Share via

Examiner un incident et les entités suspectes associées

  • Article

Pendant un incident, les analystes de sécurité sont généralement chargés d’examiner les alertes et de collecter des informations pertinentes associées à l’incident. Ils effectuent des analyses de la cause racine et mettent en corrélation les informations provenant d’une gamme de sources pour déterminer l’impact potentiel sur l’organisation.

Selon le scénario, les analystes peuvent avoir besoin d’analyser les journaux, d’examiner les programmes malveillants, les fichiers ou les scripts d’ingénierie inverse, et d’examiner les URL observées.

L’un des composants essentiels d’une enquête consiste à comprendre les étapes de correction à prendre et à transmettre efficacement les découvertes importantes afin de tenir les parties prenantes informées de l’état actuel de l’incident.

Dans cet exemple, Copilot pour la sécurité est utilisé pour effectuer une investigation complète des incidents en collectant des informations contextuelles à partir d’alertes, en analysant un script et une URL suspects, et en générant une évaluation accompagnée d’un ensemble d’étapes de correction.

Étapes

  1. Commencez à enquêter dans Microsoft Defender XDR.

    Copilot pour la sécurité est intégré à Microsoft Defender XDR. À partir d’une page d’incident, sélectionnez le bouton Copilot pour la sécurité pour obtenir un résumé d’un incident et obtenir des détails tels que l’heure et la date de début d’une attaque, l’entité ou la ressource qui a démarré l’attaque et les ressources impliquées dans l’attaque.

    Capture d’écran du résumé de l’incident dans Microsoft Defender XDR

  2. Analysez le script suspect.

    Microsoft Defender XDR indicateurs lorsqu’un script suspect s’exécute. Utilisez Copilot pour la sécurité pour expliquer ce que fait le script suspect.

    Remarque

    Les fonctions d’analyse de script sont en développement en continu. L’analyse des scripts dans d’autres langages que PowerShell, par lot et, par bash est en cours d’évaluation.

    En un clic sur un bouton, une description s’affiche, ainsi qu’un résumé global du script.

    Capture d’écran de l’analyseur de script dans Microsoft Defender XDR

  3. Étendez l’enquête dans Copilot pour la sécurité à l’aide d’invites en langage naturel et d’autres plug-ins.

    Poursuivez votre enquête dans l’expérience autonome de Copilot pour la sécurité en sélectionnant Ouvrir dans Copilot pour la sécurité.

    Capture d’écran montrant comment examiner en sélectionnant le bouton Ouvrir dans Copilot pour la sécurité

    L’expérience autonome vous permet d’étendre l’investigation à l’aide d’invites en langage naturel.

    Capture d’écran du script analysé affiché dans Copilot pour la sécurité

  4. Pour obtenir une compréhension plus complète de l’incident, utilisez Copilot pour la sécurité pour collecter plus d’informations sur l’infrastructure suspecte mentionnée dans le script de ligne de commande.

    Obtenez plus d’informations sur l’infrastructure mentionnée dans le script de ligne de commande.

    Invite utilisée :

    Que pouvez-vous me dire sur la réputation des indicateurs dans le script ? Sont-ils malveillants ? Si oui, pourquoi ?

    Réponse :

    Capture d’écran d’une réponse Copilot pour la sécurité

    La réponse indique que l’adresse IP est associée à un groupe de menaces connu. Vous pouvez épingler cette réponse comme élément d’information critique qui peut être utilisé ultérieurement.

  5. Utilisez Copilot pour la sécurité pour fournir une évaluation de l’incident avec des preuves de prise en charge et un ensemble de recommandations.

    Invite utilisée :

    Écrivez un rapport avec les informations suivantes. Étiqueter l’incident comme un vrai positif ou un faux positif. Fournissez une preuve de prise en charge de votre choix avec un niveau de confiance. Récapitulez les conclusions de l’enquête et concluez avec un ensemble de recommandations.

    Réponse :

    Capture d’écran du résumé d’un incident

    Conseil

    Vous pouvez exporter la réponse pour vous y référer ultérieurement. Vous avez également la possibilité de partager l’intégralité de la session avec d’autres analystes. Les autres membres de l’équipe qui examinent l’incident peuvent tirer parti du tableau d’épingle pour obtenir un résumé complet des étapes d’investigation, ce qui leur fait gagner un temps précieux.

    Capture d’écran du tableau d’épingle du rapport d’incident

Conclusion

Dans ce cas d’usage, Copilot pour la sécurité aidé à mener une investigation approfondie d’un incident. En langage naturel, les analystes peuvent obtenir une explication de ce que fait le script suspect et vérifier la réputation d’une adresse IP suspecte.

En outre, Copilot pour la sécurité généré une évaluation par le biais d’un rapport de synthèse et fourni un ensemble de recommandations pour contenir l’incident, qui peuvent également être utilisées pour mettre à niveau les compétences.