Share via

脅威インテリジェンスからのエンリッチメントに基づくインシデントのトリアージ

  • [アーティクル]

セキュリティ オペレーション センター (SOC) アナリストとして、割り当てられたアラートとインシデントを確認します。 あなたの義務は、実際の行動を取る必要があるかどうかを特定することです。 インシデントに関連付けられているアラート内の情報を活用して、プロセスをガイドします。 実行すべき次の手順をさらに理解するために、コンテキスト情報を収集することがよくあります。 関与するエンティティを強化し、根底にあるアラートを完全に理解することで、インシデントをエスカレーションするか修復するかを決定します。

この詳細な例では、アナリストは Copilot for Security を使用してインシデントをすばやくトリアージします。 インシデントが本当の脅威である場合、目標は、侵害の新しいインジケーターを収集するか、完成したインテリジェンスにエンティティをリンクすることです。 この場合、脅威インテリジェンスは、既知の脅威アクターへの接続を表示し、重大度評価を通知するために、Copilot for Security によって要約されます。

手順

  1. Copilot for Security で一日を始めましょう。 割り当てられている最新の Microsoft Defender XDR インシデントを取得し、それに関連付けられているアラートを要約します。

    使用されたプロンプト:

    私、angus.macgregor@contoso.com に割り当てられた最新のアクティブな Defender インシデントは何ですか? 関連付けられているアラートを含めて、要約します。

    応答:

    Defender アラートの概要のスクリーンショット。

    資格情報の盗用の可能性があるようです。 推奨されるアクションに従い、インシデントのスコープを設定し、アラートを検証します。

  2. 特定のエンティティに焦点を当てて、詳細を取得します。

    使用されたプロンプト:

    関連するエンティティを含め、このアラートの詳細について詳しく説明します。

    応答:

    Defender アラート エンリッチメントのスクリーンショット。

    これで、さらに調査するユーザー アカウントとデバイスが作成されました。 この場合、影響を受けるユーザーの詳細を理解してから、デバイスに対する攻撃の詳細を掘り下げることもできます。

  3. このユーザーに関する詳細情報を取得して、次の手順をガイドします。 資格情報を持つユーザーの次にどのような種類のアクションが発生する可能性がありますか?

    使用されたプロンプト:

    ユーザー エンティティの詳細を教えてください。

    応答:

    詳細なユーザー情報のスクリーンショット。

    このユーザーは Sales で動作していることがわかります。 資格情報が盗まれた場合、これは売上データに影響を与える可能性があります。 Sentinel ワークスペースには、そこで脅威を検出するのに役立つ SAP ソリューションがあることを覚えています。 この Defender アラートは Microsoft Sentinel インシデントにリンクされていますか? 最優先事項は、SAP でこのユーザーが疑わしいアクティビティを行ったかどうかを判断することです。

  4. 保存したハンティング クエリを使用して、エンティティを Sentinel インシデントと関連付けます。

    Natural language to Sentinel KQL プラグインの推奨プロンプトを手動でアクティブにして、クエリを実行します。

    Microsoft Sentinel ハンティング クエリに対して推奨されるプロンプトを示すスクリーンショット。

    ヒント

    クエリを少し調整する必要がある場合は、プロンプトを編集して再実行します。 たとえば、クエリは IncidentNames を投影しましたが、それらは単なる GUID です。 あなたが本当に望む Title フィールドだと思い出してください。 プロンプトを編集し、[プロンプトの再実行] オプションを選択するだけです。

    編集、再実行、削除のプロンプト オプションを示すスクリーンショット。

    調整されたプロンプトが使用されました:

    次の KQL を実行するSecurityAlert | where Entities has "adele.vance@contoso.com" and TimeGenerated >= datetime(10/06/2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertIds | extend SystemAlertId = tostring(SystemAlertId)) on SystemAlertId | summarize by IncidentNumber, Title

    応答:

    Microsoft Sentinel ハンティング クエリの結果を示すスクリーンショット。

    SAP 関連のインシデントが最優先事項になりました。

  5. 調査を元のアラートからユーザーに関連付けられている SAP インシデントにピボットします。

    使用されたプロンプト:

    Sentinel インシデント 33805 について詳しく説明し、エンティティについて詳細を教えてください。

    応答:

    Microsoft Sentinel インシデントの概要を示すスクリーンショット。

    このプロンプトから多くの情報が返されます。 悪意のある IP と財務データの流出の可能性は、さらに調査するための重要な項目として目立ちます。

  6. IP アドレス エンティティの詳細を確認し、悪意があると判断された方法を調べます。

    使用されたプロンプト:

    IP アドレスの詳細と、悪意のある理由を教えてください。

    応答:

    悪意のある IP の詳細を示すスクリーンショット。

  7. 要約レポートを作成する

    リーダーシップ チームとインシデント対応チームの概要を使用して、エスカレーション プロセスの時間を節約します。

    使用されたプロンプト:

    この調査に基づいてレポートを作成します。 元の Defender インシデントの評価と、資格情報の盗用の脅威が本物かどうかの評価をします。 悪意のある IP にダウンロードされたファイルに関して、その脅威が Sentinel インシデントとどのように関連しているかについての評価を終了します。

    応答:

    調査の要約レポートを示すスクリーンショット。

  8. 最も便利なプロンプト応答をピン留めし、セッション名を編集します。

    目標に達し、割り当てられた Microsoft Defender XDR インシデントが本当の脅威であると判断しました。 これを、流出した SAP ファイルに関連する Microsoft Sentinel インシデントにリンクすることで、エスカレーション チームと共同作業する準備をします。

    ピン ボードと編集されたセッション名を示すスクリーンショット。

まとめ

このユース ケースでは、Copilot for Security は割り当てられたインシデントをすばやくトリアージするのに役立ちました。 関連するインシデントを調査して、アラートに必要な実際のアクションを確認しました。 その結果、使用される脅威アクターと C2 ツールに関する完成したインテリジェンスにリンクされた IP エンティティを持つインシデントが検出されました。 簡潔なピン ボードを使用して、セッションと要約レポートを共有し、エスカレーション チームに効果的に対応するために必要な情報を提供しました。