Trier les incidents en fonction de l’enrichissement à partir du renseignement sur les menaces

En tant qu’analyste soc (Security Operations Center), vous passez en revue les alertes et les incidents qui vous sont attribués. Votre devoir est de déterminer si des mesures réelles doivent être prises. Vous tirez parti des informations contenues dans les alertes associées à l’incident pour guider votre processus. Vous collectez souvent des informations contextuelles pour mieux comprendre les étapes suivantes. Grâce à l’enrichissement des entités impliquées et à la compréhension complète des alertes sous-jacentes, vous déterminez s’il faut remonter ou corriger l’incident.

Dans cet exemple détaillé, un analyste utilise Copilot pour la sécurité pour trier rapidement un incident. Si l’incident est une menace réelle, l’objectif est de recueillir de nouveaux indicateurs de compromission ou de lier des entités à des renseignements terminés. Dans ce cas, le renseignement sur les menaces est résumé par Copilot pour la sécurité pour montrer la connexion à un acteur de menace connu et informer l’évaluation de la gravité.

Étapes

1. Commencez votre journée avec Copilot pour la sécurité. Récupérez la dernière Microsoft Defender XDR incident qui vous est attribuée et résumez les alertes qui lui sont associées.

   Invite utilisée :

   Quel est le dernier incident Defender actif qui m’est affecté ? angus.macgregor@contoso.com Résumez-le, y compris les alertes qui lui sont associées.

   Réponse :

   

   Ressemble à un éventuel vol d’informations d’identification. Vous suivez les actions recommandées et commencez à définir l’étendue de l’incident et à valider l’alerte.

2. Concentrez-vous sur des entités spécifiques pour obtenir plus d’informations sur celles-ci.

   Invite utilisée :

   Développez les détails de cette alerte, y compris les entités impliquées.

   Réponse :

   

   Vous disposez maintenant d’un compte d’utilisateur et d’un appareil à examiner plus en détail. Dans ce cas, vous choisissez de mieux comprendre l’utilisateur concerné avant d’explorer les détails de l’attaque sur l’appareil.

3. Obtenez plus d’informations sur cet utilisateur pour guider les étapes suivantes. Quel type d’actions peut être le prochain pour une personne disposant de ses informations d’identification ?

   Invite utilisée :

   En savoir plus sur l’entité utilisateur.

   Réponse :

   

   Vous découvrez que cet utilisateur travaille dans Ventes. Si ses informations d’identification ont été volées, cela peut affecter les données de ventes. Vous n’oubliez pas que votre espace de travail Sentinel dispose d’une solution SAP pour vous aider à y détecter les menaces. Cette alerte Defender est-elle liée à un incident Microsoft Sentinel ? Votre première priorité est de déterminer s’il y a eu une activité suspecte de la part de cet utilisateur dans SAP.

4. Utilisez une requête de repérage enregistrée pour corréler des entités avec des incidents Sentinel.

   Vous activez manuellement l’invite suggérée pour que le plug-in KQL du langage naturel pour Sentinel exécute votre requête.

   

   Conseil

   Si la requête doit être légèrement ajustée, modifiez l’invite et réexécutez-la. Par instance, votre requête a projeté IncidentNames, mais il s’agit simplement de GUID. Tu te souviens que c’est le Title domaine que tu veux vraiment. Modifiez simplement l’invite et sélectionnez l’option Réexécuter l’invite .

   

   Invite ajustée utilisée :

   Exécutez le KQLSecurityAlert | where Entities has « adele.vance@contoso.com » et TimeGenerated >= datetime(10/06/2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertIds | extend SystemAlertId = tostring(SystemAlertId)) on SystemAlertId | summarize by IncidentNumber, Title

   Réponse :

   

   L’incident lié à SAP est maintenant votre première priorité.

5. Faites pivoter votre investigation sur l’incident SAP associé à l’utilisateur à partir de l’alerte d’origine.

   Invite utilisée :

   Développez l’incident Sentinel 33805 et donnez-moi des détails sur les entités.

   Réponse :

   

   Un grand nombre d’informations sont retournées à partir de cette invite. L’adresse IP malveillante et l’exfiltration possible de données financières se distinguent comme des éléments importants à examiner plus en détail.

6. Apprenez-en davantage sur l’entité d’adresse IP et examinez la façon dont elle a été jugée malveillante.

   Invite utilisée :

   Donnez-moi plus de détails sur l’adresse IP et pourquoi est-elle malveillante ?

   Réponse :

   

7. Créer un rapport de synthèse

   Gagnez du temps dans le processus d’escalade avec un résumé pour les équipes de direction et de réponse aux incidents.

   Invite utilisée :

   Rédiger un rapport basé sur cette enquête. Menez votre évaluation de l’incident Defender d’origine et indiquez si la menace de vol d’informations d’identification est réelle. Terminez votre évaluation de la façon dont cette menace est liée à l’incident Sentinel concernant le fichier téléchargé sur une adresse IP malveillante.

   Réponse :

   

8. Épinglez les réponses d’invite les plus utiles et modifiez le nom de la session.

   Vous avez atteint votre objectif et déterminé que l’incident de Microsoft Defender XDR affecté est une menace réelle. En le liant à un incident Microsoft Sentinel impliquant un fichier SAP exfiltré, vous vous préparez à collaborer avec votre équipe d’escalade.

   

Conclusion

Dans ce cas d’usage, Copilot pour la sécurité permis de trier rapidement un incident affecté. Vous avez confirmé que l’alerte nécessitait une action réelle en examinant les incidents associés. La chasse a abouti à la recherche d’un incident avec une entité IP liée à des informations terminées sur l’acteur de menace et l’outil C2 utilisé. Avec un tableau d’épingle succinct, vous avez partagé la session et un rapport de synthèse donnant à l’équipe d’escalade les informations dont elle a besoin pour répondre efficacement.