基于威胁情报扩充的会审事件

作为安全操作中心 (SOC) 分析师,可以查看分配给你的警报和事件。 你的职责是确定是否需要采取真正的行动。 利用与事件关联的警报中的信息来指导过程。 通常收集上下文信息以进一步了解应采取的后续步骤。 通过扩充涉及的实体和对基础警报的完全了解,可以确定是升级还是修正事件。

在此详细示例中,分析师使用 安全 Copilot 快速会审事件。 如果事件是真正的威胁,则目标是收集新的入侵指标,或将实体链接到完成的情报。 在这种情况下,威胁情报由安全 Copilot汇总,以显示与已知威胁参与者的连接并通知严重性评估。

步骤

  1. 从安全 Copilot开始你的一天。 检索分配给你的最新Microsoft Defender XDR事件,并汇总与其关联的警报。

    使用的提示:

    分配给我 angus.macgregor@contoso.com的最新活动 Defender 事件是什么? 对其进行汇总,包括与之关联的警报。

    响应:

    Defender 警报摘要的屏幕截图。

    看起来可能是凭据被盗。 按照建议的操作开始确定事件范围并验证警报。

  2. 关注特定实体以获取有关它们的详细信息。

    使用的提示:

    详细说明此警报的详细信息,包括所涉及的实体。

    响应:

    Defender 警报扩充的屏幕截图。

    现在,你有一个用户帐户和设备,需要进一步调查。 在这种情况下,在深入了解设备上攻击的详细信息之前,你选择详细了解受影响的用户。

  3. 获取有关此用户的详细信息,以指导后续步骤。 对于拥有其凭据的人,下一步可能会执行哪些类型的操作?

    使用的提示:

    请告诉我有关用户实体的详细信息。

    响应:

    详细的用户信息的屏幕截图。

    你发现此用户正在销售部门工作。 如果她的凭据被盗,这可能会影响销售数据。 请记住,Sentinel 工作区有一个 SAP 解决方案来帮助检测那里的威胁。 此 Defender 警报是否链接到 Microsoft Sentinel 事件? 首要任务是确定此用户在 SAP 中是否有任何可疑活动。

  4. 使用保存的搜寻查询将实体与 Sentinel 事件相关联。

    手动激活将 自然语言设置为 Sentinel KQL 插件的建议提示以运行查询。

    显示 Microsoft Sentinel 搜寻查询的建议提示的屏幕截图。

    提示

    如果需要稍微调整查询,请编辑提示并重新运行它。 例如,查询投影了 IncidentNames,但这些只是 GUID。 你还记得这是你真正想要的 Title 领域。 只需编辑提示并选择“ 重新运行提示” 选项即可。

    显示用于编辑、重新运行和删除的提示选项的屏幕截图。

    已使用调整的提示:

    运行以下 KQLSecurityAlert | 其中 Entities has “adele.vance@contoso.com” and TimeGenerated >= datetime (10/06/2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertId | extend SystemAlertId = tostring (SystemAlertId) ) | summarize by IncidentNumber, Title

    响应:

    显示 Microsoft Sentinel 搜寻查询结果的屏幕截图。

    SAP 相关事件现在是你的首要任务。

  5. 将调查从原始警报转向与用户关联的 SAP 事件。

    使用的提示:

    详细说明 Sentinel 事件 33805,并告诉我有关实体的详细信息。

    响应:

    显示 Microsoft Sentinel 事件摘要的屏幕截图。

    此提示返回了大量信息。 恶意 IP 和可能泄露的财务数据是需要进一步调查的重要事项。

  6. 了解有关 IP 地址实体的详细信息,并检查其被确定为恶意实体的方式。

    使用的提示:

    请提供有关 IP 地址的更多详细信息,以及它为何是恶意地址?

    响应:

    显示恶意 IP 的详细信息的屏幕截图。

  7. 创建摘要报表

    通过针对领导和事件响应团队的摘要来节省升级过程的时间。

    使用的提示:

    根据此调查编写报告。 引导你对原始 Defender 事件的评估,以及凭据被盗的威胁是否真实。 总结有关下载到恶意 IP 的文件与 Sentinel 事件的关系的评估。

    响应:

    显示调查摘要报告的屏幕截图。

  8. 固定最有用的提示响应并编辑会话名称。

    你已达到目标,并确定指定的Microsoft Defender XDR事件是一个真正的威胁。 通过将它链接到涉及外泄 SAP 文件的 Microsoft Sentinel 事件,可以准备与升级团队协作。

    显示固定板和已编辑的会话名称的屏幕截图。

总结

在此用例中,安全 Copilot帮助快速会审分配的事件。 你通过调查相关事件确认了警报所需的实际操作。 搜寻结果发现了一个事件,该事件与 IP 实体关联到有关所用威胁参与者和 C2 工具的完成情报。 使用简洁的引脚板,你共享了会话和摘要报告,为升级团队提供了有效响应所需的信息。