Investigación de un incidente y entidades sospechosas asociadas
Durante un incidente, los analistas de seguridad suelen tener la tarea de investigar alertas y recopilar información pertinente asociada al incidente. Realizan análisis de causa principal y correlacionan la información de diversos orígenes para determinar el posible impacto en la organización.
En función del escenario, es posible que los analistas deban analizar registros, examinar malware, archivos o scripts de ingeniería inversa e investigar las direcciones URL que se observaron.
Un componente esencial de una investigación implica comprender qué pasos de corrección tomar y transmitir de forma eficaz descubrimientos significativos para mantener informados a las partes interesadas sobre el estado actual del incidente.
En este ejemplo, Copilot for Security se usa para realizar una investigación completa de incidentes mediante la recopilación de información contextual de alertas, el análisis de un script sospechoso y la generación de una evaluación acompañada de un conjunto de pasos de corrección.
Pasos
Empiece a investigar en XDR de Microsoft Defender.
Copilot for Security está integrado en Microsoft Defender XDR. En una página de incidente, seleccione el botón Copilot para obtener un resumen de un incidente y obtener detalles como la hora y la fecha de inicio de un ataque, la entidad o el recurso que inició el ataque y los recursos implicados en el ataque.
Analice el script sospechoso.
XDR de Microsoft Defender marca cuando se ejecuta un script sospechoso. Use Copilot for Security para explicar lo que está haciendo el script sospechoso.
Nota:
Las funciones de análisis de scripts están continuamente en desarrollo. Se está evaluando el análisis de scripts en lenguajes distintos de PowerShell, batch y bash.
Con un clic de un botón, se muestra una descripción junto con un resumen general del script.
Amplíe la investigación en Copilot for Security mediante avisos de lenguaje natural y más complementos.
Para continuar con la investigación en la experiencia independiente de Copilot for Security, seleccione Abrir en Copilot for Security.
La experiencia independiente permite ampliar la investigación mediante avisos de lenguaje natural.
Para obtener una comprensión más completa del incidente, use Copilot for Security para recopilar más información sobre la actividad sospechosa que se ve en el script de la línea de comandos.
Símbolo del sistema usado:
¿Qué puede decirme sobre la reputación de los indicadores en el script? ¿Son malintencionadas? Si es así, ¿por qué?
Respuesta:
La respuesta indica que los varios indicadores del script están asociados a los actores de amenazas conocidos. Puede anclar esta respuesta como una parte crítica de la información que se puede usar más adelante.
Use Copilot for Security para proporcionar una evaluación del incidente con pruebas complementarias y un conjunto de recomendaciones.
Símbolo del sistema usado:
Resuma las conclusiones de la investigación y concluya con un conjunto de recomendaciones.
Respuesta:
Sugerencia
Puede exportar la respuesta para futuras referencias. También tiene la opción de compartir toda la sesión con otros analistas. Otros miembros del equipo que revisan el incidente pueden aprovechar el tablero de patillas para obtener un resumen completo de los pasos de investigación, lo que les ahorra un tiempo valioso.
Conclusión
En este caso de uso, Copilot for Security ayudó a realizar una investigación exhaustiva de un incidente. Con el lenguaje natural, los analistas pueden obtener una explicación de lo que está haciendo el script sospechoso y comprobar que los indicadores del script están asociados a actores de amenazas conocidos.
Además, Copilot for Security generó una evaluación a través de un informe de resumen y proporcionó un conjunto de recomendaciones para contener el incidente, que también se pueden usar para las aptitudes de nivel superior.