Erkunden der Funktionen von Copilot in Microsoft Defender XDR

  • 30 Minuten

In dieser Übung untersuchen Sie einen Vorfall in Microsoft Defender XDR. Im Rahmen der Untersuchung erkunden Sie die wichtigsten Features von Copilot in Microsoft Defender XDR, einschließlich Vorfallzusammenfassung, Gerätezusammenfassung, Skriptanalyse und vieles mehr. Außerdem pivotieren Sie Ihre Untersuchung auf der eigenständigen Oberfläche und verwenden die Pinwand, um Details Ihrer Untersuchung mit Ihren Kolleg:innen zu teilen.

Hinweis

Die Umgebung für diese Übung ist eine Simulation, die aus dem Produkt generiert wird. Da es sich um eine eingeschränkte Simulation handelt, werden Links auf einer Seite möglicherweise nicht aktiviert, und textbasierte Eingaben, die außerhalb des angegebenen Skripts liegen, werden möglicherweise nicht unterstützt. Eine Popupmeldung zeigt an, dass "Dieses Feature ist in der Simulation nicht verfügbar" angezeigt wird. Wählen Sie in diesem Fall "OK" aus, und fahren Sie mit den Übungsschritten fort.

Screenshot des Popupbildschirms, der angibt, dass dieses Feature in der Simulation nicht verfügbar ist.

Übung

Für diese Übung sind Sie als Avery Howard angemeldet und haben die Rolle „Copilot-Besitzer“. Sie arbeiten in Microsoft Defender mit der neuen einheitlichen Sicherheitsoperationsplattform, um auf die eingebetteten Copilot-Funktionen in Microsoft Defender XDR zuzugreifen. Am Ende der Übung wechseln Sie zur eigenständige Erfahrung von Microsoft Security Copilot.

Diese Übung dauert ca. 30 Minuten.

Hinweis

Wenn Sie durch eine Labanweisung dazu aufgefordert werden, einen Link zur simulierten Umgebung zu öffnen, wird empfohlen, den Link in einem neuen Browserfenster zu öffnen, damit Sie gleichzeitig die Anweisungen und die Übungsumgebung anzeigen können. Wählen Sie dazu die Option mit der rechten Maustaste aus.

Aufgabe: Erkunden von Vorfallzusammenfassungen und geführten Reaktionen

  1. Öffnen Sie die simulierte Umgebung, indem Sie diesen Link auswählen: Microsoft Defender-Portal.

  2. Über das Microsoft Defender-Portal:

    1. Erweitern Sie Untersuchung und Antwort.
    2. Erweitern Sie Vorfälle und Warnungen.
    3. Wählen Sie Vorfälle aus.

  3. Wählen Sie den ersten Vorfall in der Liste aus, Vorfall-ID: 185856 mit dem Namen „Ein von Menschen durchgeführter Ransomware-Angriff wurde von einem kompromittierten Objekt aus gestartet (Angriffsunterbrechung)“.

  4. Dieser Vorfall ist komplex. Defender XDR bietet viele Informationen, aber mit 50 Warnungen kann es eine Herausforderung sein, zu wissen, wo sie sich konzentrieren können. Auf der rechten Seite der Vorfallseite generiert Copilot automatisch eine Vorfallzusammenfassung, die Ihnen hilft, die wichtigsten Informationen zu erfassen und Ihre Reaktion einzuleiten. Wählen Sie Mehr anzeigen aus.

    1. Die Zusammenfassung von Copilot beschreibt, wie sich dieser Vorfall weiterentwickelt hat, einschließlich anfänglicher Zugriff, Lateralbewegung, Sammlung, Zugriff auf Anmeldeinformationen und Exfiltration. Dies identifiziert bestimmte Geräte, zeigt an, dass das PsExec-Tool zum Starten ausführbarer Dateien verwendet wurde, und vieles mehr.
    2. Diese Informationen können zur weiteren Untersuchung verwendet werden. Einige davon erkunden Sie in den nachfolgenden Aufgaben.

  5. Scrollen Sie im Copilot-Bereich nach unten. Direkt unterhalb der Zusammenfassung finden Sie geführte Reaktionen. In den geführten Reaktionen werden Aktionen zur Unterstützung von Triage, Eindämmung, Untersuchung und Behebung empfohlen.

    1. Die erste Aufgabe in der Kategorie „Triage“ ist das Klassifizieren des Vorfalls. Wählen Sie Klassifizieren aus, um die Optionen anzuzeigen. Sehen Sie sich auch die geführten Reaktionen unter den anderen Kategorien an.
    2. Wählen Sie oben im Abschnitt „Geführte Antworten“ die Schaltfläche Status aus, und filtern Sie nach Abgeschlossen. Zwei abgeschlossene Aktivitäten haben die Bezeichnung „Angriffsunterbrechung“. Mit automatischen Angriffsunterbrechungen sollen laufende Angriffe eingedämmt und die Auswirkungen auf die Ressourcen einer Organisation begrenzt werden. Außerdem sollen Sicherheitsteams damit mehr Zeit erhalten, den Angriff vollständig zu beheben.

  6. Lassen Sie die Vorfallseite geöffnet, Sie verwenden sie in der nächsten Aufgabe.

Aufgabe: Erkunden der Geräte- und Identitätszusammenfassungen

  1. Suchen und wählen Sie auf der Seite "Vorfall" (unter der Registerkarte "Angriffsabschnitt") im Abschnitt "Warnungen" die Benachrichtigung mit dem Titel "Verdächtige RDP-Sitzung" aus.

  2. Copilot generiert automatisch eine Warnungszusammenfassung, die eine Fülle von Informationen zur weiteren Analyse bereitstellt. In der Zusammenfassung werden beispielsweise verdächtige Aktivitäten, Datenerfassungsaktivitäten, Zugriff auf Anmeldeinformationen, Malware, Entdeckungsaktivitäten und vieles mehr identifiziert.

  3. Auf der Seite gibt es viele Informationen. Um eine bessere Ansicht dieser Warnung zu erhalten, wählen Sie die Seite "Warnung öffnen" aus. Es befindet sich im dritten Bereich der Warnungsseite, neben dem Vorfalldiagramm und unterhalb des Warnungstitels.

  4. Oben auf der Seite befindet sich die Karte für das Gerät parkcity-win10v. Wählen Sie die Auslassungspunkte aus, und erkunden Sie die Optionen. Wählen Sie Zusammenfassen aus. Copilot generiert eine Gerätezusammenfassung. Es lohnt sich zu beachten, dass es viele Möglichkeiten gibt, auf die Gerätezusammenfassung zuzugreifen, und diese ist nur eine bequeme Methode. In der Zusammenfassung können Sie sehen, dass das Gerät eine VM ist, wem das Gerät gehört, welchen Compliancestatus es gemäß den Intune-Richtlinien hat u. v. m.

  5. Neben der Gerätekarte finden Sie eine Karte mit der Besitzerin oder dem Besitzer des Geräts. Wählen Sie parkcity\jonaw aus. Der dritte Bereich auf der Seite wird aktualisiert, indem Details der Warnung angezeigt werden, um Informationen über den Benutzer bereitzustellen. In diesem Fall ist Jonathan Wolcott, ein Account Executive, dessen Schweregrad des Insider-Risikos als "Hoch" eingestuft wird. Dies ist wenig überraschend angesichts dessen, was Sie aus den Zusammenfassungen für Copilot-Vorfall und -Warnung erfahren haben. Wählen Sie "Zusammenfassen" aus, um eine von Copilot generierte Identitätszusammenfassung zu erhalten.

  6. Lassen Sie die Warnungsseite geöffnet, da Sie sie in der nächsten Aufgabe verwenden werden.

Aufgabe: Erkunden der Skriptanalyse

  1. Konzentrieren Sie sich nun auf den Warnungsverlauf. Wählen Sie Maximieren Symbol maximierenaus, das sich im Hauptbereich der Warnung befindet, direkt unter der Karte mit der Bezeichnung „partycity\jonaw“, um eine bessere Ansicht der Prozessstruktur zu erhalten. Über die maximierte Ansicht erhalten Sie eine deutlichere Übersicht darüber, wie dieser Vorfall abgelaufen ist. Viele Elemente deuten darauf hin, dass mit „powershell.exe“ ein Skript ausgeführt wurde. Da der Benutzer Jonathan Wolcott ein Kundenbetreuer ist, kann davon ausgegangen werden, dass dieser Benutzer nicht sehr häufig PowerShell-Skripts ausführt.

  2. Erweitern Sie die erste Instanz von powershell.exe executed a script. Copilot ist in der Lage, Skripts zu analysieren. Klicken Sie auf Analysieren.

    1. Copilot generiert eine Analyse des Skripts und weist darauf hin, dass es sich um einen Phishingversuch handeln könnte, oder dass es verwendet wurde, um einen webbasierten Exploit bereitzustellen.
    2. Wählen Sie Code anzeigen aus. Der Code zeigt geschachtelte PowerShell-Module und -Versionen an.

  3. Es gibt noch einige andere Elemente, die angeben, dass ein Skript mit „powershell.exe“ ausgeführt wurde. Erweitern Sie das Element mit der Bezeichnung powershell.exe -EncodedCommand.... Das ursprüngliche Skript war mit Base 64 codiert, aber Defender hat es für Sie decodiert. Wählen Sie zum Anzeigen der decodierten Version Analysieren aus. In der Analyse sind spezifische Aspekte des bei diesem Angriff verwendeten Skripts hervorgehoben.

  4. In der Copilot Script-Analyse verfügen Sie über Schaltflächen für "Code anzeigen" und "MITRE-Techniken anzeigen"

  5. Wählen Sie die Schaltfläche MITRE-Techniken anzeigen aus, und wählen Sie den Link mit der folgenden Bezeichnung aus: T1105: Eingehende Toolübertragung

  6. Dies öffnet die MITRE | ATT&CK-Webseite, auf der die Technik ausführlich beschrieben wird.

  7. Schließen Sie die Seite mit dem Warnungsverlauf, indem Sie das X (links neben dem Copilot-Bereich) auswählen. Verwenden Sie nun die Brotkrümelnavigation, um zum Vorfall zurückzukehren. Wählen Sie Human-operated ransomware attack was launched from a compromised asset (attack disruption) (Ransomware-Angriff durch Personen von einer kompromittierten Ressource aus gestartet (Angriffsunterbrechung)) aus.

Aufgabe: Erkunden der Dateianalyse

  1. Sie zeigen wieder die Vorfallseite an. In der Warnungszusammenfassung identifizierte Copilot die Datei mimikatz.exe, die mit der "Mimikatz" Schadsoftware verbunden ist. Sie können die Dateianalysefunktion in Defender XDR verwenden, um mögliche weitere Erkenntnisse zu erhalten. Es gibt mehrere Möglichkeiten, auf Dateien zuzugreifen. Wählen Sie oben auf der Seite die Registerkarte Beweis und Reaktion aus.

  2. Wählen Sie auf der linken Seite des Bildschirms Dateien aus.

  3. Wählen Sie das erste Element aus der Liste mit der Entität namensmimikatz.exeaus.

  4. Wählen Sie im daraufhin geöffneten Fenster " Datei öffnen" aus.

  5. Wählen Sie das Copilot-Symbol aus (wenn die Dateianalyse nicht automatisch geöffnet wird), und Copilot generiert eine Dateianalyse.

  6. Überprüfen Sie die detaillierte Dateianalyse, die Copilot generiert.

  7. Schließen Sie die Dateiseite, und verwenden Sie den Breadcrumb, um zum Vorfall zurückzukehren. Wählen Sie Human-operated ransomware attack was launched from a compromised asset (attack disruption) (Ransomware-Angriff durch Personen von einer kompromittierten Ressource aus gestartet (Angriffsunterbrechung)) aus.

Aufgabe: Wechseln zur eigenständigen Oberfläche

Diese Aufgabe ist komplex und erfordert das Hinzuziehen von erfahrenen Analyst:innen. In dieser Aufgabe pivotieren Sie Ihre Untersuchung und führen das Defender-Promptbook für den Vorfall aus, damit die anderen Analyst:innen einen Ausgangspunkt für ihre Untersuchung haben. Sie heften Reaktionen an die Pinwand an und generieren einen Link zu dieser Untersuchung, den Sie mit erfahreneren Mitgliedern des Teams teilen können, damit diese Sie bei der Untersuchung unterstützen können.

  1. Kehren Sie zur Vorfallseite zurück, indem Sie oben auf der Seite die Registerkarte Angriffsverlauf auswählen.

  2. Wählen Sie die Auslassungspunkte neben der Vorfallzusammenfassung von Copilot und dann In Security Copilot öffnen aus.

  3. Copilot wird auf der eigenständigen Oberfläche geöffnet und zeigt die Vorfallzusammenfassung an. Sie können auch noch weitere Prompts ausführen. In diesem Fall führen Sie das Promptbook für einen Vorfall aus. Wählen Sie das PromptsymbolPromptsymbol aus.

    1. Wählen Sie das Promptbook Microsoft 365 Defender Incident Investigation aus.
    2. Die Seite „Promptbook“ wird mit einer Aufforderung zur Eingabe der Defender-Vorfall-ID geöffnet. Geben Sie 185856 ein, und wählen Sie dann die Schaltfläche " Absenden " aus.
    3. Überprüfen Sie die bereitgestellten Informationen. Wenn Sie die eigenständige Oberfläche pivotieren und das Promptbook ausführen, können Sie bei der Untersuchung Funktionen aus einer umfangreicheren Sicherheitslösung aufrufen, die nicht nur Defender XDR umfasst und auf den aktivierten Plug-Ins basiert.

  4. Wählen Sie das Feldsymbol Feldsymbol neben dem Stecknadelsymbol aus, um alle Prompts und die entsprechenden Antworten auszuwählen. Wählen Sie dann das Stecknadelsymbol Symbol zum Anheften aus, um diese Antworten auf dem Board zu speichern.

  5. Das Stecknadelboard wird automatisch geöffnet. Die Pinwand enthält Ihre gespeicherten Prompts und Reaktionen mit jeweils einer Zusammenfassung. Sie können das Stecknadelboard öffnen und schließen, indem Sie das Symbol „Stecknadelboard“ Pinwandsymbol auswählen.

  6. Wählen Sie oben auf der Seite Teilen aus, um Ihre Optionen anzuzeigen. Wenn Sie den Vorfall über einen Link oder eine E-Mail teilen, können Personen in Ihrer Organisation mit Copilot-Zugriff diese Sitzung anzeigen. Schließen Sie das Fenster, indem Sie das X auswählen.

Aufgabe: Erstellen und Ausführen einer KQL-Abfrage

Als Nächstes verwenden wir Copilot, um uns bei der Erstellung einer KQL-Abfrage (Kusto Query Language) zu unterstützen, die mit der erweiterten Suche in Defender XDR verwendet wird.

  1. Während Sie sich noch in der eigenständigen Security Copilot-Anwendung befinden, geben Sie die folgende Eingabeaufforderung in das Eingabefeld ein: Erstellen Sie eine Abfrage auf Grundlage dieses Vorfalls, um proaktiv nach dieser Art von Schadsoftwareangriff zu suchen. Verwenden Sie den woodgrove-loganalyticsworkspace.

  2. Drücken Sie das Symbol für die Eingabeaufforderung, um Ihre Eingabeaufforderung auszuführen. Copilot wählt „Natürliche Sprache in KQL“ für die erweiterte Suche aus.

  3. Copilot generiert eine KQL-Abfrage und eine Antwort:

    1. Lesen Sie die Erläuterung der Kusto-Abfrage durch.

    2. Überprüfen Sie die Aufschlüsselung der Kusto-Abfrage. Dies ist sehr hilfreich, wenn Sie gerade mit KQL beginnen.

  4. Kopieren Sie die von Copilot generierte KQL-Abfrage, und kehren Sie zum Defender XDR-Portal zurück. Es wird empfohlen, die Abfrage zuerst in Notepad oder einen anderen Texteditor zu kopieren, um Formatierungsprobleme zu vermeiden.

  5. Defender XDR sollte weiterhin den Abschnitt "Untersuchungen und Antworten" geöffnet haben. Wählen Sie "Suche" und dann " Erweiterte Suche " im Navigationsmenü aus.

  6. Wählen Sie in der erweiterten Suche die neue Abfrage + aus, um ein neues Fenster zu öffnen und die von Copilot generierte KQL-Abfrage in das Formular einzufügen. Es wird empfohlen, die Abfrage zuerst in Notepad oder einen anderen Texteditor zu kopieren, um Formatierungsprobleme zu vermeiden.

  7. Nachdem Sie die KQL-Abfrage ausgeführt haben, können Sie zu Copilot zurückkehren, um die Abfrage zu verfeinern oder das Copilot-Symbol auf der Seite "Erweiterte Suchabfrage" auszuwählen, um Suchabfragen zu optimieren.

  8. Sie können nun die Browserregisterkarte schließen, um die Simulation zu beenden.

Überprüfen

Dieser Vorfall ist komplex. Es gibt viele Informationen, die sie auswerten müssen. Copilot hilft Ihnen dabei, den Vorfall, einzelne Warnungen, Skripts, Geräte, Identitäten und Dateien zusammenzufassen. Komplexe Untersuchungen wie diese erfordern möglicherweise die Beteiligung mehrerer Analysten. Copilot vereinfacht diese Situation durch das einfache Teilen von Details zu einer Untersuchung.