Compartir a través de

Investigación de un incidente y entidades sospechosas asociadas

  • Artículo

Durante un incidente, los analistas de seguridad suelen tener la tarea de investigar alertas y recopilar información pertinente asociada al incidente. Realizan análisis de causa principal y correlacionan la información de diversos orígenes para determinar el posible impacto en la organización.

En función del escenario, es posible que los analistas deban analizar registros, examinar malware, archivos o scripts de ingeniería inversa e investigar las direcciones URL que se observaron.

Un componente esencial de una investigación implica comprender qué pasos de corrección tomar y transmitir de forma eficaz descubrimientos significativos para mantener informados a las partes interesadas sobre el estado actual del incidente.

En este ejemplo, Copilot para seguridad se usa para realizar una investigación completa de incidentes mediante la recopilación de información contextual de alertas, el análisis de un script y una dirección URL sospechosos y la generación de una evaluación acompañada de un conjunto de pasos de corrección.

Pasos

  1. Empiece a investigar en Microsoft Defender XDR.

    Copilot para seguridad se integra en Microsoft Defender XDR. En una página de incidente, seleccione el botón Copilot para seguridad para obtener un resumen de un incidente y obtener detalles como la hora y la fecha de inicio de un ataque, la entidad o el recurso que inició el ataque y los recursos implicados en el ataque.

    Captura de pantalla del resumen de incidentes en Microsoft Defender XDR

  2. Analice el script sospechoso.

    Microsoft Defender XDR marca cuando se ejecuta un script sospechoso. Use Copilot para seguridad para explicar lo que está haciendo el script sospechoso.

    Nota:

    Las funciones de análisis de scripts están continuamente en desarrollo. Se está evaluando el análisis de scripts en lenguajes distintos de PowerShell, batch y bash.

    Con un clic de un botón, se muestra una descripción junto con un resumen general del script.

    Captura de pantalla del analizador de scripts en Microsoft Defender XDR

  3. Amplíe la investigación en Copilot para seguridad mediante avisos de lenguaje natural y más complementos.

    Para continuar con la investigación en la experiencia independiente de Copilot para seguridad, seleccione Abrir en Copilot para seguridad.

    Captura de pantalla de cómo investigar seleccionando el botón Abrir en Copilot para seguridad

    La experiencia independiente permite ampliar la investigación mediante avisos de lenguaje natural.

    Captura de pantalla del script analizado que se muestra en Copilot para seguridad

  4. Para obtener una comprensión más completa del incidente, use Copilot para seguridad para recopilar más información sobre la infraestructura sospechosa que se menciona en el script de la línea de comandos.

    Obtenga más detalles sobre la infraestructura que se menciona en el script de línea de comandos.

    Símbolo del sistema usado:

    ¿Qué puede decirme sobre la reputación de los indicadores en el script? ¿Son malintencionadas? Si es así, ¿por qué?

    Respuesta:

    Captura de pantalla de una respuesta Copilot para seguridad

    La respuesta indica que la dirección IP está asociada a un grupo de amenazas conocido. Puede anclar esta respuesta como una parte crítica de la información que se puede usar más adelante.

  5. Use Copilot para seguridad para proporcionar una evaluación del incidente con pruebas complementarias y un conjunto de recomendaciones.

    Símbolo del sistema usado:

    Escriba un informe con la siguiente información. Etiquete el incidente como un verdadero positivo o falso positivo. Proporcione pruebas complementarias para su elección con un nivel de confianza. Resuma las conclusiones de la investigación y concluya con un conjunto de recomendaciones.

    Respuesta:

    Captura de pantalla del resumen de un incidente

    Sugerencia

    Puede exportar la respuesta para futuras referencias. También tiene la opción de compartir toda la sesión con otros analistas. Otros miembros del equipo que revisan el incidente pueden aprovechar el tablero de patillas para obtener un resumen completo de los pasos de investigación, lo que les ahorra un tiempo valioso.

    Captura de pantalla de la placa del pin del informe de incidentes

Conclusión

En este caso de uso, Copilot para seguridad ayudó a realizar una investigación exhaustiva de un incidente. Con el lenguaje natural, los analistas pueden obtener una explicación de lo que está haciendo el script sospechoso y comprobar la reputación de una dirección IP sospechosa.

Además, Copilot para seguridad generó una evaluación a través de un informe de resumen y proporcionó un conjunto de recomendaciones para contener el incidente, que también se pueden usar para las aptitudes de nivel superior.