Freigeben über

Untersuchen eines Vorfalls und zugeordneter verdächtiger Entitäten

  • Artikel

Während eines Incidents werden Sicherheitsanalysten in der Regel damit beauftragt, Warnungen zu untersuchen und relevante Informationen zu sammeln, die mit dem Incident verknüpft sind. Sie führen Ursachenanalysen durch und korrelieren Informationen aus einer Reihe von Quellen, um die potenziellen Auswirkungen auf die Organisation zu bestimmen.

Je nach Szenario müssen Analysten möglicherweise Protokolle analysieren, Schadsoftware untersuchen, Dateien oder Skripts zurückentwickeln und URLs untersuchen, die beobachtet wurden.

Ein wesentlicher Bestandteil einer Untersuchung besteht darin, zu verstehen, welche Abhilfemaßnahmen erforderlich sind, und die effektive Vermittlung wichtiger Erkenntnisse, um die Beteiligten über den aktuellen Stand des Vorfalls auf dem Laufenden zu halten.

In diesem Beispiel wird Copilot for Security verwendet, um eine umfassende Untersuchung von Vorfällen durchzuführen, indem Kontextinformationen aus Warnungen gesammelt, ein verdächtiges Skript analysiert und eine Bewertung erstellt wird, die von einer Reihe von Korrekturschritten begleitet wird.

Schritte

  1. Beginnen Sie mit der Untersuchung in Microsoft Defender XDR.

    Copilot für Security ist in Microsoft Defender XDR integriert. Wählen Sie auf einer Incidentseite die Schaltfläche Copilot aus, um eine Zusammenfassung eines Incidents zu erhalten und Details wie Uhrzeit und Datum des Beginns eines Angriffs, die Entität oder Ressource, die bzw. die den Angriff gestartet hat, und die am Angriff beteiligten Ressourcen abzurufen.

    Screenshot der Vorfallzusammenfassung in Microsoft Defender XDR

  2. Verdächtiges Skript analysieren.

    Microsoft Defender XDR-Flags, wenn ein verdächtiges Skript ausgeführt wird. Verwenden Sie Copilot für Security, um zu erklären, was das verdächtige Skript tut.

    Hinweis

    Skriptanalysefunktionen befinden sich ständig in der Entwicklung. Die Analyse von Skripts in anderen Sprachen als PowerShell, Batch und Bash wird ausgewertet.

    Mit einem Klick auf eine Schaltfläche wird eine Beschreibung zusammen mit einer Gesamtzusammenfassung des Skripts angezeigt.

    Screenshot des Skriptanalysetools in Microsoft Defender XDR

  3. Erweitern Sie die Untersuchung in Copilot für Security mithilfe von Prompts in natürlicher Sprache und weiteren Plug-Ins.

    Setzen Sie Ihre Untersuchung in der eigenständigen Benutzeroberfläche von Copilot für Security fort, indem Sie In Copilot für Security öffnen auswählen.

    Screenshot: Untersuchen durch Auswählen der Schaltfläche

    Mit der eigenständigen Benutzeroberfläche können Sie die Untersuchung mithilfe von Eingabeaufforderungen in natürlicher Sprache erweitern.

    Screenshot des analysierten Skripts in Copilot for Security

  4. Um ein umfassenderes Verständnis des Vorfalls zu erhalten, verwenden Sie Copilot for Security, um weitere Informationen zu den verdächtigen Aktivitäten zu sammeln, die im Befehlszeilenskript erkannt werden.

    Verwendeter Prompt:

    Was können Sie zur Bekanntheit der Indikatoren im Skript sagen? Sind sie schädlich? Wenn ja, warum?

    Antwort:

    Screenshot einer Copilot for Security-Antwort

    Die Antwort gibt an, dass die verschiedenen Indikatoren im Skript bekannten Bedrohungsakteuren zugeordnet sind. Sie können diese Antwort als wichtige Informationen anheften, die später verwendet werden können.

  5. Verwenden Sie Copilot für Security, um eine Bewertung des Vorfalls mit unterstützenden Beweisen und einer Reihe von Empfehlungen bereitzustellen.

    Verwendeter Prompt:

    Fassen Sie die Ergebnisse der Untersuchung zusammen, und schließen Sie mit einer Reihe von Empfehlungen ab.

    Antwort:

    Screenshot der Zusammenfassung eines Incidents

    Tipp

    Sie können die Antwort zur späteren Referenz exportieren. Sie haben auch die Möglichkeit, die gesamte Sitzung mit anderen Analysten zu teilen. Andere Teammitglieder, die den Vorfall überprüfen, können das Pinboard nutzen, um eine vollständige Zusammenfassung der Untersuchungsschritte zu erhalten, was ihnen wertvolle Zeit spart.

    Screenshot: Pinboard für Incidentberichte

Zusammenfassung

In diesem Anwendungsfall half Copilot for Security bei der durchführung einer gründlichen Untersuchung eines Vorfalls. Mit natürlicher Sprache können Analysten eine Erklärung erhalten, was das verdächtige Skript tut, und überprüfen, ob die Indikatoren im Skript bekannten Bedrohungsakteuren zugeordnet sind.

Darüber hinaus hat Copilot for Security eine Bewertung über einen zusammenfassenden Bericht generiert und eine Reihe von Empfehlungen zur Eindämmung des Incidents bereitgestellt, die auch verwendet werden können, um die Fähigkeiten zu verbessern.