共用方式為


使用案例:根據來自威脅情報的擴充來分級事件

提及的角色:事件分級的SOC分析師和身分識別管理員 (主要) 、CISO 和其他項目關係人,以取得事件報告摘要 (收件者)

案例

身為SOC) 分析師 (安全性作業中心,您會檢閱指派給您的警示和事件。 您的職責是識別是否需要採取實際動作。 您可以利用與事件相關聯之警示內的資訊來引導您的程式。 您通常會收集內容相關信息,以進一步瞭解您應該採取的後續步驟。 透過擴充相關實體並充分了解基礎警示,您可以判斷是否要呈報或補救事件。

在此詳細範例中,分析師會使用 Security Copilot 來快速分級事件。 如果事件是真正的威脅,目標是收集新的入侵指標,或將實體連結到已完成的情報。 在此情況下,Security Copilot 會摘要說明威脅情報,以顯示與已知威脅執行者的連線,並通知嚴重性評估。

步驟

  1. 使用 Security Copilot 開始您的一天。 擷取指派給您的最新 Microsoft Defender 全面偵測回應 事件,並摘要說明與其相關聯的警示。

    使用的提示:

    指派給我 angus.macgregor@contoso.com的最新作用中 Defender 事件是什麼? 摘要說明,包括與其相關聯的警示。

    回應:

    Defender 警示摘要的螢幕快照。

    看起來像是可能的認證竊取。 您會遵循建議的動作,並開始設定事件範圍並驗證警示。

  2. 專注於特定實體,以取得其詳細資訊。

    使用的提示:

    詳細說明此警示的詳細數據,包括所涉及的實體。

    回應:

    Defender 警示擴充的螢幕快照。

    現在您有用戶帳戶和裝置可進一步調查。 在此情況下,您會先選擇深入瞭解受影響的使用者,再深入瞭解裝置上攻擊的詳細數據。

  3. 取得此使用者的詳細資訊,以引導後續步驟。 具有認證的人接下來可能會採取哪種動作?

    使用的提示:

    深入瞭解用戶實體。

    回應:

    詳細使用者信息的螢幕快照。

    您發現此使用者在 Sales 中運作。 如果認證遭竊,這可能會影響銷售數據。 您記得您的 Sentinel 工作區具有 SAP 解決方案,可協助偵測該處的威脅。 此 Defender 警示是否連結至 Microsoft Sentinel 事件? 您的第一個優先順序是判斷此使用者在 SAP 中是否有任何可疑的活動。

  4. 使用已儲存的搜捕查詢,將實體與 Sentinel 事件相互關聯。

    您會手動啟用自然語言的建議提示,以 Sentinel KQL 外掛程式來執行查詢。

    顯示 Microsoft Sentinel 搜捕查詢建議提示的螢幕快照。

    提示

    如果查詢需要稍微調整,請編輯提示並重新執行。 例如,您的查詢會投影 IncidentNames,但這些只是 GUID。 您記得這是 Title 您真正想要的欄位。 只要編輯提示並選取 [重新執行提示 ] 選項即可。

    顯示編輯、重新執行和刪除提示選項的螢幕快照。

    已使用調整的提示:

    執行下列 KQLSecurityAlert | 其中實體具有 “adele.vance@contoso.com” 且 TimeGenerated >= datetime (10/06/2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertIds | extend SystemAlertId = tostring (SystemAlertId) ) on SystemAlertId | summarize by IncidentNumber, 標題

    回應:

    顯示搜捕查詢結果 Microsoft Sentinel 螢幕快照。

    SAP 相關事件現在是您的第一個優先順序。

  5. 將您的調查從原始警示樞紐至與使用者相關聯的 SAP 事件。

    使用的提示:

    詳述 Sentinel 事件 33805,並提供實體的詳細數據。

    回應:

    顯示 Microsoft Sentinel 事件摘要的螢幕快照。

    此提示會傳回許多資訊。 惡意IP和可能的財務數據外洩是要進一步調查的重要專案。

  6. 深入瞭解IP位址實體,並檢查其判斷為惡意。

    使用的提示:

    提供更多有關IP位址的詳細數據,以及為何會產生惡意?

    回應:

    顯示惡意IP詳細數據的螢幕快照。

  7. 建立摘要報表

    使用領導階層和事件回應小組的摘要,在呈報程式中節省時間。

    使用的提示:

    根據此調查撰寫報告。 領導您對原始 Defender 事件的評估,以及認證竊取的威脅是否真實。 總結您對於該威脅與下載至惡意IP之檔案的相關 Sentinel事件有何關聯的評估。

    回應:

    顯示調查摘要報告的螢幕快照。

  8. 釘選最有用的提示,以回應並編輯會話名稱。

    您已達到目標,並判斷指派的 Microsoft Defender 全面偵測回應 事件是真正的威脅。 藉由將它連結至涉及已外洩 SAP 檔案的 Microsoft Sentinel 事件,您就可以準備與呈報小組共同作業。

    顯示釘選面板和已編輯會話名稱的螢幕快照。

總結

在此使用案例中,Security Copilot 協助快速分級指派的事件。 您已藉由調查相關事件來確認警示所需的實際動作。 搜捕導致尋找事件,其中IP實體連結到有關所使用威脅執行者和 C2 工具的已完成情報。 使用簡潔的釘選面板,您會共用會話和摘要報告,為呈報小組提供有效回應所需的資訊。