Analizzare un evento imprevisto e le entità sospette associate
Durante un evento imprevisto, gli analisti della sicurezza hanno in genere il compito di analizzare gli avvisi e raccogliere informazioni pertinenti associate all'evento imprevisto. Eseguono analisi delle cause profonde e correlano le informazioni provenienti da diverse origini per determinare il potenziale impatto sull'organizzazione.
A seconda dello scenario, gli analisti potrebbero dover analizzare i log, esaminare malware, file o script di decompilazione e analizzare gli URL osservati.
Un aspetto essenziale dell'indagine è la comprensione delle misure correttive da intraprendere e la comunicazione efficace delle scoperte significative per mantenere gli stakeholder informati sullo stato corrente dell'evento imprevisto.
In questo esempio Copilot per la sicurezza viene usato per eseguire un'analisi completa degli eventi imprevisti raccogliendo informazioni contestuali dagli avvisi, analizzando uno script sospetto e generando una valutazione accompagnata da un set di passaggi di correzione.
Procedura
Avviare l'analisi in Microsoft Defender XDR.
Copilot per la sicurezza è integrato in Microsoft Defender XDR. Da una pagina degli eventi imprevisti selezionare il pulsante Copilot per ottenere un riepilogo di un evento imprevisto e ottenere dettagli come l'ora e la data dell'avvio di un attacco, l'entità o l'asset che ha avviato l'attacco e gli asset coinvolti nell'attacco.
Analizzare lo script sospetto.
Microsoft Defender XDR contrassegna quando viene eseguito uno script sospetto. Usare Copilot per la sicurezza per spiegare cosa sta facendo lo script sospetto.
Nota
Le funzioni di analisi degli script sono in continuo sviluppo. L'analisi di script in linguaggi diversi da PowerShell, batch e bash è in fase di valutazione.
Con un clic di un pulsante, viene visualizzata una descrizione insieme a un riepilogo complessivo dello script.
Estendere l'analisi in Copilot per la sicurezza usando richieste in linguaggio naturale e altri plug-in.
Continuare l'analisi nell'esperienza autonoma di Copilot per la sicurezza selezionando Apri in Copilot per la sicurezza.
L'esperienza autonoma consente di estendere l'analisi usando i prompt del linguaggio naturale.
Per ottenere una comprensione più completa dell'evento imprevisto, usare Copilot per la sicurezza per raccogliere altre informazioni sull'attività sospetta rilevata nello script della riga di comando.
Richiesta usata:
Cosa puoi dirmi sulla reputazione degli indicatori nello script? Sono dannosi? In caso affermativo, perché?
Risposta:
La risposta indica che i diversi indicatori nello script sono associati agli attori di minacce noti. È possibile aggiungere questa risposta come informazione critica che può essere usata in un secondo momento.
Usare Copilot per la sicurezza per fornire una valutazione dell'evento imprevisto con prove di supporto e un insieme di suggerimenti.
Richiesta usata:
Riepilogare i risultati dell'indagine e concludere con un insieme di suggerimenti.
Risposta:
Consiglio
È possibile esportare la risposta per future consultazioni. È anche possibile condividere l'intera sessione con altri analisti. Altri membri del team che stanno esaminando l'evento imprevisto possono sfruttare la bacheca pin per ottenere un riepilogo completo dei passaggi di indagine, risparmiando tempo prezioso.
Conclusione
In questo caso d'uso Copilot for Security ha contribuito a condurre un'indagine approfondita su un evento imprevisto. Usando il linguaggio naturale, gli analisti sono in grado di ottenere una spiegazione di ciò che lo script sospetto sta facendo e verificare che gli indicatori nello script siano associati a attori di minacce noti.
Copilot for Security ha inoltre generato una valutazione tramite un report di riepilogo e ha fornito un set di raccomandazioni per contenere l'evento imprevisto, che può essere usato anche per competenze di livello superiore.