Freigeben über

Selektierung von Vorfällen basierend auf der Anreicherung durch Threat Intelligence

  • Artikel

Als SOC-Analyst (Security Operations Center) überprüfen Sie Warnungen und Vorfälle, die Ihnen zugewiesen sind. Ihre Pflicht besteht darin, zu ermitteln, ob wirkliche Maßnahmen ergriffen werden müssen. Sie nutzen Informationen in den Warnungen, die dem Incident zugeordnet sind, um Ihren Prozess zu steuern. Häufig sammeln Sie Kontextinformationen, um die nächsten Schritte besser zu verstehen. Mit der Anreicherung der beteiligten Entitäten und dem vollständigen Verständnis der zugrunde liegenden Warnungen bestimmen Sie, ob der Incident eskaliert oder behoben werden soll.

In diesem detaillierten Beispiel verwendet ein Analyst Copilot für Security, um einen Incident schnell zu selektieren. Wenn es sich bei dem Incident um eine echte Bedrohung handelt, besteht das Ziel darin, entweder neue Indikatoren für die Kompromittierung zu sammeln oder Entitäten mit fertiger Intelligenz zu verknüpfen. In diesem Fall wird die Threat Intelligence durch Copilot für Security zusammengefasst, um die Verbindung mit einem bekannten Bedrohungsakteur anzuzeigen und die Schweregradbewertung zu informieren.

Schritte

  1. Beginnen Sie Ihren Tag mit Copilot für Security. Rufen Sie den aktuellen Microsoft Defender XDR Incident ab, der Ihnen zugewiesen ist, und fassen Sie die zugehörigen Warnungen zusammen.

    Verwendete Eingabeaufforderung:

    Was ist der neueste aktive Defender-Incident, der mir zugewiesen wurde? angus.macgregor@contoso.com Fassen Sie es zusammen, einschließlich der zugehörigen Warnungen.

    Antwort:

    Screenshot: Zusammenfassung der Defender-Warnung.

    Sieht nach einem möglichen Diebstahl von Anmeldeinformationen aus. Sie folgen den empfohlenen Aktionen und beginnen, den Incident einzugrenzen und die Warnung zu überprüfen.

  2. Konzentrieren Sie sich auf bestimmte Entitäten, um weitere Informationen zu ihnen zu erhalten.

    Verwendete Eingabeaufforderung:

    Erläutern Sie die Details dieser Warnung, einschließlich der beteiligten Entitäten.

    Antwort:

    Screenshot der Defender-Warnungsanreicherung.

    Nun verfügen Sie über ein Benutzerkonto und ein Gerät, das Sie genauer untersuchen können. In diesem Fall entscheiden Sie sich dafür, mehr über den betroffenen Benutzer zu erfahren, bevor Sie sich mit den Details des Angriffs auf das Gerät vertraut machen.

  3. Weitere Informationen zu diesem Benutzer finden Sie als Anleitung für die nächsten Schritte. Welche Art von Aktionen könnte als Nächstes für eine Person mit ihren Anmeldeinformationen sein?

    Verwendete Eingabeaufforderung:

    Teilen Sie mir mehr über die Benutzerentität mit.

    Antwort:

    Screenshot: Detaillierte Benutzerinformationen.

    Sie finden heraus, dass dieser Benutzer im Vertrieb funktioniert. Wenn ihre Anmeldeinformationen gestohlen wurden, könnte sich dies auf Die Verkaufsdaten auswirken. Sie erinnern sich daran, dass Ihr Sentinel-Arbeitsbereich über eine SAP-Lösung verfügt, um Bedrohungen dort zu erkennen. Ist diese Defender-Warnung mit einem Microsoft Sentinel-Incident verknüpft? Ihre erste Priorität besteht darin, festzustellen, ob verdächtige Aktivitäten dieses Benutzers in SAP aufgetreten sind.

  4. Verwenden Sie eine gespeicherte Huntingabfrage, um Entitäten mit Sentinel-Vorfällen zu korrelieren.

    Sie aktivieren die vorgeschlagene Eingabeaufforderung für das KQL-Plug-In für natürliche Sprache zu Sentinel manuell, um Ihre Abfrage auszuführen.

    Screenshot: Vorgeschlagene Aufforderung für Microsoft Sentinel-Huntingabfragen.

    Tipp

    Wenn die Abfrage leicht angepasst werden muss, bearbeiten Sie die Eingabeaufforderung, und führen Sie sie erneut aus. Für instance hat Ihre Abfrage projiziertIncidentNames, aber dies sind einfach GUIDs. Sie erinnern sich daran, dass es das Feld ist, das Title Sie wirklich wollen. Bearbeiten Sie einfach die Eingabeaufforderung, und wählen Sie die Option Eingabeaufforderung erneut ausführen aus.

    Screenshot: Eingabeaufforderungsoptionen zum Bearbeiten, erneuten Ausführen und Löschen.

    Verwendete angepasste Eingabeaufforderung:

    Führen Sie die folgende KQLSecurityAlert | wobei Entitäten "adele.vance@contoso.com" und TimeGenerated >= datetime(06.10.2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertIds | extend SystemAlertId = tostring(SystemAlertId)) für SystemAlertId | summarize by IncidentNumber, Title

    Antwort:

    Screenshot: Ergebnisse von Microsoft Sentinel-Suchabfragen

    Der SAP-bezogene Incident ist jetzt Ihre erste Priorität.

  5. Pivotieren Sie Ihre Untersuchung auf den SAP-Incident, der dem Benutzer aus der ursprünglichen Warnung zugeordnet ist.

    Verwendete Eingabeaufforderung:

    Erläutern Sie Sentinel-Incident 33805, und geben Sie mir Details zu den Entitäten.

    Antwort:

    Screenshot: Zusammenfassung von Microsoft Sentinel-Incidents

    Von dieser Eingabeaufforderung werden viele Informationen zurückgegeben. Die böswillige IP-Adresse und die mögliche Exfiltration von Finanzdaten zeichnen sich als wichtige Elemente aus, die weiter untersucht werden sollten.

  6. Erfahren Sie mehr über die IP-Adressentität, und untersuchen Sie, wie sie als böswillig eingestuft wurde.

    Verwendete Eingabeaufforderung:

    Geben Sie mir weitere Details zur IP-Adresse und warum ist sie böswillig?

    Antwort:

    Screenshot: Details zur böswilligen IP-Adresse

  7. Erstellen eines Zusammenfassungsberichts

    Sparen Sie Zeit im Eskalationsprozess mit einer Zusammenfassung für Führungskräfte und Incidentreaktionsteams.

    Verwendete Eingabeaufforderung:

    Schreiben Sie einen Bericht, der auf dieser Untersuchung basiert. Führen Sie mit Ihrer Bewertung des ursprünglichen Defender-Vorfalls und ob die Gefahr des Diebstahls von Anmeldeinformationen real ist. Schließen Sie Ihre Bewertung ab, inwiefern diese Bedrohung mit dem Sentinel-Incident in Bezug auf die Datei zusammenhängt, die auf eine böswillige IP-Adresse heruntergeladen wurde.

    Antwort:

    Screenshot: Untersuchungszusammenfassungsbericht

  8. Heften Sie die nützlichsten Eingabeaufforderungsantworten an, und bearbeiten Sie den Sitzungsnamen.

    Sie haben Ihr Ziel erreicht und festgestellt, dass der zugewiesene Microsoft Defender XDR Incident eine echte Bedrohung darstellt. Indem Sie es mit einem Microsoft Sentinel-Incident verknüpfen, der eine exfiltrierte SAP-Datei betrifft, bereiten Sie die Zusammenarbeit mit Ihrem Eskalationsteam vor.

    Screenshot: Pinboard und bearbeiteter Sitzungsname

Zusammenfassung

In diesem Anwendungsfall haben Copilot für Security dabei geholfen, einen zugewiesenen Incident schnell zu selektieren. Sie haben bestätigt, dass die Warnung eine echte Aktion erfordert, indem Sie verwandte Vorfälle untersuchen. Die Suche führte dazu, dass ein Incident mit einer IP-Entität gefunden wurde, die mit abgeschlossenen Informationen über den verwendeten Bedrohungsakteur und das verwendete C2-Tool verknüpft ist. Mit einer kurzen Pinnwand haben Sie die Sitzung und einen zusammenfassenden Bericht geteilt, in dem das Eskalationsteam die Informationen erhält, die es benötigt, um effektiv zu reagieren.