Explorer les fonctionnalités de Copilot dans Microsoft Defender XDR

  • 30 minutes

Dans cet exercice, vous investiguez un incident dans Microsoft Defender XDR. Dans le cadre de l’enquête, vous explorez les principales fonctionnalités de Copilot dans Microsoft Defender XDR, notamment le résumé d’incident, le résumé d’appareil, l’analyse de script, etc. Vous redirigez également votre investigation sur l’expérience autonome et utilisez le tableau d’épinglage pour partager les détails de votre investigation avec vos collègues.

Remarque

L’environnement de cet exercice est une simulation générée à partir du produit. Comme c’est une simulation limitée, les liens d’une page peuvent ne pas être activés et les entrées texte qui ne sont pas prises en compte dans le script spécifié ne sont pas prises en charge. Un message contextuel s’affiche indiquant : « Cette fonctionnalité n’est pas disponible dans la simulation ». Lorsque cela se produit, sélectionnez OK et poursuivez les étapes de l’exercice.

Capture d’écran d’une fenêtre contextuelle indiquant que cette fonctionnalité n’est pas disponible dans la simulation.

Exercice

Pour cet exercice, vous êtes connecté en tant qu’Avery Howard avec le rôle Propriétaire Copilot. Vous travaillez dans Microsoft Defender, à l’aide de la nouvelle plateforme d’opérations de sécurité unifiées, pour accéder aux fonctionnalités copilotes incorporées dans Microsoft Defender XDR. À la fin de l’exercice, vous basculez sur l’expérience autonome de Microsoft Security Copilot.

Cet exercice devrait prendre environ 30 minutes.

Remarque

Lorsqu’une instruction de labo nécessite l’ouverture d’un lien dans l’environnement simulé, il est recommandé d’ouvrir le lien dans une nouvelle fenêtre de navigateur afin de voir simultanément les instructions et l’environnement de l’exercice. Pour ce faire, cliquez avec le bouton droit de la souris et sélectionnez l’option adaptée.

Tâche : explorer le récapitulatif d’incident et les réponses guidées

  1. Ouvrez l’environnement simulé en sélectionnant ce lien : Portail Microsoft Defender.

  2. Dans le portail Microsoft Defender :

    1. Développez Enquêtes et réponses.
    2. Développez Incidents et alertes.
    3. Sélectionnez Incidents.

  3. Sélectionnez le premier incident dans la liste, ID d’incident : 185856 dénommé « Une attaque par ransomware opérée par un humain a été lancée depuis une ressource compromise (interruption de l’attaque).

  4. Cet incident est complexe. Defender XDR fournit une grande quantité d’informations, mais avec 50 alertes, il peut être un défi de savoir où se concentrer. À droite de la page de l’incident, Copilot génère automatiquement un récapitulatif d’incident qui vous aide à orienter votre attention et votre réponse. Cliquez sur Afficher plus.

    1. Le récapitulatif de Copilot décrit comment cet incident a évolué, notamment l’accès initial, le mouvement latéral, la collecte, l’accès aux informations d’identification et l’exfiltration. Il identifie des appareils spécifiques, indique que l’outil PsExec a été utilisé pour lancer des fichiers exécutables, etc.
    2. Ces informations peuvent être utilisées pour une enquête plus approfondie. Vous en explorez quelques-uns dans les tâches suivantes.

  5. Faites défiler le panneau Copilot vers le bas et juste en dessous du récapitulatif vous avez les Réponses guidées. Les réponses guidées recommandent des actions en faveur du triage, de l’isolement, de l’investigation et de la correction.

    1. Le premier élément de la catégorie de triage permet de Classifier cet incident. Sélectionnez Classifier pour voir les options. Passez en revue les réponses guidées dans les autres catégories.
    2. Sélectionnez le bouton État en haut de la section des réponses guidées, puis filtrez sur Terminé. Deux activités terminées s’affichent avec l’étiquette Interruption d’attaque. L’interruption automatique des attaques est conçue pour enrayer les attaques en cours, limiter l’impact sur les ressources d’une organisation et fournir plus de temps aux équipes de sécurité pour corriger complètement l’attaque.

  6. Laissez la page de l’incident ouverte, vous en avez besoin pour la tâche suivante.

Tâche : explorer le récapitulatif des appareils et des identités

  1. Dans la page incident (sous l’onglet Histoire d’attaque), dans la section Alertes, recherchez et sélectionnez l’alerte intitulée : Session RDP suspecte

  2. Copilot génère automatiquement un Récapitulatif de l’alerte, qui fournit une multitude d’informations pour une analyse plus approfondie. Par exemple, le récapitulatif identifie l’activité suspecte, des activités de collecte de données, l’accès à des informations d’identification, un programme malveillant, des activités de découverte, etc.

  3. Il existe beaucoup d’informations sur la page. Pour obtenir une meilleure vue de cette alerte, sélectionnez Ouvrir une page d’alerte. Il se trouve dans le troisième volet de la page de l’alerte, à côté du graphique de l’incident et sous le titre de l’alerte.

  4. En haut de la page, vous verrez la fiche de l’appareil parkcity-win10v. Sélectionnez les points de suspension et notez les options. Sélectionnez Résumer. Copilot génère un Récapitulatif de l’appareil. Il est important de noter qu’il existe de nombreuses façons d’accéder au résumé de l’appareil et que cette façon n’est qu’une seule méthode pratique. Le récapitulatif montre que l’appareil est une machine virtuelle, identifie le propriétaire de l’appareil, il affiche son état de conformité par rapport aux stratégies Intune, etc.

  5. À côté de la fiche de l’appareil, vous avez la fiche du propriétaire de l’appareil. Sélectionnez parkcity\jonaw. Le troisième panneau de la page passe de l’affichage des détails de l’alerte à l’affichage d’informations sur l’utilisateur. Dans cet exemple, il s’agit de Jonathan Wolcott, responsable de compte, dont la gravité du risque Insider est classée comme élevée. Ces détails ne sont pas surprenants compte tenu de ce que vous avez appris dans les récapitulatifs d’alertes et d’incidents de Copilot. Sélectionnez Résumer pour obtenir un résumé d’identité généré par Copilot.

  6. Laissez la page d’alerte ouverte, vous en avez besoin pour la tâche suivante.

Tâche : explorer l’analyse de script

  1. Concentrons-nous sur l’histoire de l’alerte. Sélectionnez Agrandir Icône Agrandir, qui se trouve dans le panneau principal de l’alerte, juste sous la carte intitulée « partycity\jonaw » pour obtenir une meilleure vue de l’arborescence des processus. Dans la vue agrandie, vous commencez à avoir une vue plus claire de la façon dont cet incident est arrivé. De nombreux éléments de ligne indiquent que powershell.exe a exécuté un script. Étant donné que l’utilisateur Jonathan Wolcott est un chargé de compte, il est raisonnable de supposer que l’exécution de scripts PowerShell n’est pas quelque chose que cet utilisateur est susceptible d’effectuer régulièrement.

  2. Développez la première instance de powershell.exe a exécuté un script. Copilot a la possibilité d’analyser les scripts. Sélectionnez Analyser.

    1. Copilot génère une analyse du script et suggère qu’il peut s’agir d’une tentative d’hameçonnage ou qu’il est utilisé pour distribuer du code malveillant basé sur le web.
    2. Sélectionnez Afficher le code. Le code affiche les modules et versions PowerShell imbriqués.

  3. Il y a plusieurs autres éléments qui indiquent que powershell.exe a exécuté un script. Développez celui qui est libellé powershell.exe -EncodedCommand.... Le script d’origine était encodé en base 64, mais Defender l’a décodé pour vous. Pour la version décodée, sélectionnez Analyser. L’analyse met en évidence la sophistication du script utilisé dans cette attaque.

  4. Dans l’analyse de script Copilot, vous avez des boutons pour afficher le code et afficher les techniques MITRE

  5. Sélectionnez le bouton Afficher les techniques MITRE, puis sélectionnez le lien intitulé : T1105 : Transfert d’outils d’entrée

  6. Cela ouvre la page du site MITRE | ATT&CK décrivant la technique en détail.

  7. Fermez la page d’histoire de l’alerte en sélectionnant le X (le X à gauche du panneau Copilot). Utilisez maintenant la barre de navigation pour revenir à l’incident. Sélectionnez Human-operated ransomware attack was launched from a compromised asset (attack disruption).

Tâche : explorer l’analyse de fichier

  1. Vous êtes à nouveau dans la page de l’incident. Dans le résumé de l’alerte, Copilot a identifié le fichier mimikatz.exe, associé au programme malveillant « Mimikatz ». Vous pouvez utiliser la fonctionnalité d’analyse de fichier dans Defender XDR pour voir les autres insights que vous pouvez obtenir. Il existe plusieurs moyens d’accéder aux fichiers. En haut de la page, sélectionnez l’onglet Preuve et réponse.

  2. À gauche de l’écran, sélectionnez Fichiers.

  3. Sélectionnez le premier élément dans la liste avec l’entité nommée mimikatz.exe.

  4. Dans la fenêtre qui s’ouvre, sélectionnez Ouvrir la page Fichier.

  5. Sélectionnez l’icône Copilot (si l’analyse de fichier ne s’ouvre pas automatiquement) et Copilot génère une analyse de fichier.

  6. Passez en revue l’analyse détaillée des fichiers générée par Copilot.

  7. Fermez la page Fichier et utilisez la barre de navigation pour revenir à l’incident. Sélectionnez Human-operated ransomware attack was launched from a compromised asset (attack disruption).

Tâche : passer à l’expérience autonome

Cette tâche est complexe et nécessite l’implication d’analystes plus expérimentés. Dans cette tâche, vous redirigez votre investigation et exécutez la séquence de requêtes d’incident Defender pour que les autres analystes puissent démarrer rapidement l’investigation. Vous épinglez des réponses au tableau d’épinglage et générez un lien vers cette investigation afin de la partager avec des membres plus avancés de l’équipe pour qu’ils participent à l’investigation.

  1. Revenez à la page d’incident en sélectionnant l’onglet Histoire de l’attaque en haut de la page.

  2. Sélectionnez les points de suspension à côté du résumé d’incident de Copilot, puis sélectionnez Ouvrir dans Security Copilot.

  3. Copilot s’ouvre dans l’expérience autonome et affiche le récapitulatif de l’incident. Vous pouvez également exécuter d’autres prompts. Dans ce cas, vous exécutez la séquence de prompts pour un incident. Sélectionnez l’icône de prompticône de prompt.

    1. Sélectionnez la séquence de requêtes Investigation des incidents avec Microsoft 365 Defender.
    2. La page de la séquence de prompts s’ouvre et demande l’ID d’incident Defender. Entrez 185856, puis sélectionnez le bouton Envoyer .
    3. Examinez les informations fournies. Quand vous passez à l’expérience autonome et que vous exécutez la séquence de requêtes, l’investigation est en mesure d’appeler les fonctionnalités d’une solution de sécurité plus large définie, au-delà de Defender XDR, en fonction des plug-ins activés.

  4. Sélectionnez l’icône de boîte icône de carré à côté de l’icône d’épingle pour sélectionner toutes les requêtes et les réponses correspondantes, puis sélectionnez l’icône d’épingle icône épingler pour enregistrer ces réponses dans le tableau d’épinglage.

  5. Le tableau d’épinglage s’ouvre automatiquement. Le tableau d’épinglage contient vos prompts et réponses enregistrés, ainsi qu’un récapitulatif de chacun d’eux. Vous pouvez ouvrir et fermer le tableau d’épinglage en sélectionnant l’icône de tableau d’épinglageicône de tableau d’épinglage.

  6. En haut de la page, sélectionnez Partager pour voir vos options. Quand vous partagez l’incident via un lien ou un e-mail, les personnes de votre organisation qui ont un accès à Copilot peuvent voir cette session. Fermez la fenêtre en sélectionnant le X.

Tâche : Créer et exécuter une requête KQL

Ensuite, nous allons utiliser Copilot pour nous aider à créer une requête KQL (Langage de requête Kusto) à utiliser avec la chasse avancée dans Defender XDR.

  1. Bien que vous soyez toujours en mode Security Copilot autonome, entrez l’invite suivante dans le formulaire d’invite : En fonction de cet incident, crée une requête pour rechercher de manière proactive ce type d’attaque par programme malveillant. Utilise woodgrove-loganalyticsworkspace.

  2. Appuyez sur l’icône Envoyer pour exécuter votre invite. Copilot choisit de convertir du langage naturel en KQL pour un repérage avancé.

  3. Copilot génère une requête KQL et une réponse :

    1. Lisez l’explication de la requête Kusto.

    2. Passez en revue le détail de l'analyse de la requête Kusto. Cela est très utile si vous venez de commencer avec KQL.

  4. Copiez la requête KQL Copilot générée et revenez au portail Defender XDR. Il est recommandé de copier la requête dans le Bloc-notes ou un autre éditeur pour réduire les problèmes de mise en forme.

  5. Defender XDR devrait toujours avoir la section Investigations & réponse ouverte. Sélectionnez Chasse , puis Repérage avancé dans le menu de navigation.

  6. Dans la chasse avancée, sélectionnez la nouvelle requête + pour ouvrir une nouvelle fenêtre et collez la requête KQL générée par Copilot dans le formulaire. Il est recommandé de copier la requête dans le Bloc-notes ou un autre éditeur pour réduire les problèmes de mise en forme.

  7. Après avoir exécuté la requête KQL, vous pouvez revenir à Copilot pour affiner la requête ou sélectionner l’icône Copilot sur la page de requête de chasse avancée pour affiner les requêtes de chasse.

  8. Vous pouvez maintenant fermer l’onglet de navigateur pour quitter la simulation.

Revue

Cet incident est complexe. Il y a une grande quantité d’informations à synthétiser et Copilot permet de récapituler l’incident, les alertes individuelles, les scripts, les appareils, les identités et les fichiers. Les investigations complexes comme celle-ci peuvent nécessiter l’implication de plusieurs analystes. Copilot facilite ce scénario en permettant le partage facile des détails d’une investigation.