用例:基于威胁情报扩充的会审事件

提及的角色:事件会审的 SOC 分析师和标识管理员 (main) 、CISO 和其他利益干系人的事件报告摘要 (接收者)

应用场景

作为安全操作中心 (SOC) 分析师,可以查看分配给你的警报和事件。 你的职责是确定是否需要采取真正的行动。 利用与事件关联的警报中的信息来指导过程。 通常收集上下文信息以进一步了解应采取的后续步骤。 通过扩充涉及的实体和对基础警报的完全了解,可以确定是升级还是修正事件。

在此详细示例中,分析师使用 Security Copilot 快速会审事件。 如果事件是真正的威胁,则目标是收集新的入侵指标,或将实体链接到完成的情报。 在这种情况下,威胁情报由Security Copilot汇总,以显示与已知威胁参与者的连接并通知严重性评估。

步骤

  1. 从Security Copilot开始你的一天。 检索分配给你的最新Microsoft Defender XDR事件,并汇总与其关联的警报。

    所用提示:

    分配给我 angus.macgregor@contoso.com的最新活动 Defender 事件是什么? 对其进行汇总,包括与之关联的警报。

    响应:

    Defender 警报摘要的屏幕截图。

    看起来可能是凭据被盗。 按照建议的操作开始确定事件范围并验证警报。

  2. 关注特定实体以获取有关它们的详细信息。

    所用提示:

    详细说明此警报的详细信息,包括所涉及的实体。

    响应:

    Defender 警报扩充的屏幕截图。

    现在,你有一个用户帐户和设备,需要进一步调查。 在这种情况下,在深入了解设备上攻击的详细信息之前,你选择详细了解受影响的用户。

  3. 获取有关此用户的详细信息,以指导后续步骤。 对于拥有其凭据的人,下一步可能会执行哪些类型的操作?

    所用提示:

    请告诉我有关用户实体的详细信息。

    响应:

    详细的用户信息的屏幕截图。

    你发现此用户正在销售部门工作。 如果她的凭据被盗,这可能会影响销售数据。 请记住,Sentinel工作区具有 SAP 解决方案来帮助检测那里的威胁。 此 Defender 警报是否链接到Microsoft Sentinel事件? 首要任务是确定此用户在 SAP 中是否有任何可疑活动。

  4. 使用保存的搜寻查询将实体与Sentinel事件相关联。

    手动激活建议的提示,让自然语言Sentinel KQL 插件来运行查询。

    显示Microsoft Sentinel搜寻查询的建议提示的屏幕截图。

    提示

    如果需要稍微调整查询,请编辑提示并重新运行它。 例如,查询投影了 IncidentNames,但这些只是 GUID。 你还记得这是你真正想要的 Title 领域。 只需编辑提示并选择“ 重新运行提示” 选项即可。

    显示用于编辑、重新运行和删除的提示选项的屏幕截图。

    已使用调整的提示:

    运行以下 KQLSecurityAlert | 其中 Entities has “adele.vance@contoso.com” and TimeGenerated >= datetime (10/06/2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertId | extend SystemAlertId = tostring (SystemAlertId) ) | summarize by IncidentNumber, Title

    响应:

    显示Microsoft Sentinel搜寻查询结果的屏幕截图。

    SAP 相关事件现在是你的首要任务。

  5. 将调查从原始警报转向与用户关联的 SAP 事件。

    所用提示:

    详细说明Sentinel事件 33805,并提供有关实体的详细信息。

    响应:

    显示Microsoft Sentinel事件摘要的屏幕截图。

    此提示返回了大量信息。 恶意 IP 和可能泄露的财务数据是需要进一步调查的重要事项。

  6. 了解有关 IP 地址实体的详细信息,并检查其被确定为恶意实体的方式。

    所用提示:

    请提供有关 IP 地址的更多详细信息,以及它为何是恶意地址?

    响应:

    显示恶意 IP 的详细信息的屏幕截图。

  7. 创建摘要报表

    通过针对领导和事件响应团队的摘要来节省升级过程的时间。

    所用提示:

    根据此调查编写报告。 引导你对原始 Defender 事件的评估,以及凭据被盗的威胁是否真实。 结束评估该威胁与下载到恶意 IP 的文件相关的Sentinel事件。

    响应:

    显示调查摘要报告的屏幕截图。

  8. 固定最有用的提示响应并编辑会话名称。

    你已达到目标,并确定指定的Microsoft Defender XDR事件是一个真正的威胁。 通过将它链接到涉及外泄 SAP 文件的Microsoft Sentinel事件,可以准备与升级团队协作。

    显示固定板和已编辑的会话名称的屏幕截图。

总结

在此用例中,Security Copilot帮助快速会审分配的事件。 你通过调查相关事件确认了警报所需的实际操作。 搜寻结果发现了一个事件,该事件与 IP 实体关联到有关所用威胁参与者和 C2 工具的完成情报。 使用简洁的引脚板,你共享了会话和摘要报告,为升级团队提供了有效响应所需的信息。