探索 Microsoft Defender XDR 中 Copilot 的功能

  • 30 分钟

在本练习中,你将调查 Microsoft Defender XDR 中的事件。 在调查过程中,你将探索 Microsoft Defender XDR 中 Microsoft Copilot 的主要功能,包括事件摘要、设备摘要、脚本分析等。 还可以将调查转向独立体验,并使用图钉板与同事共享调查详细信息。

注意

本练习的环境是从产品生成的模拟。 由于是有限的模拟,因此页面上的链接可能未启用,并且不支持超出指定脚本范围的文本输入。 将显示弹出消息,指示“此功能在模拟中不可用。”发生这种情况时,请选择“确定”,并继续执行练习步骤。
弹出屏幕的屏幕截图,指示此功能在模拟中不可用。

练习

在本练习中,你以 Avery Howard 的身份登录,具有 Copilot 所有者角色。 你将在 Microsoft Defender 中使用新的统一安全运营平台来访问 Microsoft Defender XDR 中的嵌入式 Copilot 功能。 在本练习结束时,你将转到 Microsoft 安全 Copilot 的独立体验。

完成此练习大约需要 30 分钟。

注意

当实验室说明要求打开模拟环境的链接时,我们通常建议你在新浏览器窗口中打开该链接,这样就可以同时查看说明和练习环境。 为此,请选择鼠标右键,然后选择该选项。

任务:探索事件摘要和引导式响应

  1. 通过选择此链接打开模拟环境:Microsoft Defender 门户

  2. 来自 Microsoft Defender 门户:

    1. 展开调查和响应。
    2. 展开事件和警报
    3. 选择“事件”。

  3. 选择列表中的第一个事件,事件 ID:30342,名为“人为操作的勒索软件攻击从被盗用资产发起(攻击中断)”。

  4. 这是一个复杂事件。 Defender XDR 提供了大量信息,但有 72 个警报,难以确定重点。 在事件页面的右侧,Copilot 会自动生成一个“事件摘要”,可帮助指导如何抓住重点和进行应对。 选择查看更多

    1. Copilot 的摘要描述了此事件是如何演变的,包括初始访问、横向移动、收集、凭据访问和外泄。 它可标识特定设备,指示 PsExec 工具用于启动可执行文件等。
    2. 这些都是可用于进一步调查的项目。 在接下来的任务中,你将对其中的一些项目进行探索。

  5. 向下滚动 Copilot 面板,摘要下方就是“引导式响应”。 引导式响应会提出一些支持会审、遏制、调查和修正的操作建议。

    1. 会审类别中的第一项就是“对此事件进行分类”。 选择“分类”以查看选项。 查看其他类别中的引导式响应。
    2. 选择引导式响应部分顶部的“状态”按钮,并筛选“已完成”。 两个已完成的活动显示标记为“攻击中断”。 自动攻击中断旨在遏制正在进行的攻击,限制对组织资产的影响,并为安全团队提供更多时间来全面修正攻击。

  6. 使事件页面保持打开状态,因为在下一个任务中会用到。

任务:探索设备和标识摘要

  1. 在事件页面中,选择第一个警报“点击了可疑的 URL”

  2. Copilot 会自动生成警报摘要,以提供大量信息来进行进一步分析。 例如,摘要会标识可疑活动,还会标识数据收集活动、凭据访问、恶意软件、发现活动等。

  3. 该页面上有很多信息,因此若要更好地了解此警报,请选择“打开警报页面”。 它位于警报页面的第三个面板上,靠近事件图,在警报标题下方。

  4. 页面顶部是设备 parkcity-win10v 的卡片。 选择省略号并注意相关选项。 选择“汇总”。 Copilot 可生成设备摘要。 值得注意的是,访问设备摘要有多种方法,而这只是其中一种方便的方法。 摘要显示了设备是一个 VM,标识了设备的所有者,还显示了其针对 Intune 策略的合规性状态等。

  5. 设备卡片旁边是设备所有者的卡片。 选择“parkcity\jonaw”。 页面上的第三个面板将从显示警报详细信息更新为提供用户 Jonathan Wolcott 的信息,该用户为客户主管,其 Microsoft Entra ID 风险和内部风险严重性分类为高。 从在 Copilot 事件和警报摘要中了解到的情况来看,这些并不奇怪。 选择省略号,然后选择“汇总”,获取 Copilot 生成的标识摘要

  6. 使警报页面保持打开状态,因为在下一个任务中会用到。

任务:探索脚本分析

  1. 让我们重点介绍警报案例。 选择“最大化”最大化图标(位于警报的主面板上,标记为“partycity\jonaw”的卡片下方),以便更好地了解进程树。 在最大化视图中,可以更清楚地了解此事件是如何发生的。 许多行项都指示 powershell.exe 执行了脚本。 由于用户 Jonathan Wolcott 是一名客户主管,因此我们有理由认为该用户不可能经常执行 PowerShell 脚本。

  2. 展开“powershell.exe 执行脚本”的第一个实例,该实例显示的时间戳是凌晨 4:57:11。 Copilot 能够分析脚本。 选择“分析”。

    1. Copilot 会生成脚本分析,并提示这可能是网络钓鱼尝试或用于发动基于 Web 的攻击。
    2. 选择“显示代码”。 该代码显示了一个已经过安全处理的 URL。

  3. 还有其他几个项指示 powershell.exe 执行了脚本。 展开标记了“powershell.exe -EncodedCommand...”且时间戳为凌晨 5:00:47 的项。 原始脚本是 Base64 编码的,但 Defender 已为你解码了此脚本。 对于解码的版本,请选择“分析”。 分析突出显示了此攻击所使用的脚本的复杂性。

  4. 选择“X”(Copilot 面板左侧的 X)关闭警报案例页面。 现在,使用痕迹导航返回事件。 选择“人为操作的勒索软件攻击从被盗用资产发起(攻击中断)”

任务:探索文件分析

  1. 你回到了事件页面。 在警报摘要中,Copilot 标识了与“Kekeo”恶意软件关联的文件 Rubeus.exe。 可以使用 Defender XDR 中的文件分析功能看看还能获得哪些其他见解。 可通过多种方式访问文件。 在页面顶部,选择“证据和响应”选项卡

  2. 在屏幕左侧选择“文件”

  3. 从带有名为 Rubeus.exe 实体的列表中选择第一项。

  4. 在打开的窗口中,选择“分析”。 Copilot 会生成摘要。

  5. 查看 Copilot 生成的详细文件分析。

  6. 关闭文件分析窗口。

任务:转到独立体验

这项任务很复杂,需要更多高级分析师的参与。 在此任务中,你将转移调查方向并运行 Defender 事件提示本,以便其他分析师在调查时有个好的开始。 将响应固定到图钉板,并生成指向此调查的链接,你可以与团队中更高级的成员共享此链接以帮助调查。

  1. 从页面顶部选择“攻击案例”选项卡,返回到事件页面

  2. 选择 Copilot 事件摘要旁边的省略号,然后选择“在安全 Copilot 中打开”

  3. Copilot 会在独立体验中打开,并显示事件摘要。 还可以运行更多提示。 在这种情况下,要运行事件提示本。 选择提示图标 提示图标

    1. 选择“查看所有提示本”
    2. 选择“Microsoft 365 Defender 事件调查”
    3. 此时会打开提示本页面并要求输入 Defender 事件 ID。 输入“30342”,然后选择“运行”
    4. 查看所提供的信息。 通过转向独立体验并运行提示本,调查能够基于已启用的插件,从更广泛的安全解决方案调用功能,而不仅仅是从 Defender XDR。

  4. 选择图钉图标旁边的方框图标方框图标,以选择所有提示和相应的响应,然后选择图钉图标 别针图标,将这些响应保存到图钉板

  5. 图钉板会自动打开。 图钉板会存储你保存的提示和响应,以及每个提示和响应的摘要。 可以通过选择图钉板图标图钉板图标来打开和关闭图钉板。

  6. 在页面顶部,选择“共享”,查看相关选项。 通过链接或电子邮件共享事件,组织中具有 Copilot 访问权限的人员就可以查看此会话。 选择“x”关闭窗口

  7. 现在可以关闭浏览器标签页以退出模拟。

审阅

此事件很复杂。 有大量信息需要消化,而 Copilot 可帮助汇总事件、单个警报、脚本、设备、标识和文件。 这样的复杂调查可能需要多名分析师参与。 Copilot 可通过轻松共享调查的详细信息来促进这一点。