Megosztás a következőn keresztül:

Próbálja ki Microsoft Defender XDR incidensmegoldási képességeket próbakörnyezetben

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

Ez a cikk a 2/2. lépés egy incidens vizsgálatának és megoldásának folyamatában Microsoft Defender XDR próbakörnyezet használatával. A folyamatról további információt az áttekintő cikkben talál.

Miután végrehajtott egy incidensválaszt egy szimulált támadáshoz, íme néhány Microsoft Defender XDR képesség, amelyet érdemes megvizsgálni:

Képesség Leírás
Incidensek rangsorolása Az incidensek várólistájának szűrésével és rendezésével meghatározhatja, hogy mely incidenseket kell a következőként kezelni.
Incidensek kezelése Az incidens tulajdonságainak módosításával biztosíthatja a megfelelő hozzárendelést, címkéket és megjegyzéseket adhat hozzá, valamint megoldhatja az incidenseket.
Automatizált vizsgálat és reagálás Az automatizált vizsgálati és reagálási (AIR) képességek segítségével a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban kezelheti a fenyegetéseket. A Műveletközpont egy "egyetlen ablaktábla" az incidens- és riasztási feladatokhoz, például a függőben lévő szervizelési műveletek jóváhagyásához.
Speciális veszélyforrás-keresés Lekérdezések használatával proaktívan megvizsgálhatja a hálózati eseményeket, és megkeresheti a fenyegetésjelzőket és entitásokat. Speciális veszélyforrás-keresést is használ az incidens kivizsgálása és elhárítása során.

Incidensek rangsorolása

Az incidenssort az Incidensek & riasztásokból > érheti el Az incidensek a Microsoft Defender portál gyors indításakor. Íme egy példa.

Az Incidensek & riasztások szakasz a Microsoft Defender portálon

A Legutóbbi incidensek és riasztások szakasz a kapott riasztások és az elmúlt 24 órában létrehozott incidensek számát ábrázolja.

Az incidensek listájának vizsgálatához és azok hozzárendeléshez és vizsgálathoz való fontosságának rangsorolásához az alábbiakat teheti:

  • Konfigurálhatja a testre szabható oszlopokat (válassza az Oszlopok kiválasztása lehetőséget), hogy betekintést nyújtson az incidens vagy az érintett entitások különböző jellemzőibe. Ez segít megalapozott döntést hozni az incidensek rangsorolásáról elemzés céljából.

  • Szűréssel egy adott forgatókönyvre vagy fenyegetésre összpontosíthat. Ha szűrőket alkalmaz az incidenssorra, az segíthet meghatározni, hogy mely incidensek igényelnek azonnali figyelmet.

Az alapértelmezett incidenssorban válassza a Szűrők lehetőséget a Szűrők panel megjelenítéséhez, amelyből megadhat egy adott incidenskészletet. Íme egy példa.

Az Incidensek & riasztások szakasz Szűrők panelje a Microsoft Defender portalon

További információ: Incidensek rangsorolása.

Incidensek kezelése

Az incidenseket az Incidensek kezelése panelen kezelheti. Íme egy példa.

Az Incidensek & riasztások szakasz Incidensek kezelése panelje a Microsoft Defender portálon

Ezt a panelt az Incidens kezelése hivatkozáson jelenítheti meg a következő helyről:

  • Egy incidens Tulajdonságok panelje az incidenssorban.
  • Incidens összefoglaló oldala.

Az incidensek kezelésének módjai a következők:

  • Az incidens nevének szerkesztése

    Módosítsa az automatikusan hozzárendelt nevet a biztonsági csapat ajánlott eljárásainak megfelelően.

  • Incidenscímkék hozzáadása

    Adjon hozzá címkéket, amelyeket a biztonsági csapat használ az incidensek besorolásához, amelyek később szűrhetők.

  • Az incidens hozzárendelése

    Rendelje hozzá egy felhasználói fióknévhez, amely később szűrhető.

  • Incidens megoldása

    A javítás után zárja be az incidenst.

  • A besorolás és a meghatározás beállítása

    Incidens megoldásakor sorolja be és válassza ki a fenyegetés típusát.

  • Megjegyzések hozzáadása

    A biztonsági csapat ajánlott eljárásai alapján megjegyzéseket fűzhet az előrehaladáshoz, jegyzetekhez és egyéb információkhoz. A megjegyzések teljes előzményei az incidens részletek oldalán található Megjegyzések és előzmények lehetőségből érhetők el.

További információ: Incidensek kezelése.

Automatizált vizsgálat és reagálás vizsgálata a Műveletközponttal

Attól függően, hogy az automatizált vizsgálati és válaszképességek hogyan vannak konfigurálva a szervezet számára, a szervizelési műveleteket a rendszer automatikusan vagy csak a biztonsági üzemeltetési csapat jóváhagyásával hajtja végre. A Műveletközpontban minden függőben lévő vagy befejezett művelet megjelenik, amely felsorolja az eszközök függőben lévő és befejezett szervizelési műveleteit, az e-mail-& az együttműködési tartalmat és az identitásokat egy helyen.

Íme egy példa.

Az egyesített műveletközpont a Microsoft Defender portálon

A Műveletközpontban kiválaszthatja a függőben lévő műveleteket, majd jóváhagyhatja vagy elutasíthatja őket az úszó panelen. Íme egy példa.

A Microsoft Defender portálon egy művelet jóváhagyására vagy elutasítására vonatkozó lehetőségeket megjelenítő panel

Hagyja jóvá (vagy utasítsa el) a függőben lévő műveleteket a lehető leghamarabb, hogy az automatizált vizsgálat időben folytatódjon és befejeződjön.

További információ: Automatizált vizsgálat és reagálás és Műveletközpont.

Speciális veszélyforrás-keresés használata

Megjegyzés:

Mielőtt végigvezetnénk a speciális veszélyforrás-szimuláción, watch az alábbi videót a speciális veszélyforrás-keresési fogalmak megismeréséhez, a portálon való megkereséséhez és a biztonsági műveletekben való segítségére.


Ha a választható fájl nélküli PowerShell-támadásszimuláció valós támadás volt, amely már elérte a hitelesítő adatok hozzáférési fázisát, a vizsgálat bármely pontján használhatja a speciális veszélyforrás-keresést, hogy proaktívan keressen a hálózat eseményeiben és rekordjaiban a generált riasztásokból és az érintett entitásokból már ismert adatok alapján.

A felhasználó- és IP-címfelderítési (SMB)-riasztásban található információk alapján például a IdentityDirectoryEvents táblával megkeresheti az SMB-munkamenetek összes enumerálási eseményét, vagy további felderítési tevékenységeket kereshet más protokollokban Microsoft Defender for Identity adatokban a IdentityQueryEvents táblával.

Veszélyforrás-keresési környezet követelményei

Ehhez a szimulációhoz egyetlen belső postaláda és eszköz szükséges. A tesztüzenet elküldéséhez külső e-mail-fiókra is szüksége lesz.

  1. Ellenőrizze, hogy a bérlő engedélyezte-e Microsoft Defender XDR.

  2. Azonosítsa az e-mailek fogadásához használandó célpostaládát.

    • Ezt a postaládát a Office 365-höz készült Microsoft Defender

    • A 3. követelménynek megfelelő eszköznek hozzá kell férnie ehhez a postaládához

  3. Teszteszköz konfigurálása:

    a. Győződjön meg arról, hogy Windows 10 1903-es vagy újabb verzióját használja.

    b. Csatlakoztassa a teszteszközt a teszttartományhoz.

    c. Kapcsolja be Microsoft Defender víruskeresőt. Ha nem sikerül engedélyeznie Microsoft Defender víruskeresőt, tekintse meg ezt a hibaelhárítási témakört.

    d. Előkészítés a Végponthoz készült Microsoft Defender.

A szimuláció futtatása

  1. Külső e-mail-fiókból küldjön egy e-mailt a veszélyforrás-keresési környezet követelményei szakasz 2. lépésében azonosított postaládába. Csatoljon egy mellékletet, amely bármely meglévő e-mail-szűrési szabályzaton keresztül engedélyezve lesz. Ennek a fájlnak nem kell rosszindulatúnak vagy végrehajthatónak lennie. A javasolt fájltípusok a következők:.pdf, .exe (ha engedélyezett), vagy egy Office-dokumentumtípus, például egy Word fájl.

  2. Nyissa meg az elküldött e-mailt a veszélyforrás-keresési környezet követelményei szakasz 3. lépésében meghatározott módon konfigurált eszközről. Nyissa meg a mellékletet, vagy mentse a fájlt az eszközre.

Veszélyforrás-keresés

  1. Nyissa meg a Microsoft Defender portált.

  2. A navigációs panelen válassza a Veszélyforrás-keresés speciális veszélyforrás-keresés >lehetőséget.

  3. Hozzon létre egy lekérdezést, amely az e-mail-események összegyűjtésével kezdődik.

    1. Válassza az Új lekérdezés lehetőséget>.

    2. A Speciális veszélyforrás-kereséscsoport Email kattintson duplán az E-mailEsemények elemre. Ezt a lekérdezési ablakban kell látnia.

      EmailEvents

    3. Módosítsa a lekérdezés időkeretét az elmúlt 24 órára. Feltéve, hogy a fenti szimuláció futtatásakor küldött e-mail az elmúlt 24 órában volt, ellenkező esetben szükség szerint módosítsa az időkeretet.

    4. Válassza a Lekérdezés futtatása lehetőséget. A próbakörnyezettől függően eltérő eredményeket kaphat.

      Megjegyzés:

      Az adatvisszatérítés korlátozására vonatkozó szűrési lehetőségekről a következő lépésben olvashat.

      A Speciális veszélyforrás-keresés lap a Microsoft Defender portálon

      Megjegyzés:

      A speciális veszélyforrás-keresés táblázatos adatokként jeleníti meg a lekérdezési eredményeket. Az adatokat más formátumtípusokban, például diagramokban is megtekintheti.

    5. Tekintse meg az eredményeket, és ellenőrizze, hogy azonosítani tudja-e a megnyitott e-mailt. Akár két órába is telhet, mire az üzenet megjelenik a speciális veszélyforrás-keresésben. Az eredmények szűkítéséhez hozzáadhatja a where feltételt a lekérdezéshez, így csak azokat az e-maileket keresheti meg, amelyek feladóimailfromdomainként "yahoo.com". Íme egy példa.

      EmailEvents
| where SenderMailFromDomain == "yahoo.com"

    6. Kattintson a lekérdezés eredményként kapott soraira, hogy megvizsgálhassa a rekordot.

      A Speciális veszélyforrás-keresés lap Rekordvizsgálat szakasza a Microsoft Defender portálon

  4. Most, hogy meggyőződett arról, hogy láthatja az e-mailt, adjon hozzá egy szűrőt a mellékletekhez. Koncentráljon a környezetben mellékleteket tartalmazó összes e-mailre. Ebben a szimulációban a bejövő e-mailekre koncentráljon, ne azokra, amelyeket a környezetéből küldenek ki. Távolítsa el a hozzáadott szűrőket az üzenet megkereséséhez és a "| where AttachmentCount > 0 and EmailDirection == "Inbound""

    Az alábbi lekérdezés az eredményt az összes e-mailes esemény kezdeti lekérdezésénél rövidebb listával jeleníti meg:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"

  5. Ezután adja meg az eredményhalmazhoz tartozó melléklet adatait (például: fájlnév, kivonatok). Ehhez csatlakozzon az EmailAttachmentInfo táblához. A csatlakozáshoz használt gyakori mezők ebben az esetben a NetworkMessageId és a RecipientObjectId.

    A következő lekérdezés egy további sort is tartalmaz: "| project-rename EmailTimestamp=Timestamp", amely segít azonosítani, hogy melyik időbélyeg kapcsolódott az e-mailhez és az időbélyegekhez a következő lépésben hozzáadandó fájlműveletekhez.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId

  6. Ezután az EmailAttachmentInfo tábla SHA256 értékével keresse meg az adott kivonathoz tartozó DeviceFileEvents (a végponton végrehajtott fájlműveletek) értékét. Itt a közös mező a melléklet SHA256-kivonata lesz.

    Az eredményként kapott táblázat mostantól tartalmazza a végpont (Végponthoz készült Microsoft Defender) adatait, például az eszköz nevét, a végrehajtott műveletet (ebben az esetben csak a FileCreated eseményekre szűrve), valamint a fájl tárolási helyét. A folyamathoz társított fióknév is szerepelni fog.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"

    Ezzel létrehozott egy lekérdezést, amely azonosítja az összes olyan bejövő e-mailt, amelyben a felhasználó megnyitotta vagy mentette a mellékletet. A lekérdezés finomítását is végezheti, hogy szűrjön adott feladói tartományokra, fájlméretekre, fájltípusokra stb.

  7. A függvények egy speciális illesztési típus, amely lehetővé teszi, hogy több TI-adatot kérjen le egy fájlról, például annak elterjedtségéről, aláírói és kiállítói adatairól stb. A fájl további részleteinek megtekintéséhez használja a FileProfile() függvény bővítési funkcióját:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
| distinct SHA1
| invoke FileProfile()

Észlelés Létrehozás

Miután létrehozott egy olyan lekérdezést, amely azonosítja azokat az információkat, amelyekről riasztást szeretne kapni , ha ezek a jövőben történnek, létrehozhat egy egyéni észlelést a lekérdezésből.

Az egyéni észlelések a beállított gyakoriságnak megfelelően futtatják a lekérdezést, és a lekérdezések eredményei biztonsági riasztásokat hoznak létre a kiválasztott érintett objektumok alapján. Ezek a riasztások az incidensekkel lesznek korrelálva, és az egyik termék által generált egyéb biztonsági riasztásként lesznek osztályozottak.

  1. A lekérdezési lapon távolítsa el a Go veszélyforrás-keresési utasítások 7. lépésében hozzáadott 7. és 8. sorokat, majd kattintson Létrehozás észlelési szabályra.

    A Speciális veszélyforrás-keresés lap Lekérdezés szerkesztése szakasza a Microsoft Defender portálon

    Megjegyzés:

    Ha Létrehozás észlelési szabályra kattint, és szintaktikai hibák vannak a lekérdezésben, az észlelési szabály nem lesz mentve. Ellenőrizze duplán a lekérdezést, és győződjön meg arról, hogy nincsenek hibák.

  2. Töltse ki a szükséges mezőket azokkal az információkkal, amelyek lehetővé teszik a biztonsági csapat számára a riasztás megértését, a riasztás létrehozásának okát és a várt műveleteket.

    A Riasztás részletei lap a Microsoft Defender portálon

    Győződjön meg arról, hogy a mezőket egyértelmű módon tölti ki, hogy a következő felhasználó tájékozott döntést hozhasson erről az észlelési szabályról

  3. Válassza ki a riasztásban érintett entitásokat. Ebben az esetben válassza az Eszköz és postaláda lehetőséget.

    Az Érintett entitások részletei lap a Microsoft Defender portálon

  4. Határozza meg, hogy milyen műveleteket kell végrehajtania, ha a riasztás aktiválódik. Ebben az esetben futtasson víruskereső-vizsgálatot, bár más műveletek is elvégezhetők.

    A műveletek lap a Microsoft Defender portálon

  5. Válassza ki a riasztási szabály hatókörét. Mivel ez a lekérdezés magában foglalja az eszközöket, az eszközcsoportok a Végponthoz készült Microsoft Defender környezetnek megfelelően relevánsak ebben az egyéni észlelésben. Ha olyan egyéni észlelést hoz létre, amely nem tartalmaz eszközöket érintett entitásként, a hatókör nem lesz érvényes.

    A Hatókör lap a Microsoft Defender portálon

    Ebben a próbaüzemben érdemes lehet ezt a szabályt az éles környezetben lévő tesztelési eszközök egy részhalmazára korlátozni.

  6. Válassza a Létrehozás lehetőséget. Ezután válassza az Egyéni észlelési szabályok lehetőséget a navigációs panelen.

    Az Egyéni észlelési szabályok szabályok lehetőség az Microsoft Defender portálon

    Az észlelési szabályokat és a végrehajtás részleteit megjelenítő oldal a Microsoft Defender portálon

    Ezen a lapon kiválaszthatja az észlelési szabályt, amely megnyitja a részleteket tartalmazó oldalt.

    Az aktivált riasztások részleteit megjelenítő oldal a Microsoft Defender portálon

Speciális veszélyforrás-kereséssel kapcsolatos szakértői képzés

A támadó nyomon követése egy webcast-sorozat új biztonsági elemzők és tapasztalt veszélyforrás-vadászok számára. Végigvezeti a speciális veszélyforrás-keresés alapjaion egészen a saját kifinomult lekérdezések létrehozásához.

A kezdéshez tekintse meg a speciális veszélyforrás-kereséssel kapcsolatos szakértői képzések beolvasását ismertető cikket.

Microsoft Defender XDR kiértékelési környezet Létrehozás

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.