Condividi tramite


Valutare gli eventi imprevisti in base all'arricchimento da intelligence sulle minacce

Gli analista del Centro operativo di sicurezza (SOC) esaminano gli avvisi e gli eventi imprevisti assegnati all'utente. Il vostro dovere è quello di identificare se è necessario intraprendere un'azione reale. È possibile sfruttare le informazioni all'interno degli avvisi associati all'evento imprevisto per guidare il processo. Spesso si raccolgono informazioni contestuali per comprendere ulteriormente i passaggi successivi da eseguire. Con l'arricchimento delle entità coinvolte e la comprensione completa degli avvisi sottostanti, si determina se eseguire l'escalation o correggere l'evento imprevisto.

In questo esempio dettagliato un analista usa Copilot per la sicurezza per valutare rapidamente un evento imprevisto. Se l'evento imprevisto è una minaccia reale, l'obiettivo è raccogliere nuovi indicatori di compromissione o collegare le entità all'intelligence completata. In questo caso, l'intelligence sulle minacce viene riepilogata da Copilot per la sicurezza per mostrare la connessione a un attore di minacce noto e informare la valutazione della gravità.

Procedura

  1. Inizia la giornata con Copilot per la sicurezza. Recuperare l'ultimo evento imprevisto Microsoft Defender XDR assegnato e riepilogare gli avvisi associati.

    Richiesta usata:

    Qual è l'ultimo evento imprevisto attivo di Defender assegnato, angus.macgregor@contoso.com? Riepilogarlo, inclusi gli avvisi associati.

    Risposta:

    Screenshot del riepilogo dell'avviso di Defender.

    Sembra un possibile furto di credenziali. Seguire le azioni consigliate e iniziare a definire l'ambito dell'evento imprevisto e convalidare l'avviso.

  2. Concentrarsi su entità specifiche per ottenere altre informazioni su di esse.

    Richiesta usata:

    Elaborare i dettagli di questo avviso, incluse le entità coinvolte.

    Risposta:

    Screenshot dell'arricchimento degli avvisi di Defender.

    A questo momento si dispone di un account utente e di un dispositivo da analizzare ulteriormente. In questo caso, si sceglie di comprendere meglio l'utente interessato prima di approfondire i dettagli dell'attacco al dispositivo.

  3. Per altre informazioni su questo utente, vedere i passaggi successivi. Quale tipo di azioni potrebbe essere il prossimo per qualcuno con le sue credenziali?

    Richiesta usata:

    Altre informazioni sull'entità utente.

    Risposta:

    Screenshot di informazioni dettagliate sull'utente.

    Si scopre che questo utente funziona in Vendite. Se le credenziali sono state rubate, ciò potrebbe influire sui dati di vendita. Si ricorda che l'area di lavoro Sentinel dispone di una soluzione SAP che consente di rilevare le minacce. Questo avviso di Defender è collegato a un evento imprevisto di Microsoft Sentinel? La prima priorità consiste nel determinare se è stata eseguita un'attività sospetta da parte di questo utente in SAP.

  4. Usare una query di ricerca salvata per correlare le entità con gli eventi imprevisti di Sentinel.

    Per eseguire la query, attivare manualmente la richiesta suggerita per il plug-in Linguaggio naturale in Sentinel KQL .

    Screenshot che mostra la richiesta suggerita per le query di ricerca di Microsoft Sentinel.

    Consiglio

    Se la query deve essere regolata leggermente, modificare il prompt ed eseguirlo nuovamente. Ad esempio, la query ha proiettato IncidentNames, ma questi sono semplicemente GUID. Ti ricordi che è il Title campo che vuoi davvero. È sufficiente modificare il prompt e selezionare l'opzione Rieseguire il prompt .

    Screenshot che mostra le opzioni di richiesta per la modifica, la rieeseguita e l'eliminazione.

    Richiesta modificata usata:

    Eseguire il comando KQLSecurityAlert seguente | where Entities has "adele.vance@contoso.com" and TimeGenerated >= datetime(10/06/2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertIds | extend SystemAlertId = tostring(SystemAlertId)) in SystemAlertId | summarize by IncidentNumber, Title

    Risposta:

    Screenshot che mostra i risultati della query di ricerca di Microsoft Sentinel.

    L'evento imprevisto correlato a SAP è ora la priorità.

  5. Eseguire il pivot dell'indagine sull'evento imprevisto SAP associato all'utente dall'avviso originale.

    Richiesta usata:

    Informazioni dettagliate sull'evento imprevisto 33805 di Sentinel e informazioni dettagliate sulle entità.

    Risposta:

    Screenshot che mostra il riepilogo degli eventi imprevisti di Microsoft Sentinel.

    Molte informazioni vengono restituite da questo prompt. L'IP dannoso e la possibile esfiltrazione dei dati finanziari si distinguono come elementi importanti da analizzare ulteriormente.

  6. Altre informazioni sull'entità indirizzo IP ed esaminare come è stato determinato come dannoso.

    Richiesta usata:

    Fornirmi altri dettagli sull'indirizzo IP e perché è dannoso?

    Risposta:

    Screenshot che mostra i dettagli dell'IP dannoso.

  7. Creare un report di riepilogo

    Risparmiare tempo nel processo di escalation con un riepilogo per i team di leadership e risposta agli eventi imprevisti.

    Richiesta usata:

    Scrivere un report basato su questa indagine. Guidare con la valutazione dell'evento imprevisto originale di Defender e se la minaccia di furto di credenziali è reale. Concludere la valutazione sul modo in cui tale minaccia si riferisce all'evento imprevisto di Sentinel relativo al file scaricato in un INDIRIZZO IP dannoso.

    Risposta:

    Screenshot che mostra il report di riepilogo dell'indagine.

  8. Aggiungere le risposte alle richieste più utili e modificare il nome della sessione.

    È stato raggiunto l'obiettivo e si è determinato che l'evento imprevisto Microsoft Defender XDR assegnato è una minaccia reale. Collegandolo a un evento imprevisto di Microsoft Sentinel che coinvolge un file SAP esfiltrato, si prepara a collaborare con il team di escalation.

    Screenshot che mostra la bacheca e il nome della sessione modificata.

Conclusione

In questo caso d'uso, Copilot per la sicurezza aiutato a valutare rapidamente un evento imprevisto assegnato. È stata confermata l'azione reale richiesta dall'avviso analizzando gli eventi imprevisti correlati. La ricerca ha portato alla ricerca di un evento imprevisto con un'entità IP collegata all'intelligence completata sull'attore della minaccia e sullo strumento C2 usato. Con una scheda pin concisa, è stata condivisa la sessione e un report di riepilogo che fornisce al team di escalation le informazioni necessarie per rispondere in modo efficace.