Exploración de las funcionalidades de Copilot en XDR de Microsoft Defender

  • 30 minutos

En este ejercicio, investigará un incidente en Microsoft Defender XDR. Como parte de la investigación, explorará las características clave de Copilot en Microsoft Defender XDR, incluido el resumen de incidentes, el resumen del dispositivo, el análisis de scripts, etc. También orientas tu investigación hacia la experiencia independiente y usas el tablón de anuncios para compartir detalles de la investigación con tus compañeros.

Nota:

El entorno de este ejercicio es una simulación generada a partir del producto. Al ser una simulación limitada, es posible que los vínculos de alguna página no estén habilitados y que no se admiten las entradas de texto que se encuentren fuera del script especificado. Aparece un mensaje emergente que indica que "Esta característica no está disponible en la simulación". Cuando esto ocurra, seleccione Aceptar y continúe con los pasos del ejercicio.

Recorte de la pantalla emergente que indica que esta característica no está disponible en la simulación.

Ejercicio

En este ejercicio, ha iniciado sesión como Avery Howard y tiene el rol de propietario de Copilot. Usted trabaja en Microsoft Defender, utilizando la nueva plataforma unificada de operaciones de seguridad, para acceder a las capacidades integradas de Copilot en Microsoft Defender XDR. Al final del ejercicio, se dirige a la experiencia independiente de Microsoft Security Copilot.

Este ejercicio debería tardar en completarse 30 minutos aproximadamente.

Nota:

Cuando una instrucción de laboratorio llama para abrir un vínculo al entorno simulado, se recomienda abrir el vínculo en una nueva ventana del explorador para poder ver simultáneamente las instrucciones y el entorno del ejercicio. Para ello, seleccione la tecla del mouse derecho y seleccione la opción.

Tarea: Exploración del resumen de incidentes y respuestas guiadas

  1. Para abrir el entorno simulado, seleccione este vínculo: Portal de Microsoft Defender.

  2. Del portal de Microsoft Defender:

    1. Amplíe Investigación y respuesta.
    2. Expanda Incidentes y alertas.
    3. Seleccione Incidentes.

  3. Seleccione el primer incidente de la lista, Id. de incidente: 185856 denominado Ataque de ransomware realizado por humanos que fue lanzado desde un recurso comprometido (interrupción del ataque).

  4. Este incidente es complejo. Defender XDR proporciona una gran cantidad de información, pero con 50 alertas puede ser un desafío saber dónde centrarse. En el lado derecho de la página del incidente, Copilot genera automáticamente un resumen de incidentes que ayuda a guiar su enfoque y respuesta. Seleccione Ver más.

    1. El resumen de Copilot describe cómo ha evolucionado este incidente, incluido el acceso inicial, el movimiento lateral, la recopilación, el acceso a credenciales y la filtración. Identifica dispositivos específicos e indica que la herramienta PsExec se usó para iniciar archivos ejecutables y más.
    2. Esta información se puede usar para una investigación más detallada. Exploras algunos de ellos en las tareas posteriores.

  5. Desplácese hacia abajo en el panel de Copilot y justo debajo del resumen son respuestas guiadas. Las respuestas guiadas recomiendan acciones en apoyo de la evaluación de prioridades, la contención, la investigación y la corrección.

    1. El primer elemento en la categoría de evaluación de prioridades es clasificar este incidente. Seleccione Clasificar para ver las opciones. Revise las respuestas guiadas en las otras categorías.
    2. Seleccione el botón Estado en la parte superior de la sección de respuestas guiadas y filtre por Completado. Dos actividades completadas se muestran etiquetadas como Interrupción de ataques. La interrupción automática de ataques está diseñada para contener ataques en curso, limitar el impacto en los recursos de una organización y proporcionar más tiempo para que los equipos de seguridad corrijan el ataque por completo.

  6. Mantenga abierta la página del incidente, la necesitará en la siguiente tarea.

Tarea: Exploración del resumen de dispositivos e identidades

  1. En la página del incidente (en la pestaña Caso de ataque), en la sección Alertas, busque y seleccione la alerta titulada: Sesión de RDP sospechosa.

  2. Copilot genera automáticamente un resumen de alertas, que proporciona una gran cantidad de información para su posterior análisis. Por ejemplo, el resumen identifica actividades sospechosas, identifica actividades de recopilación de datos, acceso a credenciales, malware, actividades de detección, etc.

  3. Hay mucha información en la página, por lo que para obtener una mejor vista de esta alerta, seleccione Abrir página de alertas. Se encuentra en el tercer panel de la página de alertas, junto al gráfico de incidentes y debajo del título de la alerta.

  4. En la parte superior de la página, se encuentra la tarjeta del dispositivo parkcity-win10v. Seleccione los puntos suspensivos y anote las opciones. Seleccione Resumir. Copilot genera un resumen del dispositivo. Cabe mencionar que hay muchas maneras de acceder al resumen del dispositivo y este es solo un método conveniente. El resumen muestra que el dispositivo es una máquina virtual, identifica al propietario del dispositivo, muestra su estado de cumplimiento con las directivas de Intune y mucho más.

  5. Junto a la tarjeta del dispositivo es una tarjeta para el propietario del dispositivo. Seleccione parkcity\jonaw. El tercer panel de la página se actualiza, dejando de mostrar los detalles de la alerta y pasando a proporcionar información sobre el usuario. En este caso, Jonathan Wolcott, un ejecutivo de cuentas, cuya gravedad de riesgo interno se clasifica como Alta. Estos detalles no son sorprendentes, dado lo que ha aprendido de los resúmenes de incidentes y alertas de Copilot. Seleccione Resumir para obtener un resumen de identidad generado por Copilot.

  6. Mantén abierta la página de alertas, la utilizarás en la siguiente tarea.

Tarea: Exploración del análisis de scripts

  1. Vamos a centrarnos en la historia de alertas. Seleccione Maximizar icono de maximizar, ubicado en el panel principal de la alerta, justo debajo de la tarjeta con la etiqueta "partycity\jonaw" para obtener una mejor vista del árbol de procesos. Desde la vista ampliada, empiezas a obtener una visión más clara de cómo ocurrió este incidente. Muchos elementos de línea indican que powershell.exe ejecutaron un script. Dado que el usuario Jonathan Wolcott es un ejecutivo de cuentas, es razonable suponer que la ejecución de scripts de PowerShell no es algo que es probable que este usuario esté haciendo con regularidad.

  2. Expanda la primera instancia de powershell.exe ejecutó un script. Copilot tiene la capacidad de analizar scripts. Seleccione Analizar.

    1. Copilot genera un análisis del script y sugiere que podría ser un intento de suplantación de identidad (phishing) o se usa para entregar una vulnerabilidad de seguridad basada en web.
    2. Seleccione Mostrar código. El código muestra las versiones y módulos anidados de PowerShell.

  3. Hay varios elementos que indican que powershell.exe haya ejecutado un script. Expanda la etiqueta powershell.exe -EncodedCommand.... El script original estaba codificado en base 64, pero Defender lo ha descodificado. Para la versión descodificada, seleccione Analizar. El análisis resalta la sofisticación del script usado en este ataque.

  4. En el análisis de script de Copilot, hay botones para Mostrar código y Mostrar técnicas de MITRE.

  5. Seleccione el botón Mostrar técnicas de MITRE y seleccione el vínculo etiquetado: T1105: Transferencia de herramientas de ingreso

  6. Esto abre la página del sitio MITRE | ATT&CK que describe la técnica en detalle.

  7. Cierre la página de la historia de alerta seleccionando la X (la X situada a la izquierda del panel de Copilot). Ahora use la ruta de navegación para volver al incidente. Seleccione El ataque de ransomware operado por humanos se lanzó desde un activo comprometido (interrupción del ataque).

Tarea: Exploración del análisis de archivos

  1. Vuelve a la página del incidente. En el resumen de alertas, Copilot identificó el archivo mimikatz.exe, que está asociado con el malware "Mimikatz". Puede usar la funcionalidad de análisis de archivos en XDR de Defender para ver qué otras conclusiones puede obtener. Hay varias maneras de acceder a los archivos. En la parte superior de la página, seleccione la pestaña Evidencia y respuesta.

  2. En el lado izquierdo de la pantalla, seleccione Archivos.

  3. Seleccione el primer elemento de la lista con la entidad denominada mimikatz.exe.

  4. En la ventana que se abre, seleccione Abrir página archivo.

  5. Seleccione el icono de Copilot (si el análisis de archivos no se abre automáticamente) y Copilot genera un análisis de archivos.

  6. Revise el análisis detallado de archivos que genera Copilot.

  7. Cierre la página Archivo y use la ruta de navegación para volver al incidente. Seleccione El ataque de ransomware operado por humanos se lanzó desde un activo comprometido (interrupción del ataque).

Tarea: Transición a la experiencia autónoma

Esta tarea es compleja y requiere la participación de más analistas de alto nivel. En esta tarea, dinamizará la investigación y ejecutará la secuencia de indicaciones de incidentes de Defender para que los demás analistas tengan un impulso inicial en la investigación. Ancla las respuestas al panel de anclaje y genera un vínculo a esta investigación que puede compartir con miembros más avanzados del equipo para ayudar a investigar.

  1. Vuelva a la página del incidente seleccionando la pestaña Historia de ataque en la parte superior de la página.

  2. Seleccione los puntos suspensivos junto al resumen de incidentes de Copilot y seleccione Abrir en Security Copilot.

  3. Copilot se abre en la experiencia independiente y muestra el resumen de incidentes. También puede ejecutar más mensajes. En este caso, ejecutará el promptbook para un incidente. Seleccione el icono de avisoicono de aviso.

    1. Seleccione la secuencia de indicaciones de investigación de incidentes de Microsoft 365 Defender.
    2. La página del libro de mensajes se abre y solicita el identificador de incidente de Defender. Escriba 185856 y seleccione el botón Enviar .
    3. Revise la información que se proporciona. Al cambiar a la experiencia independiente y ejecutar el libro de instrucciones, la investigación puede invocar capacidades de una solución de seguridad más amplia, más allá de únicamente Defender XDR, basada en los complementos habilitados.

  4. Seleccione el icono de cuadro icono de cuadro situado junto al icono de anclaje para seleccionar todas las indicaciones y las respuestas correspondientes y, a continuación, seleccione el icono de anclajeIcono de anclaje para guardar esas respuestas en el panel de anclaje.

  5. El panel de anclaje se abre automáticamente. La placa de anclaje contiene los mensajes y respuestas guardados, junto con un resumen de cada uno. Para abrir y cerrar el panel de anclaje, seleccione el icono de panel de anclaje Icono de placa de anclaje.

  6. En la parte superior de la página, seleccione Compartir para ver las opciones. Al compartir el incidente a través de un vínculo o correo electrónico, las personas de su organización con acceso a Copilot pueden ver esta sesión. Cierre la ventana seleccionando la X.

Tarea: Crear y ejecutar una consulta KQL

A continuación, utilizaremos Copilot para ayudarnos a crear una consulta de KQL (Kusto Query Language) para su uso con Advanced Hunting en Defender XDR.

  1. Mientras todavía está en Security Copilot independiente, escriba la siguiente indicación en el formulario de indicación: En función de este incidente, cree una consulta para buscar proactivamente este tipo de ataque de malware. Use el espacio de trabajo woodgrove-loganalytics.

  2. Presione el icono Enviar mensaje para ejecutar su mensaje. Copilot elige el lenguaje natural en lugar de KQL para la búsqueda avanzada.

  3. Copilot genera una consulta KQL y una respuesta:

    1. Lea la explicación de la consulta Kusto.

    2. Revise el desglose de la consulta Kusto. Esto es muy útil si acaba de empezar a trabajar con KQL.

  4. Copie la consulta KQL generada por Copilot y vuelva al portal de XDR de Defender. Se recomienda copiar la consulta en el Bloc de notas u otro editor primero para reducir los problemas de formato.

  5. Defender XDR todavía debe tener abierta la sección Investigaciones y respuesta. Seleccione Búsqueda y, a continuación, Búsqueda avanzada en el menú de navegación.

  6. En Búsqueda avanzada, seleccione la nueva consulta + para abrir una nueva ventana y pegue la consulta KQL generada por Copilot en el formulario. Se recomienda copiar la consulta en el Bloc de notas u otro editor primero para reducir los problemas de formato.

  7. Después de ejecutar la consulta KQL, puede volver a Copilot para refinar la consulta o seleccionar el icono de Copilot en la página Consulta de búsqueda avanzada para ajustar las consultas de búsqueda.

  8. Ahora puede cerrar la pestaña del navegador para salir de la simulación.

Revisión

Este incidente es complejo. Hay una gran cantidad de información para resumir y Copilot ayuda a resumir el incidente, alertas individuales, scripts, dispositivos, identidades y archivos. Las investigaciones complejas como esta pueden requerir la participación de varios analistas. Copilot facilita esto al compartir fácilmente los detalles de una investigación.