Share via

Untersuchen eines Vorfalls und zugeordneter verdächtiger Entitäten

  • Artikel

Während eines Incidents werden Sicherheitsanalysten in der Regel damit beauftragt, Warnungen zu untersuchen und relevante Informationen zu sammeln, die mit dem Incident verknüpft sind. Sie führen Ursachenanalysen durch und korrelieren Informationen aus einer Reihe von Quellen, um die potenziellen Auswirkungen auf die Organisation zu bestimmen.

Je nach Szenario müssen Analysten möglicherweise Protokolle analysieren, Schadsoftware untersuchen, Dateien oder Skripts zurückentwickeln und URLs untersuchen, die beobachtet wurden.

Ein wesentlicher Bestandteil einer Untersuchung besteht darin, zu verstehen, welche Abhilfemaßnahmen erforderlich sind, und die effektive Vermittlung wichtiger Erkenntnisse, um die Beteiligten über den aktuellen Stand des Vorfalls auf dem Laufenden zu halten.

In diesem Beispiel wird Copilot für Security verwendet, um eine umfassende Untersuchung eines Vorfalls durchzuführen, indem Kontextinformationen aus Warnmeldungen gesammelt, ein verdächtiges Skript und eine verdächtige URL analysiert und eine Bewertung zusammen mit einer Reihe von Abhilfemaßnahmen erstellt werden.

Schritte

  1. Beginnen Sie mit der Untersuchung in Microsoft Defender XDR.

    Copilot für Security ist in Microsoft Defender XDR integriert. Wählen Sie auf einer Vorfallseite die Schaltfläche Copilot für Security aus, um eine Zusammenfassung eines Incidents und Details wie Uhrzeit und Datum des Beginns eines Angriffs, die Entität oder Ressource, die den Angriff gestartet hat, und die am Angriff beteiligten Ressourcen abzurufen.

    Screenshot der Vorfallzusammenfassung in Microsoft Defender XDR

  2. Verdächtiges Skript analysieren.

    Microsoft Defender XDR flags, wenn ein verdächtiges Skript ausgeführt wird. Verwenden Sie Copilot für Security, um zu erklären, was das verdächtige Skript tut.

    Hinweis

    Skriptanalysefunktionen befinden sich ständig in der Entwicklung. Die Analyse von Skripts in anderen Sprachen als PowerShell, Batch und Bash wird ausgewertet.

    Mit einem Klick auf eine Schaltfläche wird eine Beschreibung zusammen mit einer Gesamtzusammenfassung des Skripts angezeigt.

    Screenshot des Skriptanalysetools in Microsoft Defender XDR

  3. Erweitern Sie die Untersuchung in Copilot für Security mithilfe von Prompts in natürlicher Sprache und weiteren Plug-Ins.

    Setzen Sie Ihre Untersuchung in der eigenständigen Benutzeroberfläche von Copilot für Security fort, indem Sie In Copilot für Security öffnen auswählen.

    Screenshot: Untersuchen durch Auswählen der Schaltfläche

    Mit der eigenständigen Benutzeroberfläche können Sie die Untersuchung mithilfe von Eingabeaufforderungen in natürlicher Sprache erweitern.

    Screenshot des analysierten Skripts in Copilot für Security

  4. Um ein umfassenderes Verständnis des Incidents zu erhalten, verwenden Sie Copilot für Security, um weitere Informationen zur verdächtigen Infrastruktur zu sammeln, die im Befehlszeilenskript erwähnt wird.

    Weitere Informationen zur Infrastruktur, die im Befehlszeilenskript erwähnt wird.

    Verwendeter Prompt:

    Was können Sie zur Bekanntheit der Indikatoren im Skript sagen? Sind sie schädlich? Wenn ja, warum?

    Antwort:

    Screenshot einer Copilot für Security Antwort

    Die Antwort gibt an, dass die IP-Adresse einer bekannten Bedrohungsgruppe zugeordnet ist. Sie können diese Antwort als wichtige Informationen anheften, die später verwendet werden können.

  5. Verwenden Sie Copilot für Security, um eine Bewertung des Vorfalls mit unterstützenden Beweisen und einer Reihe von Empfehlungen bereitzustellen.

    Verwendeter Prompt:

    Schreiben Sie einen Bericht mit den folgenden Informationen. Bezeichnen Sie den Vorfall als wahres oder falsch positives Ergebnis. Stellen Sie unterstützende Beweise für Ihre Wahl mit einem Konfidenzniveau bereit. Fassen Sie die Ergebnisse der Untersuchung zusammen, und schließen Sie mit einer Reihe von Empfehlungen ab.

    Antwort:

    Screenshot der Zusammenfassung eines Incidents

    Tipp

    Sie können die Antwort zur späteren Referenz exportieren. Sie haben auch die Möglichkeit, die gesamte Sitzung mit anderen Analysten zu teilen. Andere Teammitglieder, die den Vorfall überprüfen, können das Pinboard nutzen, um eine vollständige Zusammenfassung der Untersuchungsschritte zu erhalten, was ihnen wertvolle Zeit spart.

    Screenshot: Pinboard für Incidentberichte

Zusammenfassung

In diesem Anwendungsfall half Copilot für Security, eine gründliche Untersuchung eines Vorfalls durchzuführen. Mit natürlicher Sprache können Analysten eine Erklärung erhalten, was das verdächtige Skript tut, und die Bekanntheit einer verdächtigen IP-Adresse überprüfen.

Darüber hinaus Copilot für Security eine Bewertung über einen zusammenfassenden Bericht generiert und eine Reihe von Empfehlungen zur Eindämmung des Incidents bereitgestellt, die auch verwendet werden können, um die Fähigkeiten zu verbessern.