De mogelijkheden van Copilot in Microsoft Defender XDR verkennen

  • 30 minuten

In deze oefening onderzoekt u een incident in Microsoft Defender XDR. Als onderdeel van het onderzoek verkent u de belangrijkste functies van Copilot in Microsoft Defender XDR, waaronder incidentoverzicht, apparaatoverzicht, scriptanalyse en meer. U draait ook uw onderzoek naar de zelfstandige ervaring en gebruikt het pinbord als een manier om details van uw onderzoek te delen met uw collega's.

Notitie

De omgeving voor deze oefening is een simulatie die is gegenereerd op basis van het product. Als beperkte simulatie worden koppelingen op een pagina mogelijk niet ingeschakeld en worden invoer op basis van tekst die buiten het opgegeven script valt mogelijk niet ondersteund. Er wordt een pop-upbericht weergegeven met de tekst 'Deze functie is niet beschikbaar in de simulatie'. Wanneer dit gebeurt, selecteert u OK en gaat u verder met de stappen voor de oefening.

Schermopname van het pop-upscherm dat aangeeft dat deze functie niet beschikbaar is in de simulatie.

Oefening

Voor deze oefening bent u aangemeld als Avery Howard en hebt u de rol Van Copilot-eigenaar. Je werkt in Microsoft Defender, gebruikt het nieuwe platform voor geïntegreerde beveiligingsbewerkingen, om toegang te verkrijgen tot de ingesloten Copilot-mogelijkheden in Microsoft Defender XDR. Aan het einde van de oefening draait u naar de zelfstandige ervaring van Microsoft Security Copilot.

Het duurt ongeveer 30 minuten voordat deze oefening is voltooid.

Notitie

Wanneer een labinstructie aanroept om een koppeling naar de gesimuleerde omgeving te openen, is het raadzaam om de koppeling in een nieuw browservenster te openen, zodat u de instructies en de oefeningsomgeving tegelijk kunt bekijken. Hiervoor selecteert u de rechtermuistoets en selecteert u de optie.

Taak: Overzicht van incidenten en begeleide antwoorden verkennen

  1. Open de gesimuleerde omgeving door deze koppeling te selecteren: Microsoft Defender-portal.

  2. Vanuit de Microsoft Defender-portal:

    1. Vouw Onderzoek en antwoord uit.
    2. Vouw Incidenten en waarschuwingen uit.
    3. Selecteer Incidenten.

  3. Selecteer het eerste incident in de lijst, Incident-id: 185856 genaamd door mensen beheerde ransomware-aanval is gestart vanaf een geïnfecteerde asset (aanvalsonderbreking).

  4. Dit incident is complex. Defender XDR biedt veel informatie, maar met 50 waarschuwingen kan het een uitdaging zijn om te weten waar u zich moet concentreren. Aan de rechterkant van de incidentpagina genereert Copilot automatisch een overzicht van incidenten waarmee u de focus en reactie kunt begeleiden. Selecteer Meer weergeven.

    1. In de samenvatting van Copilot wordt beschreven hoe dit incident is ontwikkeld, waaronder initiële toegang, laterale verplaatsing, verzameling, toegang tot referenties en exfiltratie. Het identificeert specifieke apparaten, geeft aan dat het Hulpprogramma PsExec is gebruikt om uitvoerbare bestanden te starten, en meer.
    2. Deze informatie kan worden gebruikt voor verder onderzoek. U verkent enkele van deze taken in de volgende taken.

  5. Schuif omlaag op het Copilot-deelvenster en net onder de samenvatting zijn begeleide antwoorden. Begeleide antwoorden raden acties aan ter ondersteuning van triage, insluiting, onderzoek en herstel.

    1. Het eerste item in de sorteercategorie voor het classificeren van dit incident. Selecteer Classificeren om de opties weer te geven. Bekijk de begeleide antwoorden in de andere categorieën.
    2. Selecteer de knop Status bovenaan de sectie Begeleide antwoorden en filter op Voltooid. Twee voltooide activiteiten worden aangeduid als Aanvalsonderbreking. Automatische aanvalsonderbreking is ontworpen om aanvallen te bevatten die worden uitgevoerd, de impact op de assets van een organisatie te beperken en meer tijd te bieden voor beveiligingsteams om de aanval volledig te verhelpen.

  6. Houd de incidentpagina open. U gebruikt deze in de volgende taak.

Taak: Samenvatting van apparaat en identiteit verkennen

  1. Zoek en selecteer op de incidentpagina (onder het tabblad Aanvalsverhaal) in de sectie Waarschuwingen de waarschuwing met de titel : Verdachte RDP-sessie

  2. Copilot genereert automatisch een samenvatting van waarschuwingen, die een schat aan informatie biedt voor verdere analyse. De samenvatting identificeert bijvoorbeeld verdachte activiteiten, identificeert activiteiten voor gegevensverzameling, toegang tot referenties, malware, detectieactiviteiten en meer.

  3. Er is veel informatie op de pagina, dus om een betere weergave van deze waarschuwing te krijgen, selecteert u Waarschuwingspagina openen. Deze staat op het derde deelvenster op de waarschuwingspagina, naast de incidentgrafiek en onder de titel van de waarschuwing.

  4. Bovenaan de pagina staat een kaart voor het apparaat parkcity-win10v. Selecteer het beletselteken en noteer de opties. Klik op Samenvatten. Copilot genereert een apparaatoverzicht. Het is de moeite waard om te vermelden dat er veel manieren zijn waarop u toegang hebt tot apparaatoverzicht en dat dit op deze manier slechts één handige methode is. In de samenvatting ziet u dat het apparaat een virtuele machine is, de eigenaar van het apparaat wordt geïdentificeerd, de nalevingsstatus wordt weergegeven op basis van Intune-beleid en meer.

  5. Naast de apparaatkaart is een kaart voor de eigenaar van het apparaat. Selecteer parkcity\jonaw. Het derde deelvenster op de pagina wordt bijgewerkt van het weergeven van details van de waarschuwing tot het verstrekken van informatie over de gebruiker. In dit geval , Jonathan Wolcott, een accountmanager, waarvan de ernst van het Insider-risico wordt geclassificeerd als Hoog. Deze details zijn niet verrassend gezien wat u hebt geleerd van het Copilot-incident en samenvattingen van waarschuwingen. Selecteer Summarize om een identiteitsoverzicht te verkrijgen dat is gegenereerd door Copilot.

  6. Houd de waarschuwingspagina geopend. U gebruikt deze in de volgende taak.

Taak: Scriptanalyse verkennen

  1. Laten we ons richten op het waarschuwingsverhaal. Selecteer het Maximaliseren pictogrammaximize icon, dat zich in het hoofdvenster van de melding bevindt, net onder de gelabelde kaart 'partycity\jonaw' voor een beter zicht op de boomstructuur van processen. Vanuit de gemaximaliseerde weergave krijgt u een duidelijker beeld van hoe dit incident tot stand kwam. Veel regelitems geven aan dat powershell.exe een script heeft uitgevoerd. Aangezien de gebruiker Jonathan Wolcott een accountmanager is, is het redelijk om aan te nemen dat het uitvoeren van PowerShell-scripts niet iets is wat deze gebruiker waarschijnlijk regelmatig doet.

  2. Voer de eerste instantie van powershell.exe voerde een script uit uit. Copilot heeft de mogelijkheid om scripts te analyseren. Selecteer Analyseren.

    1. Copilot genereert een analyse van het script en stelt voor dat het een phishingpoging kan zijn of wordt gebruikt om een webexplotatie te leveren.
    2. Selecteer Code weergeven. De code toont geneste PowerShell-modules en versies.

  3. Er zijn verschillende andere items die aangeven powershell.exe een script hebben uitgevoerd. Vouw het label uitpowershell.exe -EncodedCommand.... Het oorspronkelijke script is base 64 gecodeerd, maar Defender heeft dat voor u gedecodeerd. Selecteer Analyseren voor de gedecodeerde versie. De analyse markeert de verfijning van het script dat in deze aanval wordt gebruikt.

  4. In de Copilot Script-analyse hebt u knoppen voor Code weergeven en MITRE-technieken weergeven

  5. Selecteer de knop MITRE Techniques weergeven en selecteer de koppeling met het label T1105: Ingress Tool Transfer

  6. Hiermee opent u de MITRE | ATT&CK-sitepagina met een gedetailleerde beschrijving van de techniek.

  7. Sluit de waarschuwingsberichtpagina door op de X (de X links van het Copilot-deelvenster) te klikken. Gebruik nu de breadcrumb om terug te keren naar het incident. Selecteer Human-operated ransomware aanval werd gelanceerd vanaf een gecompromitteerd middel (aanvalsverstoring).

Taak: Bestandsanalyse verkennen

  1. U bent terug op de incidentpagina. In de waarschuwingssamenvatting identificeerde Copilot het bestand mimikatz.exe, dat is gekoppeld aan de 'Mimikatz'-malware. U kunt de mogelijkheid voor bestandsanalyse in Defender XDR gebruiken om te zien welke andere inzichten u kunt krijgen. Er zijn verschillende manieren om toegang te krijgen tot bestanden. Selecteer boven aan de pagina het tabblad Bewijs en Antwoord .

  2. Selecteer Bestanden aan de linkerkant van het scherm.

  3. Selecteer het eerste item in de lijst met de entiteit met de naam mimikatz.exe.

  4. Selecteer de bestandspagina openen in het venster dat wordt geopend.

  5. Selecteer het Copilot-pictogram (als bestandsanalyse niet automatisch wordt geopend) en Copilot genereert een bestandsanalyse.

  6. Bekijk de gedetailleerde bestandsanalyse die Copilot genereert.

  7. Sluit de pagina Bestand en gebruik de breadcrumb om terug te keren naar het incident. Selecteer Human-operated ransomware aanval werd gelanceerd vanaf een gecompromitteerd middel (aanvalsverstoring).

Taak: Draait naar de zelfstandige ervaring

Deze taak is complex en vereist de betrokkenheid van meer senior analisten. In deze taak verlegt u uw onderzoek en voert u de handleiding voor defender-incidenten uit, zodat de andere analisten een vliegende start hebben voor het onderzoek. U maakt antwoorden vast aan het pinbord en genereert een koppeling naar dit onderzoek dat u kunt delen met meer geavanceerde leden van het team om te helpen onderzoeken.

  1. Ga terug naar de incidentpagina door het tabblad Aanvalsverhaal boven aan de pagina te selecteren.

  2. Selecteer het beletselteken naast de samenvatting van het incident van Copilot en selecteer Openen in Security Copilot.

  3. Copilot wordt geopend in de zelfstandige ervaring en toont de samenvatting van het incident. U kunt ook meer prompts uitvoeren. In dit geval voert u het promptbook uit voor een incident. Selecteer het promptpictogram.

    1. Selecteer het promptbook voor onderzoek naar incidenten van Microsoft 365 Defender .
    2. De promptbookpagina wordt geopend en vraagt om de Defender Incident ID. Voer 185856 in en selecteer vervolgens de knop Verzenden .
    3. Bekijk de verstrekte informatie. Wanneer u draait op de zelfstandige ervaring en het promptbook uitvoert, kan het onderzoek mogelijkheden aanroepen vanuit een bredere beveiligingsoplossing, naast alleen Defender XDR, op basis van de ingeschakelde invoegtoepassingen.

  4. Selecteer het vakpictogram naast het pinpictogram om alle prompts en de bijbehorende antwoorden te selecteren, en selecteer vervolgens het pinpictogram om deze antwoorden op het speldbord op te slaan.

  5. Het speldbord wordt automatisch geopend. Het speldbord bevat uw opgeslagen prompts en antwoorden, samen met een samenvatting van elk item. U kunt het speldbord openen en sluiten door het speldbordpictogram te selecteren.

  6. Selecteer Delen boven aan de pagina om uw opties weer te geven. Wanneer u het incident deelt via een koppeling of e-mail, kunnen personen in uw organisatie met Copilot-toegang deze sessie bekijken. Sluit het venster door de X te selecteren.

Taak: Een KQL-query maken en uitvoeren

Vervolgens gebruiken we Copilot om een KQL-query (Kusto Query Language) te maken voor gebruik met Geavanceerde opsporing in Defender XDR.

  1. Terwijl u nog steeds in standalone Security Copilot bent, voert u de volgende prompt in in het promptformulier: Op basis van dit incident, maak een query om proactief te zoeken naar dit type malware-aanval. Gebruik de woodgrove-loganalyticsworkspace.

  2. Druk op het pictogram Prompt verzenden om uw prompt uit te voeren. Copilot kiest natuurlijke taal voor KQL voor geavanceerde opsporing.

  3. Copilot genereert een KQL-query en een antwoord:

    1. Lees de uitleg van de Kusto-query.

    2. Bekijk het overzicht van de Kusto-query. Dit is erg handig als u net aan de slag gaat met KQL.

  4. Kopieer de KQL-query die Copilot heeft gegenereerd en ga terug naar de Defender XDR-portal. Het is raadzaam om de query eerst naar Kladblok of een andere editor te kopiëren om opmaakproblemen te verminderen.

  5. Defender XDR moet nog steeds de sectie Onderzoeken en antwoorden openen. Selecteer Opsporing en vervolgens Geavanceerde opsporing in het navigatiemenu.

  6. Selecteer in Geavanceerde opsporing de nieuwe query + om een nieuw venster te openen en plak de KQL-query die door Copilot is gegenereerd in het formulier. Het is raadzaam om de query eerst naar Kladblok of een andere editor te kopiëren om opmaakproblemen te verminderen.

  7. Nadat u de KQL-query hebt uitgevoerd, kunt u terugkeren naar Copilot om de query te verfijnen of het Copilot-pictogram te selecteren op de pagina Geavanceerde opsporingsquery's om opsporingsquery's af te stemmen.

  8. U kunt nu het browsertabblad sluiten om de simulatie af te sluiten.

Beoordelen

Dit incident is complex. Er is veel informatie om te verwerken en Copilot helpt bij het samenvatten van het incident, afzonderlijke waarschuwingen, scripts, apparaten, identiteiten en bestanden. Complexe onderzoeken zoals deze vereisen mogelijk de betrokkenheid van verschillende analisten. Copilot faciliteert deze situatie door eenvoudig details van een onderzoek te delen.