使用案例：調查事件和相關聯的可疑實體

提及的角色：分析可疑腳本的SOC TI分析師

案例

在事件期間，安全性分析師通常負責調查警示並收集與事件相關聯的相關信息。 他們會進行根本原因分析，並將來自各種來源的資訊相互關聯，以判斷對組織的潛在影響。

根據案例，分析師可能需要分析記錄、檢查惡意程式碼、反向設計檔案或指令碼，以及調查觀察到的 URL。

調查的基本元件涉及瞭解要採取哪些補救步驟，並有效地傳達重大發現，讓項目關係人掌握事件的目前狀態。

在此範例中，Security Copilot 用來執行完整的事件調查，方法是從警示收集內容相關信息、分析可疑的腳本，以及產生伴隨一組補救步驟的評量。

步驟

1. 在 Microsoft Defender 全面偵測回應中開始調查。

   Security Copilot 已整合到 Microsoft Defender 全面偵測回應 中。 從事件頁面，選取 [Copilot ] 按鈕以取得事件的摘要，並取得詳細數據，例如攻擊開始的時間和日期、開始攻擊的實體或資產，以及參與攻擊的資產。

   

2. 分析可疑的指令碼。

   Microsoft Defender 全面偵測回應 執行可疑腳本時的旗標。 使用 Security Copilot 來說明可疑腳本的用途。

   注意事項

   指令碼分析函數持續在開發中。 正在評估以 PowerShell、批次和 bash 外的語言分析指令碼。

   按兩下按鈕，即會顯示描述以及腳本的整體摘要。

   

3. 使用自然語言提示和更多外掛程式，在 Security Copilot 中擴充調查。

   選取 [在 Security Copilot 中開啟]，以在 Security Copilot 的獨立體驗中繼續調查。

   

   獨立體驗可讓您使用自然語言提示來擴充調查。

   

4. 若要更全面地瞭解事件，請使用 Security Copilot 收集命令行腳本中所見可疑活動的詳細資訊。

   使用的提示:

   您可以告訴我們關於指令碼中的指標信譽嗎? 它們是否為惡意？ 如果是，為什麼？

   回應:

   

   回應表示文本中的數個指標與已知的威脅執行者相關聯。 您可以將此回應釘選為稍後可使用的重要資訊片段。

5. 使用 Security Copilot 提供事件評估與支持辨識項和一組建議。

   使用的提示:

   摘要調查的結果，最終總結出一組建議。

   回應:

   

   提示

   您可以匯出回應作為日後參考。 您也可以選擇與其他分析師共用整個工作階段。 其他正在檢閱事件的小組成員可以利用釘選面板來取得調查步驟的完整摘要，以節省他們寶貴的時間。

   

總結

在此使用案例中，Security Copilot 協助對事件進行徹底的調查。 使用自然語言，分析師可以取得可疑腳本執行作業的說明，並確認腳本中的指標與已知的威脅執行者相關聯。

此外，Security Copilot 透過摘要報告產生評量，並提供一組建議來包含事件，這也可以用來提升技能。