用Security Copilot通过支持证据和一组建议提供事件的评估。

    所用提示:

    汇总调查结果,并在最后提供一组建议。

    响应:

    事件摘要的屏幕截图

    提示

    可以导出响应以供将来参考。 还可以选择与其他分析师共享整个会话。 正在审查事件的其他团队成员可以利用引脚板获取调查步骤的完整摘要,从而节省宝贵的时间。

    事件报告引脚板的屏幕截图

总结

在此用例中,Security Copilot帮助对事件进行了彻底调查。 使用自然语言,分析师能够了解可疑脚本正在执行的操作,并验证脚本中的指标是否与已知的威胁参与者相关联。

此外,Security Copilot通过摘要报告生成了评估,并提供了一组包含事件的建议,这些建议也可用于提升技能水平。