用例:基于威胁情报扩充的会审事件
提及的角色:事件会审的 SOC 分析师和标识管理员 (main) 、CISO 和其他利益干系人的事件报告摘要 (接收者)
应用场景
作为安全操作中心 (SOC) 分析师,可以查看分配给你的警报和事件。 你的职责是确定是否需要采取真正的行动。 利用与事件关联的警报中的信息来指导过程。 通常收集上下文信息以进一步了解应采取的后续步骤。 通过扩充涉及的实体和对基础警报的完全了解,可以确定是升级还是修正事件。
在此详细示例中,分析师使用 Security Copilot 快速会审事件。 如果事件是真正的威胁,则目标是收集新的入侵指标,或将实体链接到完成的情报。 在这种情况下,威胁情报由Security Copilot汇总,以显示与已知威胁参与者的连接并通知严重性评估。
步骤
从Security Copilot开始你的一天。 检索分配给你的最新Microsoft Defender XDR事件,并汇总与其关联的警报。
所用提示:
分配给我
angus.macgregor@contoso.com
的最新活动 Defender 事件是什么? 对其进行汇总,包括与之关联的警报。响应:
看起来可能是凭据被盗。 按照建议的操作开始确定事件范围并验证警报。
关注特定实体以获取有关它们的详细信息。
所用提示:
详细说明此警报的详细信息,包括所涉及的实体。
响应:
现在,你有一个用户帐户和设备,需要进一步调查。 在这种情况下,在深入了解设备上攻击的详细信息之前,你选择详细了解受影响的用户。
获取有关此用户的详细信息,以指导后续步骤。 对于拥有其凭据的人,下一步可能会执行哪些类型的操作?
所用提示:
请告诉我有关用户实体的详细信息。
响应:
你发现此用户正在销售部门工作。 如果她的凭据被盗,这可能会影响销售数据。 请记住,Sentinel工作区具有 SAP 解决方案来帮助检测那里的威胁。 此 Defender 警报是否链接到Microsoft Sentinel事件? 首要任务是确定此用户在 SAP 中是否有任何可疑活动。
使用保存的搜寻查询将实体与Sentinel事件相关联。
手动激活建议的提示,让自然语言Sentinel KQL 插件来运行查询。
提示
如果需要稍微调整查询,请编辑提示并重新运行它。 例如,查询投影了
IncidentNames
,但这些只是 GUID。 你还记得这是你真正想要的Title
领域。 只需编辑提示并选择“ 重新运行提示” 选项即可。已使用调整的提示:
运行以下 KQLSecurityAlert | 其中 Entities has “
adele.vance@contoso.com
” and TimeGenerated >= datetime (10/06/2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertId | extend SystemAlertId = tostring (SystemAlertId) ) | summarize by IncidentNumber, Title响应:
SAP 相关事件现在是你的首要任务。
将调查从原始警报转向与用户关联的 SAP 事件。
所用提示:
详细说明Sentinel事件 33805,并提供有关实体的详细信息。
响应:
此提示返回了大量信息。 恶意 IP 和可能泄露的财务数据是需要进一步调查的重要事项。
了解有关 IP 地址实体的详细信息,并检查其被确定为恶意实体的方式。
所用提示:
请提供有关 IP 地址的更多详细信息,以及它为何是恶意地址?
响应:
创建摘要报表
通过针对领导和事件响应团队的摘要来节省升级过程的时间。
所用提示:
根据此调查编写报告。 引导你对原始 Defender 事件的评估,以及凭据被盗的威胁是否真实。 结束评估该威胁与下载到恶意 IP 的文件相关的Sentinel事件。
响应:
固定最有用的提示响应并编辑会话名称。
你已达到目标,并确定指定的Microsoft Defender XDR事件是一个真正的威胁。 通过将它链接到涉及外泄 SAP 文件的Microsoft Sentinel事件,可以准备与升级团队协作。
总结
在此用例中,Security Copilot帮助快速会审分配的事件。 你通过调查相关事件确认了警报所需的实际操作。 搜寻结果发现了一个事件,该事件与 IP 实体关联到有关所用威胁参与者和 C2 工具的完成情报。 使用简洁的引脚板,你共享了会话和摘要报告,为升级团队提供了有效响应所需的信息。