De mogelijkheden van Copilot in Microsoft Defender XDR verkennen

  • 30 minuten

In deze oefening onderzoekt u een incident in Microsoft Defender XDR. Als onderdeel van het onderzoek verkent u de belangrijkste functies van Microsoft Copilot in Microsoft Defender XDR, waaronder incidentoverzicht, apparaatoverzicht, scriptanalyse en meer. U draait ook uw onderzoek naar de zelfstandige ervaring en gebruikt het pinbord als een manier om details van uw onderzoek te delen met uw collega's.

Notitie

De omgeving voor deze oefening is een simulatie die is gegenereerd op basis van het product. Als beperkte simulatie worden koppelingen op een pagina mogelijk niet ingeschakeld en worden invoer op basis van tekst die buiten het opgegeven script valt mogelijk niet ondersteund. Er wordt een pop-upbericht weergegeven met de tekst 'Deze functie is niet beschikbaar in de simulatie'. Wanneer dit gebeurt, selecteert u OK en gaat u verder met de stappen voor de oefening.
Schermopname van het pop-upscherm dat aangeeft dat deze functie niet beschikbaar is in de simulatie.

Oefening

Voor deze oefening bent u aangemeld als Avery Howard en hebt u de rol Van Copilot-eigenaar. U werkt in Microsoft Defender, met behulp van het nieuwe geïntegreerde platform voor beveiligingsbewerkingen, voor toegang tot de ingesloten Copilot-mogelijkheden in Microsoft Defender XDR. Aan het einde van de oefening draait u naar de zelfstandige ervaring van Microsoft Copilot for Security.

Het duurt ongeveer 30 minuten voordat deze oefening is voltooid.

Notitie

Wanneer een labinstructie aanroept om een koppeling naar de gesimuleerde omgeving te openen, wordt het over het algemeen aanbevolen om de koppeling in een nieuw browservenster te openen, zodat u de instructies en de oefeningsomgeving tegelijk kunt bekijken. Hiervoor selecteert u de rechtermuistoets en selecteert u de optie.

Taak: Overzicht van incidenten en begeleide antwoorden verkennen

  1. Open de gesimuleerde omgeving door deze koppeling te selecteren: Microsoft Defender-portal.

  2. Vanuit de Microsoft Defender-portal:

    1. Vouw Onderzoek en antwoord uit.
    2. Vouw Incidenten en waarschuwingen uit.
    3. Selecteer Incidenten.

  3. Selecteer het eerste incident in de lijst, Incident-id: 30342 genaamd door mensen beheerde ransomware-aanval is gestart vanaf een geïnfecteerde asset (aanvalsonderbreking).

  4. Dit is een complex incident. Defender XDR biedt veel informatie, maar met 72 waarschuwingen kan het een uitdaging zijn om te weten waar u zich moet concentreren. Aan de rechterkant van de incidentpagina genereert Copilot automatisch een overzicht van incidenten waarmee u de focus en reactie kunt begeleiden. Selecteer Meer weergeven.

    1. In de samenvatting van Copilot wordt beschreven hoe dit incident is ontwikkeld, waaronder initiële toegang, laterale verplaatsing, verzameling, referentietoegang en exfiltratie. Het identificeert specifieke apparaten, geeft aan dat het Hulpprogramma PsExec is gebruikt om uitvoerbare bestanden te starten, en meer.
    2. Dit zijn alle items die u kunt gebruiken voor verder onderzoek. U verkent enkele van deze in volgende taken.

  5. Schuif omlaag op het Copilot-deelvenster en net onder de samenvatting zijn begeleide antwoorden. Begeleide antwoorden raden acties aan ter ondersteuning van triage, insluiting, onderzoek en herstel.

    1. Het eerste item in de sorteercategorie voor het classificeren van dit incident. Selecteer Classificeren om de opties weer te geven. Bekijk de begeleide antwoorden in de andere categorieën.
    2. Selecteer de knop Status bovenaan de sectie Begeleide antwoorden en filter op Voltooid. Twee voltooide activiteiten worden aangeduid als Aanvalsonderbreking. Automatische aanvalsonderbreking is ontworpen om aanvallen te bevatten die worden uitgevoerd, de impact op de assets van een organisatie te beperken en meer tijd te bieden voor beveiligingsteams om de aanval volledig te verhelpen.

  6. Houd de incidentpagina open. U gebruikt deze in de volgende taak.

Taak: Samenvatting van apparaat en identiteit verkennen

  1. Selecteer op de incidentpagina de eerste waarschuwing verdachte URL waarop is geklikt.

  2. Copilot genereert automatisch een samenvatting van waarschuwingen, die een schat aan informatie biedt voor verdere analyse. De samenvatting identificeert bijvoorbeeld verdachte activiteiten, identificeert activiteiten voor gegevensverzameling, toegang tot referenties, malware, detectieactiviteiten en meer.

  3. Er is veel informatie op de pagina, dus om een betere weergave van deze waarschuwing te krijgen, selecteert u Waarschuwingspagina openen. Deze staat op het derde deelvenster op de waarschuwingspagina, naast de incidentgrafiek en onder de titel van de waarschuwing.

  4. Bovenaan de pagina staat een kaart voor de apparaatparkcity-win10v. Selecteer het beletselteken en noteer de opties. Selecteer Samenvatten. Copilot genereert een apparaatoverzicht. Het is niets waard dat er veel manieren zijn om toegang te krijgen tot apparaatoverzicht en dit is slechts één handige methode. In de samenvatting ziet u dat het apparaat een virtuele machine is, de eigenaar van het apparaat wordt geïdentificeerd, de nalevingsstatus wordt weergegeven op basis van Intune-beleid en meer.

  5. Naast de apparaatkaart is een kaart voor de eigenaar van het apparaat. Selecteer parkcity\jonaw. Het derde deelvenster op de pagina wordt bijgewerkt van het weergeven van details van de waarschuwing voor het verstrekken van informatie over de gebruiker Jonathan Wolcott, een accountmanager, wiens Microsoft Entra ID-risico en de ernst van het Insider-risico worden geclassificeerd als hoog. Dit is niet verrassend gezien wat u hebt geleerd van het Copilot-incident en samenvattingen van waarschuwingen. Selecteer het beletselteken en selecteer Vervolgens Summarize om een identiteitsoverzicht te verkrijgen dat door Copilot wordt gegenereerd.

  6. Houd de waarschuwingspagina geopend. U gebruikt deze in de volgende taak.

Taak: Scriptanalyse verkennen

  1. Laten we ons richten op het waarschuwingsverhaal. Selecteer Maximaliseren pictogram maximaliseren, in het hoofdvenster van de waarschuwing, net onder de kaart met het label partycity\jonaw om een beter beeld te krijgen van de processtructuur. Vanuit de gemaximaliseerde weergave krijgt u een duidelijker beeld van hoe dit incident tot stand kwam. Veel regelitems geven aan dat powershell.exe een script heeft uitgevoerd. Aangezien de gebruiker Jonathan Wolcott een accountmanager is, is het redelijk om aan te nemen dat het uitvoeren van PowerShell-scripts niet iets is wat deze gebruiker waarschijnlijk regelmatig doet.

  2. Vouw het eerste exemplaar van powershell.exe een script uit te voeren. Dit is de tijdstempel van 4:57:11 am. Copilot heeft de mogelijkheid om scripts te analyseren. Selecteer Analyseren.

    1. Copilot genereert een analyse van het script en stelt voor dat het een phishingpoging kan zijn of wordt gebruikt om een webexplotatie te leveren.
    2. Selecteer Code weergeven. De code toont een losgekoppelde URL.

  3. Er zijn verschillende andere items die aangeven powershell.exe een script hebben uitgevoerd. Vouw het label powershell.exe -EncodedCommand... uit met het tijdstempel 5:00:47 uur. Het oorspronkelijke script is base 64 gecodeerd, maar Defender heeft dat voor u gedecodeerd. Selecteer Analyseren voor de gedecodeerde versie. De analyse markeert de verfijning van het script dat in deze aanval wordt gebruikt.

  4. Sluit de pagina met het waarschuwingsverhaal door de X (de X links van het Copilot-deelvenster) te selecteren. Gebruik nu de breadcrumb om terug te keren naar het incident. Select Human-operated ransomware attack werd gelanceerd vanaf een gecompromitteerde asset (aanvalsonderbreking).

Taak: Bestandsanalyse verkennen

  1. U bent terug op de incidentpagina. In het waarschuwingsoverzicht identificeerde Copilot het bestand Rubeus.exe, dat is gekoppeld aan de 'Kekeo'-malware. U kunt de mogelijkheid voor bestandsanalyse in Defender XDR gebruiken om te zien welke andere inzichten u kunt krijgen. Er zijn verschillende manieren om toegang te krijgen tot bestanden. Selecteer boven aan de pagina het tabblad Bewijs en Antwoord .

  2. Selecteer Bestanden aan de linkerkant van het scherm.

  3. Selecteer het eerste item in de lijst met de entiteit met de naam Rubeus.exe.

  4. Selecteer Analyseren in het venster dat wordt geopend. Copilot genereert een samenvatting.

  5. Bekijk de gedetailleerde bestandsanalyse die Copilot genereert.

  6. Sluit het venster bestandsanalyse.

Taak: Draait naar de zelfstandige ervaring

Deze taak is complex en vereist de betrokkenheid van meer senior analisten. In deze taak draait u uw onderzoek en voert u het defender-incidentpromptbook uit, zodat de andere analisten een actieve start hebben voor het onderzoek. U maakt antwoorden vast aan het pinbord en genereert een koppeling naar dit onderzoek dat u kunt delen met meer geavanceerde leden van het team om te helpen onderzoeken.

  1. Ga terug naar de incidentpagina door het tabblad Aanvalsverhaal boven aan de pagina te selecteren.

  2. Selecteer het beletselteken naast de samenvatting van het incident van Copilot en selecteer Openen in Copilot for Security.

  3. Copilot wordt geopend in de zelfstandige ervaring en toont de samenvatting van het incident. U kunt ook meer prompts uitvoeren. In dit geval voert u het promptbook uit voor een incident. Selecteer het promptpictogrampromptpictogram.

    1. Selecteer Alle promptbooks weergeven.
    2. Selecteer Microsoft 365 Defender-incidentonderzoek.
    3. De promptbookpagina wordt geopend en vraagt om de Defender Incident ID. Voer 30342 in en selecteer Uitvoeren.
    4. Bekijk de verstrekte informatie. Door te draaien naar de zelfstandige ervaring en het promptbook uit te voeren, kan het onderzoek mogelijkheden aanroepen vanuit een bredere beveiligingsoplossing, naast alleen Defender XDR, op basis van de ingeschakelde invoegtoepassingen.

  4. Selecteer het vakpictogram naast het speldpictogrampictogram van vak om alle prompts en de bijbehorende antwoorden te selecteren en selecteer vervolgens het pictogram speldpictogram Vastmaken om deze antwoorden op het speldbord op te slaan.

  5. Het speldbord wordt automatisch geopend. Het speldbord bevat uw opgeslagen prompts en antwoorden, samen met een samenvatting van elk item. U kunt het speldbord openen en sluiten door het speldbordpictogram speldbordpictogramte selecteren.

  6. Selecteer Delen boven aan de pagina om uw opties weer te geven. Door het incident te delen via een koppeling of e-mail, kunnen personen in uw organisatie met Copilot-toegang deze sessie bekijken. Sluit het venster door de X te selecteren.

  7. U kunt nu het browsertabblad sluiten om de simulatie af te sluiten.

Beoordelen

Dit incident is complex. Er is veel informatie om te verwerken en Copilot helpt bij het samenvatten van het incident, afzonderlijke waarschuwingen, scripts, apparaten, identiteiten en bestanden. Complexe onderzoeken zoals dit vereisen mogelijk de betrokkenheid van verschillende analisten. Copilot faciliteert dit door eenvoudig details van een onderzoek te delen.