Explorar as funcionalidades do Copilot no Microsoft Defender XDR

  • 30 minutos

Neste exercício, você investigará um incidente no Microsoft Defender XDR. Como parte da investigação, você explora os principais recursos do Copilot no Microsoft Defender XDR, incluindo resumo de incidentes, resumo de dispositivos, análise de scripts e muito mais. Você também ajusta o foco de sua investigação para uma experiência independente e usa o quadro de avisos como uma maneira de compartilhar detalhes de sua investigação com seus colegas.

Observação

O ambiente para este exercício é uma simulação gerada a partir do produto. Como uma simulação limitada, os links em uma página podem não estar habilitados e pode não haver suporte para entradas baseadas em texto que estejam fora do script especificado. Uma mensagem pop-up é exibida informando: "Esse recurso não está disponível dentro da simulação". Quando isso ocorrer, selecione OK e continue as etapas do exercício.

Captura de tela do pop-up indicando que esse recurso não está disponível na simulação.

Exercício

Para este exercício, você estará conectado como Avery Howard e tem a função de proprietário do Copilot. Você trabalha no Microsoft Defender, usando a nova plataforma de operações de segurança unificada, para acessar os recursos do Copilot inseridos no Microsoft Defender XDR. Perto do final do exercício, você passa para a experiência autônoma do Microsoft Security Copilot.

Este exercício deve levar aproximadamente 30 minutos para ser concluído.

Observação

Quando uma instrução de laboratório exigir a abertura de um link para o ambiente simulado, é recomendável que você abra o link em uma nova janela do navegador para que possa exibir as instruções e o ambiente do exercício ao mesmo tempo. Para fazer isso, selecione a tecla direita do mouse e selecione a opção.

Tarefa: Explorar resumo de incidentes e respostas guiadas

  1. Abra o ambiente simulado selecionando este link: Portal do Microsoft Defender.

  2. No portal do Microsoft Defender:

    1. Expanda Investigação e resposta.
    2. Expanda Incidentes e alertas.
    3. Selecione Incidentes.

  3. Selecione o primeiro incidente na lista, ID do incidente: 185856 nomeado Ataque de ransomware operado por humanos foi iniciado a partir de um ativo comprometido (interrupção do ataque).

  4. Este incidente é complexo. O Defender XDR fornece uma grande quantidade de informações, mas com 50 alertas pode ser um desafio saber onde se concentrar. No lado direito da página de incidentes, o Copilot gera automaticamente um Resumo de incidentes que ajuda a orientar seu foco e resposta. Selecione Ver mais.

    1. O resumo de Copilot descreve como esse incidente evoluiu, incluindo acesso inicial, movimento lateral, coleção, acesso a credenciais e exfiltração. Ele identifica dispositivos específicos, indica que a ferramenta PsExec foi usada para inicializar arquivos executáveis e muito mais.
    2. Essas informações podem ser usadas para uma investigação mais aprofundada. Você explora algumas delas em tarefas subsequentes.

  5. Role para baixo no painel do Copilot e logo abaixo do resumo há Respostas guiadas. As respostas guiadas recomendam ações em suporte à triagem, à contenção, à investigação e à correção.

    1. O primeiro item na categoria de triagem é classificar este incidente. Selecione Classificar para exibir as opções. Examine as respostas guiadas nas outras categorias.
    2. Selecione o botão Status na parte superior da seção de respostas guiadas e filtre em Concluído. Duas atividades concluídas estão rotuladas como Interrupção de Ataque. A interrupção automática de ataque foi projetada para conter ataques em andamento, limitar o impacto nos ativos de uma organização e fornecer mais tempo para as equipes de segurança mitigarem totalmente o ataque.

  6. Mantenha a página de incidentes aberta, pois você vai usá-la na próxima tarefa.

Tarefa: Explorar o resumo de dispositivos e identidades

  1. Na página incidente (na guia História de ataque), na seção Alertas, localize e selecione o alerta intitulado: Sessão RDP suspeita

  2. O Copilot gera automaticamente um Resumo do alerta, que fornece uma grande quantidade de informações para análise adicional. Por exemplo, o resumo identifica atividades suspeitas, de coleta de dados, acesso a credenciais, malware, atividades de descoberta e muito mais.

  3. Há muitas informações na página, portanto, para obter uma visão melhor desse alerta, selecione Abrir página de alerta. Ele está no terceiro painel na página de alertas, ao lado do grafo de incidentes e abaixo do título do alerta.

  4. Na parte superior da página, há um cartão para o dispositivo parkcity-win10v. Selecione as reticências e anote as opções. Selecione Resumir. O Copilot gera um Resumo do dispositivo. É importante notar que há várias maneiras de acessar o resumo do dispositivo e esta é apenas uma forma conveniente. O resumo mostra que o dispositivo é uma VM, identifica o proprietário do dispositivo, mostra seu status de conformidade em relação às políticas do Intune e muito mais.

  5. Ao lado do cartão do dispositivo, há um cartão para o proprietário do dispositivo. Selecione parkcity\jonaw. O terceiro painel na página atualiza de mostrar detalhes do alerta para fornecer informações sobre o usuário. Neste caso, Jonathan Wolcott, um executivo de contas, cuja gravidade de risco interno é classificada como Alta. Esses detalhes não são surpreendentes, dado o que você aprendeu com o incidente do Copilot e os resumos de alertas. Selecione Resumo para obter um resumo de identidade gerado pelo Copilot.

  6. Mantenha a página de alerta aberta, você vai usá-la na próxima tarefa.

Tarefa: Explorar a análise de script

  1. Vamos nos concentrar na história do alerta. Selecione Maximizar ícone de maximizar, localizado no painel principal do alerta, logo abaixo do cartão rotulado como "partycity\jonaw" para obter uma visão melhor da árvore do processo. Do modo de exibição maximizado, você começa a ter uma visão mais clara de como esse incidente ocorreu. Muitos itens de linha indicam que powershell.exe executou um script. Como o usuário Jonathan Wolcott é um executivo de conta, é razoável supor que executar scripts do PowerShell não é algo que esse usuário provavelmente esteja fazendo regularmente.

  2. Expanda a primeira instância de powershell.exe executou um script. O Copilot tem a capacidade de analisar scripts. Selecione Analisar.

    1. O Copilot gera uma análise do script e sugere que ele pode ser uma tentativa de phishing ou usado para entregar um exploit baseado na web.
    2. Selecione Mostrar código. O código mostra módulos aninhados do PowerShell e suas versões.

  3. Há vários outros itens que indicam que powershell.exe executou um script. Expanda aquele rotulado powershell.exe -EncodedCommand.... O script original foi codificado em base 64, mas o Defender decodificou isso para você. Para a versão decodificada, selecione Analisar. A análise destaca a sofisticação do script usado neste ataque.

  4. Na análise Script do Copilot, você tem botões para mostrar código e mostrar técnicas MITRE

  5. Selecione o botão Mostrar Técnicas do MITRE e selecione o link rotulado: T1105: Transferência de ferramenta de entrada

  6. Isso abre a página do site MITRE | ATT&CK descrevendo a técnica em detalhes.

  7. Feche a página de história do alerta selecionando o X (o X à esquerda do painel do Copilot). Agora use a trilha para retornar ao incidente. Selecione O ataque de ransomware operado por humanos foi iniciado a partir de um ativo comprometido (interrupção de ataque).

Tarefa: Explorar a análise de arquivo

  1. Você está de volta à página de incidentes. No resumo do alerta, Copilot identificou o arquivo mimikatz.exe, que está associado ao malware 'Mimikatz'. Você pode usar a funcionalidade de análise de arquivo no Defender XDR para ver quais outros insights você pode obter. Há várias maneiras de acessar arquivos. Na parte superior da página, selecione a guia Evidências e Resposta.

  2. No lado esquerdo da tela, selecione Arquivos.

  3. Selecione o primeiro item da lista com a entidade chamada mimikatz.exe.

  4. Na janela que é aberta, selecione Abrir página de arquivo.

  5. Selecione o ícone copilot (se a análise de arquivo não for aberta automaticamente) e o Copilot gerará uma análise de arquivo.

  6. Examine a análise de arquivo detalhada gerada pelo Copilot.

  7. Feche a página Arquivo e use a trilha para retornar ao incidente. Selecione O ataque de ransomware operado por humanos foi iniciado a partir de um ativo comprometido (interrupção de ataque).

Tarefa: Mover para a experiência autônoma

Essa tarefa é complexa e requer o envolvimento de analistas mais experientes. Nesta tarefa, você dinamizará sua investigação e executará o promptbook de incidentes do Defender para que os outros analistas tenham um início em execução na investigação. Você fixa respostas ao quadro informativo e gera um link para essa investigação, que você pode compartilhar com membros mais avançados da equipe para ajudar a investigar.

  1. Retorne à página de incidentes selecionando a guia História do ataque na parte superior da página.

  2. Selecione as reticências ao lado do resumo do incidente do Copilot e selecione Abrir no Security Copilot.

  3. O Copilot é aberto na experiência autônoma e mostra o resumo do incidente. Você também pode executar mais prompts. Nesse caso, você executa o promptbook para um incidente. Selecione o ícone de promptícone de prompt.

    1. Selecione o promptbook de Investigação de incidentes do Microsoft 365 Defender .
    2. A página do promptbook é aberta e solicita a ID de Incidente do Defender. Insira 185856 e selecione o botão Enviar.
    3. Examine as informações fornecidas. Quando você alterna para a experiência autônoma e executa o livro de comandos, a investigação é capaz de invocar, com base nos plug-ins habilitados, recursos de uma solução de segurança mais abrangente, além do Defender XDR.

  4. Selecione o ícone de caixa ícone de caixa ao lado do ícone de fixação para selecionar todas as solicitações e as respostas correspondentes e, em seguida, selecione o ícone de fixação ícone de fixação para salvar essas respostas no painel de fixação.

  5. O painel de fixação é aberto automaticamente. O quadro de fixação contém os prompts e respostas salvos, juntamente com um resumo de cada um deles. Você pode abrir e fechar o quadro de fixação selecionando o ícone do quadro de fixação ícone do quadro de fixação.

  6. Na parte superior da página, selecione Compartilhar para exibir suas opções. Quando você compartilha o incidente por meio de um link ou email, as pessoas em sua organização com acesso Copilot podem exibir esta sessão. Feche a janela selecionando o X.

Tarefa: Criar e executar uma consulta KQL

Em seguida, usaremos o Copilot para nos ajudar a criar uma consulta KQL (Linguagem de Consulta Kusto) para usar com a busca avançada no Defender XDR.

  1. Enquanto ainda estiver no Copilot de Segurança autônomo, insira a solicitação a seguir no formulário de solicitação: Com base nesse incidente, crie uma consulta para procurar proativamente esse tipo de ataque de malware. Use o woodgrove-loganalyticsworkspace.

  2. Clique no ícone Enviar solicitação para executar a solicitação. O Copilot escolhe a linguagem natural para KQL para a busca avançada.

  3. O Copilot gera uma consulta KQL e uma resposta:

    1. Leia a explicação da consulta Kusto.

    2. Examine o detalhamento da consulta Kusto. Isso é muito útil se você estiver apenas começando a usar o KQL.

  4. Copie a consulta KQL gerada pelo Copilot e retorne ao portal do Defender XDR. É recomendável que você copie a consulta para o Bloco de Notas ou outro editor primeiro para reduzir os problemas de formatação.

  5. O Defender XDR ainda deve ter a seção Investigações e Respostas aberta. Selecione Busca e , em seguida, Busca avançada no menu de navegação.

  6. Na busca avançada, selecione a nova consulta + para abrir uma nova janela e cole a consulta KQL gerada pelo Copilot no formulário. É recomendável que você copie a consulta para o Bloco de Notas ou outro editor primeiro para reduzir os problemas de formatação.

  7. Depois de executar a consulta KQL, você pode retornar ao Copilot para refinar a consulta ou selecionar o ícone copilot na página de consulta de busca avançada para ajustar as consultas de busca.

  8. Agora você pode fechar a guia do navegador para sair da simulação.

Revisão

Este incidente é complexo. Há uma grande quantidade de informações para digerir, e o Copilot ajuda a resumir o incidente, alertas individuais, scripts, dispositivos, identidades e arquivos. Investigações complexas como esta podem exigir o envolvimento de vários analistas. Copilot facilita essa situação compartilhando facilmente detalhes de uma investigação.